auditoría tecnológicamente avanzada: auditoría a distancia y...
TRANSCRIPT
pd
Estas técnicas de auditoría se están extendiendo en las organizaciones. Es la evolución lógica resultante de la mecanización de las pruebas de auditoría
tradicionales. A pesar de los múltiples beneficios que aportan, su aplicación no es simple e implica un cambio estratégico relevante para la función de auditoría
Auditoría tecnológicamente avanzada: Auditoría a distancia y Auditoría continua
nuevas tecnologías
pág
42
Aunque la auditoría tradicional –basada en pruebas sustantivas sobre una muestra de la población a analizar– está dando paso a un enfoque orientado al análisis de los riesgos y controles existentes en la organización, el enfoque sustantivo sigue sien-
do necesario.
En ocasiones, el auditor no tiene suficiente confianza en los controles existentes, se producen cambios estructurales o técnicos que implican nuevos riesgos que tardan un tiempo en gestionarse, o simplemente algún factor imprevisto hace que se origine una incidencia material debido a un riesgo “teóricamente controlado”.
Al mismo tiempo, las auditorías internas y/o externas, se enfrentan a organizaciones cada vez más grandes, con un mayor volumen de operaciones y con unos procesos cada vez más automatizados. Incluso en una auditoría enfocada exclusivamente a la revisión de controles, la validación de los mismos puede suponer una carga de trabajo enorme para cu-brir un umbral de riesgo razonable y probar adecuadamente el funcionamiento de los controles seleccionados. Por ello, es necesario plantearse técnicas que permitan afrontar esta si-tuación con éxito.
La auditoría tecnológicamente avanzada aprovecha la potencia que ofrecen los sistemas de información para plan-tear la automatización de las pruebas, lo que permite incre-mentar la función de control de auditoría interna, mejorando su alcance, profundidad, efectividad y periodicidad a la vez que, normalmente, se reduce su coste o se incrementa su efi-ciencia.
Si bien es cierto que desde hace más de veinte años que existen herramientas para esta labor, su utilización suele ser aperiódica, según surge alguna necesidad puntual, y sin un plan de acción –o incluso metodología de trabajo– definido. El enfoque de auditoría tecnológicamente avanzada es un pri-mer paso que permite, si la organización lo desea, adoptar modelos de auditoría a distancia y auditoría continua.
La auditoría a distancia pretende facilitar el seguimiento de los diversos riesgos sin necesidad de realizar una visita “in situ” a la ubicación física objeto de la auditoría –centros de procesamiento de datos, sucursales, etc.–.
FICHA RESUMEN
Autores: Manuel Mendiola AntonaTítulo: Auditoría tecnológicamente avanzada: Auditoría a distancia y Auditoría continuaFuente: Partida Doble, núm. 204, páginas 42 a 47, noviembre 2008Localización: PD 08.11.06Resumen:El autor hace hincapié en los beneficios del uso de modelos y plataformas de auditoría a distancia y/o continua, dado que incrementa notablemente el control sobre los procesos de negocio, ayudando a centralizar y facilitar pruebas críticas y recurrentes, así como priorizar las acciones a tomar.No obstante, advierte que su aplicación no es simple, e implica un cambio estratégico relevante en el que habrá que considerar aspectos como el ámbito de actuación a cubrir, la implicación de las áreas de tecnología, recursos técnicos y humanos relacionados con el seguimiento de los eventos, canales de comunicación con las unidades, análisis funcionales, análisis técnicos, etc.Descriptores ICALI: Auditoría. Tecnología. Sistemas integrados de gestión.
pág
43pd www.partidadoble.es
Manuel Mendiola Antona Certificado CIA, CISA y CISM
Director IT Advisory
KPMG
Una auditoría continúa(1) permite, además, detectar des-viaciones respecto a una situación de “normalidad” casi en el momento que se producen, lo que redunda en un mayor auto-control de los riesgos y un incremento en la sensación de control por parte del auditado.
Para ello, se recopilan una serie de evidencias e indicado-res –eventos– con una periodicidad determinada. Estos eventos, a su vez, generan un determinado volumen de ocu-rrencias que han de analizarse posteriormente.
Por ejemplo, gran parte de las pruebas de auditoría que se realizan en las “visitas presenciales” a las sucursales de las entidades financieras se podrían automatizar y ejecutar de forma centralizada, lo que ahorraría tiempo y dinero en des-plazamientos y permitiría cubrir diariamente el 100% de las sucursales –que pueden ser miles–, en vez de realizar las pruebas sobre una muestra de ellas una vez al año.
ASPECTOS A CONSIDERAR
En general, se pueden distinguir cuatro tipos de eventos relacionados con estas técnicas:
l Preauditorías: ejecución de pruebas de auditoría predefi-nidas (simulaciones de procesos, análisis de integridad…) y obtención de información a distancia sobre el departa-mento, unidad o función a evaluar.
l KPI’s (Key Performance Indicators): indicadores, análi-sis y ratios clave para el diseño del plan de auditoría y la identificación y priorización de los trabajos más relevan-tes.
l Alarmas: alertas sobre cualquier situación atípica, de ries-go que precisa una intervención puntual o pruebas en de-talle.
l Excepciones: fallos en transacciones, controles, seguri-dad, segregación de funciones, etc.
Un modelo de auditoría a distancia y/o continua puede ser algo tan sencillo como un conjunto de consultas al sis-tema informático planificadas para realizarse cada cierto tiempo.
Sin embargo, un buen modelo supone mucho más. Se ha de enfocar como sistema de información o plataforma in-dependiente desde el que se gestionen los diferentes eventos y se centralicen, distribuyan y analicen los re-sultados.
Entre otros, es conveniente que esta plataforma tenga una serie de módulos que permitan la administración y parametri-zación de eventos, la consulta de resultados, la asignación de los mismos a los diferentes auditores, comunicación con las unidades auditadas, etc.
También existen herramientas en el mercado orientadas a este tipo de enfoques, aunque es necesario evaluar si realmente cubren nuestras necesidades por completo o nos conviene más llevar a cabo un desarrollo a medida.
BENEFICIOS POTENCIALES
El uso de estas técnicas implica numerosos beneficios. Entre otros cabe destacar:
3 Se puede llegar a revisar el 100% del universo auditable de la organización.
3 Se analiza el 100% de las operaciones en vez de auditar muestras.
3 La revisión se puede realizar con una periodicidad diaria. Permite la creación de un sistema de seguimiento perma-nente de la evolución de los riesgos.
3 El plan de auditoría se puede adecuar según los resulta-dos obtenidos diariamente.
3 Permite realizar pruebas adicionales sobre la calidad, con-sistencia e integridad de la información.
3 Se incrementa la sensación de “vigilancia” en el área audi-tada.
3 Los auditores se pueden especializar en el análisis de de-terminados tipos de ocurrencia.
3 Se reduce el riesgo de auditoría.
3 Se pueden generar fácilmente rankings, estadísticas y análisis.
3 Facilita la detección de fraudes u operaciones erróneas al poco tiempo de producirse (auditoría preventiva).
CARACTERÍSTICAS DEL DISEÑO
En el diseño de la plataforma para la aplicación de técni-cas de auditoría a distancia y/o continua habrá que considerar tres aspectos fundamentales:
l Ubicación de los datos: Se define si la plataforma ob-tiene la información necesaria para los eventos directa-mente de las bases de datos y ficheros de las aplica-ciones o bien se crea un repositorio específico en el
pág
44pd
nuevas tecnologías nº 204 noviembre 2008
(1) No confundir con la “monitorización continua”, la cual se desarrolla por di-ferentes departamentos de la organización como una actividad de control. Aun-que el funcionamiento puede ser similar, no goza de la independencia que tiene la función de auditoría. Cuando una organización realiza auditoría continúa y monitorización continua se puede lograr la seguridad continua).
pág
45pd www.partidadoble.es
Auditoría tecnológicamente avanzada: Auditoría a distancia y Auditoría continua
que se deposita periódicamente toda la información ne-cesaria.
l Definición de eventos: Hay que identificar la estrategia a seguir en el desarrollo de eventos para la plataforma.
Eventos fijos: Definidos por el personal de Auditoría y desarrollados por el departamento de Tecnología, un proveedor externo, etc. Cada vez que se quiera crear un nuevo tipo de evento fijo, habría que encargar un desarrollo a “medida”.
Eventos dinámicos: Serían definidos, desarrollados y parametrizados por los propios usuarios de Auditoría. Para ello, los auditores podrán “programar” eventos mediante el uso de una serie de comandos similares (aunque más sencillos) a los que se utilizan en la crea-ción de consultas a bases de datos.
El departamento de Tecnología solo participará en caso de que se necesite desarrollar el acceso o la incorpora-ción al repositorio de un atributo de información no re-cogido hasta ese momento.
l Actualización de resultados: En la auditoría continua habrá que definir la frecuencia de actualización de los resultados de los eventos, la cual puede ser instantánea (Auditoría recibe información del evento según se produ-ce) o periódica –se recibe esta información con una fre-cuencia superior, ya sea diaria, semanal, etc.–.
En los siguientes cuadros se recoge un resumen de benefi-cios e inconvenientes de cada una de estas alternativas:
UBICACIÓN DE LOS DATOS
Repositorio de información Acceso directo a bases de datos de las aplicaciones
• Facilita la generación de históricos.
• No impacta en el desarrollo del negocio.
• Más sencillo. Modelo de datos a medida.
• Facilita independizar el diseño de la plataforma del diseño de las aplicaciones.
• Fácil de mantener en caso de cambios relevantes en la estructura de la información de las aplicaciones.
• Complejidad en la extracción de grandes cantidades de datos.
• No es necesario extraer los datos del entorno de las aplicaciones de la organización.
• No se duplica la información. Ocupa menos espacio en disco.
• Se reduce el riesgo de fallos en la integridad de la información.
• Se incrementa la seguridad de la información.
• Tiempo de ejecución más rápido.
• Es más complejo implantar la opción de eventos dinámicos.
DEFINICIÓN DE EVENTOS
Eventos Fijos Eventos Dinámicos
• La complejidad de implantación es baja.
• Inicialmente se puede definir e implementar un conjunto de eventos.
• Cada nuevo tipo de evento requiere un desarrollo posterior, ralentizándose su disponibilidad.
• El número de eventos definibles es ilimitado (dependiendo de la riqueza de información de los sistemas o el repositorio).
• Independencia casi total de áreas de Tecnología.
• Se minimiza el mantenimiento y maximiza la potencia de la herramienta.
• Complejidad de implantación alta.
pág
ACTUALIZACIÓN RESULTADOS
Instantánea Periódica
• La información de los eventos se actualiza en tiempo real.
• Posibilidad de responder sin demora ante fallos críticos.
• Habitualmente, esta opción no permite el uso de repositorios.
• Los procesos de generación de eventos se pueden retrasar a los momentos en que los sistemas tienen menos trabajo.
• La antigüedad de la información se puede graduar según la urgencia del evento (por ejemplo, un día para los críticos).
• Los errores en los procesos son más sencillos de gestionar.
Eventos Fijos
Eventos Dinámicos
Peri
ód
ica
Inst
antá
nea
Defi
nic
ión
de
Even
tos
Ubicación de los datos
Actuali
zació
n
Resulta
dos
RepositorioAcceso
directo BDaplicaciones
Identificación de atributos
Desarrollo de la plataforma
Formación
Implantación
Diseño de laplataforma
Definición deeventos iniciales
ASPECTOS BÁSICOS A EVALUAR EN EL DISEÑO DE HERRAMIENTAS DE AUDITORÍA A DISTANCIA Y/O CONTINUA
F I G U R A 1
pág
46pd
nuevas tecnologías nº 204 noviembre 2008
Naturalmente, la estrategia a seguir depende de varios facto-res como el tamaño de la organización, necesidades, objeti-vos establecidos, cada cuanto es necesario incorporar o mo-dificar eventos, etc.
Además de los aspectos mencionados, es conveniente que una plataforma de auditoría a distancia y/o continua reúna las siguientes características:
3 Se puedan modificar todos los parámetros del evento que se desee –valores que generan ocurrencia, periodicidad de ejecución, importancia…–.
3 Se pueda ajustar la gravedad de un determinado evento en función del departamento o unidad auditada.
3 Se puedan excepcionar situaciones especiales para que no generen ocurrencias.
3 Se pueden definir diversos tipos de rankings.
3 Las ocurrencias se asignen a los distintos auditores y equipos, siendo posible supervisar su análisis.
3 Se puedan crear solicitudes automáticas de información a las unidades auditadas.
3 Ejecución de eventos en modo “Pruebas” que permita evaluar diversas combinaciones de parámetros hasta en-contrar la que se ajusta al volumen de ocurrencias espera-do/gestionable.
3 Ha de ser escalable y adaptable a situaciones y requeri-mientos futuros
3 En general, el funcionamiento de la plataforma sea simple e intuitivo.
5. FASES IMPLANTACIÓN
Aunque existen diversas metodologías para el desarrollo de estas plataformas, un posible ejemplo sería el que se recoge en la Figura 2.
A continuación se recoge un posible conjunto de actividades a realizar en cada fase(2):
DISEÑO DE LA PLATAFORMA
l Identificación de requerimientos de los usuarios.l Análisis de la solución técnica –volúmenes de datos,
dimensionamiento hardware…–.l Validación de los requisitos. Operativa de negocio y
funcionamiento.l Diseño del funcionamiento de pantallas, interfaces,
etc. Validación con el usuario.l Diseño del modelo de datos de la plataforma.l Definir el proceso de extracción de la información,
su posterior ubicación y nomenclatura.
Eventos Fijos
Eventos Dinámicos
Peri
ód
ica
Inst
antá
nea
Defi
nic
ión
de
Even
tos
Ubicación de los datos
Actuali
zació
n
Resulta
dos
RepositorioAcceso
directo BDaplicaciones
Identificación de atributos
Desarrollo de la plataforma
Formación
Implantación
Diseño de laplataforma
Definición deeventos iniciales
FASES DE UNA POSIBLE IMPLANTACIÓN DE UNA PLATAFORMA DE AUDITORÍA A DISTANCIA Y CONTINUA
F I G U R A 2Naturalmente, la estrategia a seguir depende de varios facto- F I G U R A 2
TIPO PLATAFORMA
EVENTO FIJOPERIÓDICAREPOSITORIO
EVENTO DINÁMICOINSTANTANEABASES DE DATOS
EVENTO DINÁMICOPERIÓDICAREPOSITORIO
Coste implantación Muy Bajo Alto Muy Alto
Coste mantenimiento Alto Bajo Muy Bajo
Potencia Baja Muy alta Alta
Impacto en los Sistemas de Información Muy Bajo Alto Bajo
En el siguiente cuadro se recoge un resumen de estos enfoques orientados a tres posibles modelos de implantación:
(2) En este ejemplo se ha supuesto el desarrollo completo de una plataforma ba-sada en un repositorio, eventos dinámicos y una actualización de resulta-dos periódica.
DEFINICIÓN DE EVENTOS INICIALES
l Definición de las tipologías de evento a incluir –indicadores, alarmas, KPIs, información de gestión…–.
l Identificación de los procesos de negocio involucrados, sus riesgos y los controles existentes actualmente.
l Identificación y pre-definición de los eventos iniciales a incluir en la plataforma.
l Contraste con los programas de trabajo de auditoría y la operativa habitual para confirmar que no dejan aspectos susceptibles de automatizar.
l Definición de parámetros iniciales. Estimación de sus valores idóneos.
IDENTIFICACIÓN DE ATRIBUTOS
l Identificar y analizar los diferentes atributos de información involucrados en las diferentes tipologías de eventos.
l Identificar los campos existentes en los diferentes ficheros y bases de datos de las aplicaciones que proporcionarán los atributos de información requeridos.
l Definición de pruebas de integridad sobre la información extraída.
l Diseño del repositorio, su ubicación y los requerimientos de acceso y capacidad.
l Diseño de los módulos de conexión entre el repositorio y las diferentes aplicaciones de las que se extraerá la información.
DESARROLLO DE LA PLATAFORMA
l Desarrollo de los módulos de conexión del repositorio con cada una de las aplicaciones para llevar a cabo la descarga de información.
l Gestión de problemas –volúmenes ingentes de información, ausencia de información histórica…–.
l Programación de la plataforma -módulos de administración, consulta, comunicaciones, etc.-.
l Realización de pruebas técnicas y de usuario sobre todo el sistema.
l Pruebas de diseño de los eventos. Ajuste inicial de parámetros.
l Elaboración de manuales.
FORMACIÓN
l Desarrollo del material de formación que permita:
3 Proporcionar al administrador de la herramienta los conocimientos necesarios para gestionarla, configurarla, añadir nuevos eventos o parámetros, etc.
3 Proporcionar a los auditores los conocimientos necesarios para navegar por la plataforma, ejecutar las pruebas e interpretar los resultados.
3 Proporcionar los conocimientos necesarios para el mantenimiento técnico de la plataforma -nuevas funciones, cambios de diseño, etc.-.
IMPLANTACIÓN
l Puesta en marcha de la plataforma. Pruebas finales.
l Ajustes finales de la herramienta (eventos y parámetros).
l Revisión del procedimiento de elaboración de la planificación anual de auditoría.
l Cambios organizativos en el departamento de Auditoría
l Cambios metodológicos en los enfoques de auditoría.
l Cambios metodológicos en los programas de trabajo
6. CONCLUSIONES
El uso de modelos y plataformas de auditoría a distancia y/o continua incrementa notablemente el control sobre los procesos de negocio, ayudando a centralizar y facilitar pruebas críticas y recurrentes, así como priorizar las acciones a tomar.
No obstante, su aplicación no es simple, e implica un cambio estratégico relevante en el que habrá que considerar aspectos como el ámbito de actuación a cubrir, la implicación de las áreas de tecnología, recursos técnicos y humanos relacionados con el seguimiento de los eventos, canales de comunicación con las unidades, análisis funcionales, análisis técnicos, etc.
En función del “umbral de tolerancia” de cada evento, el vo-lumen de ocurrencias será mayor o menor. Esto determinará el volumen de personal necesario para analizar los resultados ob-tenidos –o al revés, en función de los recursos disponibles se establecerá el “umbral de tolerancia”–. Su éxito no se mide en una reducción del volumen de auditores del departamento, sino en una mayor cobertura de los riesgos.
Por ello, estos proyectos han de plantearse como estratégicos para la función de auditoría, dotándolos de un volumen de recur-sos y tiempo muy relevante para su desarrollo y utilización. ✽
pág
47pd www.partidadoble.es
Auditoría tecnológicamente avanzada: Auditoría a distancia y Auditoría continua