cómo auditar robots y… ¿podríamos - iaia.org.ar³n... · innovación en auditoria interna:...

1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina

Alejandro Hordij

CIA, CISA, CRMA

Innovación en Auditoria Interna:

Cómo auditar robots y… ¿podríamos

usar robots para auditar?

1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 2

Parte I :

¿Que es RPA?


¿Qué es RPA?

3

La Automatización Robótica de Procesos (RPA) se define como

la aplicación de tecnología que permite realizar acciones

humanas y automatizar tareas repetitivas a través de múltiples

aplicaciones empresariales


¿Que es Automatización Robótica de Procesos (RPA)? La Automatización Robótica de Procesos transformando los negocios

4

Software

Robotics

Trabajan con el

escenario de TI

existente

Reduce los costos de

entrada de datos en

hasta un 70%

Pueden ser entrenados

por usuarios de la

empresa

Pueden trabajar 24/7

Reduce dos

dígitos las tasas

de error

Realizan cálculos

simples y complejos


RPA es totalmente disruptivo dada la combinación de

un desarrollo sencillo con beneficios claros

Bajo riesgo Tecnología no invasiva

Correcta

Localización

Confiabilidad

Pista de

auditoría

Consistencia

Precisión

Escalabilidad Rápida respuesta para

abordar picos de demanda

Retención

Productividad

Multi

industria

Potencial de

ahorro

Duración

20-35%


Aprendizaje automático

basado en patrones

Estadístico Proceso optimizado

mediante la

automatización

Flujo de trabajo

mejorado

Inteligencia Cognitiva

(CI) Semi-cognitiva

Automatización Robótica de

Procesos Interacción de datos

estructurados

Va

lor

Inc

rem

en

tal

Imita acciones humanas

Aumenta la inteligencia humana

Imita Inteligencia humana

¿Que es Automatización Robótica de Procesos (RPA)? La Automatización Robótica de Procesos transformando los negocios


¿Cómo funciona el “Robot"? Una vista de alto nivel de cómo un “Robot" normalmente opera

ERP

DB/DW

Informes

Estandard

Controles

normativos

Procedimientos

definidos

Informe de

excepción

Informe análisis

detallado

Análisis de control

Un algoritmo predefinido se utiliza para

analizar los datos transaccionales.

Retroalimentación

@www

Datos en ERP

actualizados


Ejemplo: Procesamiento Facturas de Servicios

8


Robots y Personas: una poderosa combinación

Los robots entregan

tareas repetitivas,

deterministas y de alto

volumen de manera

eficiente

Las personas construyen

relaciones, proporcionan

juicio subjetivo, entregan

tareas de baja frecuencia y

excepción, y manejan

cambios y mejoras


Casos de uso específico para procesos empresariales

11

Cambios en el maestro de proveedores

• Realiza actualizaciones de archivos maestros

de proveedores

• Supervisa periódicamente a los proveedores

para ver si hay inactivo / duplicación

Controles Automatizables


Casos de uso específico para procesos empresariales

12

Tesorería- Actualización de tasa de cambio

• Efectúa la carga diaria de la tasa de

actualización



Casos de uso específicos para procesos empresariales

13

Conciliaciones de cuentas

• Realiza las conciliaciones completas

• Comprueba múltiples conciliaciones para

identificar elementos similares para

compensaciones

• Proporciona notificaciones a los usuarios

responsables de corregir ítems de conciliación.



Parte II:

¿Cual es el desafío para

auditoria?


¿Como se integra RPA con la Administración de

Riesgos?

15

Adoptar y

Avanzar

Ímplementar rápido

Liderazgo, trae beneficios

Los robots

están aquí

47% de puestos

Colegas han

comenzado

Oportunidad

Transformacional

Tecnologías Disrruptivas

Beneficios Sostenibles 3 2 1


Robótica: Riesgos y Controles Dominios del Programa de implementación

16

Políticas, procedimientos y normas para administrar

la robótica.

Gestión de riesgos de robótica.

Estrategia robótica, priorización y toma de

decisiones definidas para implementar.

Desarrollo robótico, gestión de cambios e

implementación de controles.

Controles funcionando en el robot y el proceso, para

supervisar la eficacia de la implementación.

1

2

3

4

5

Au

dito

ria

In

tern

a (

3ra

Lín

ea

de

de

fensa)

1e

ra L

íne

a d

e

Defe

nsa

2d

a L

íne

a d

e

Defe

nsa

Go

bie

rno

Medición de Valor

Alineamiento y Cambio

Tecnología

Integración en la Compañía

Gobierno

Procesos


Procesos

Alineamiento y

Cambio

Tecnología

Integración en

la compañía

Medición de

Valor

Gobierno

Robótica: Riesgos y Control

17

La falta de gobernabilidad robótica

La gestión del accesos hecha por los robots

se realiza de manera ineficaz.

Desarrollos de robótica que no satisfacen las

necesidades del negocio

Las implementaciones de robótica no están

adecuadamente diseñadas y probadas

Los problemas de automatización no se

identifican y gestionan eficazmente.

1

2

3

4

5

No se mitigan eficazmente los riesgos de la

relación con proveedores de robótica 6

Que incluya: liderazgo, procesos,

estructuras, funciones y responsabilidades,

entre otros.

Se implementan métodos de autenticación

apropiados y se aplican consistentemente

para impedir el acceso no autorizado

Los requisitos de cambio y desarrollo de la

robótica se documentan y están de

acuerdo a la estrategia del negocio.

Los requisitos de implementación, pruebas

y requisitos de soporte, se desarrollan y se

comunican en tiempo oportuno.

Los problemas y errores de automatización

son evaluados, corregidos, rastreados y

comunicados oportunamente.

Se realiza un análisis sobre los proveedores

para evaluar el riesgo en el inicio de la

relación y sobre una base periódica

Principales riesgos de

robótica

Actividades de control

esperables


Plan de auditoría interna para la robótica Demostrando la cobertura de auditoría

Próximos Pasos Consideraciones para la Planificación

Identificación del

proceso / sistema

Desarrollar una visión de inicio a fin del impacto de RPA en el universo de

auditoría

Impacto en entidades

auditables y

evaluación de riesgos

El impacto en los procesos y sistemas relacionados debe ser explícitamente

incorporado en la evaluación de riesgos.

➢Procesos y sistemas incluidos en el alcance de entidades

auditables:

▪ ya cubiertos por RPA

▪ entidades que necesitan ser mejoradas para incorporar más RPA

▪ Nuevas entidades auditables que necesitan ser desarrolladas.

➢IA debe demostrar cómo las entidades auditables serán cubiertas en

un plan de auditoría basado en riesgos, de varios años

Prio

riza

ció

n


Plan de auditoría interna para la robótica Demostrando la cobertura de auditoría

Próximos Pasos Consideraciones para la Planificación

Actualización de la

matriz de control de

riesgos

Obtener una comprensión del riesgo y los controles para cada proceso de

RPA

• Desarrollar/Actualizar la matriz de riesgos y controles para cada uno de

los procesos impactados.

Actualización de los

procedimientos de

auditoría

Ampliar el alcance y la profundidad de las auditorías para cubrir la

complejidad de los procesos de RPA.

• Procedimientos de auditoría (incluyendo monitoreo continuo) para cada

entidad, en base a los riesgos y controles de los procesos auditados.

Reporte Vista consolidada del estado de cumplimiento y el impacto posterior de las

observaciones

• Proporcionar evaluación general de la efectividad de los procesos y

controles de RPA

• Reportar el estado de las cuestiones identificadas por las funciones de

gestión y control.

Prio

riza

ció

n


Parte III:

¿Podemos usar

Robots para auditar?


Mejora de la eficiencia Automatización / robótica para mejorar las funciones la 3ra Línea de

Defensa

Recopilación de datos, mediante la autenticación robótica, para la

agregación de datos de diferentes activos tecnológicos en los que

no existe análisis de datos.

Pruebas automatizadas de atributos contra reglas

definidas.

Prueba de configuración de aplicaciones, sistemas operativos y

servidores en función de los estándares de configuración.

Pruebas del 100% de la población. La robótica tiene la capacidad

de ir más allá de la muestra

Robótica tiene la capacidad de auditar los procesos de manera

más eficiente, para acercarse a la verdadera "auditoría continua"

1

2

3

4

5


⦿ Proceso de incentivo de ventas › Objetivo del control: los pagos por incentivos de ventas se

procesan según el contrato firmado con los distribuidores

› Atributos de Prueba:

Veamos un Robot ejecutando una prueba de Auditoría

22

Existe un contrato firmado

Los términos y condiciones cumplen con las

políticas de incentivos de ventas.

El incentivo de ventas se calcula con precisión.

1

2

3

Let’s see a bot in action….

Three Lines of Defense in

Robotic Process

Automation

Robotic Process Automation

and the 3rd Line of Defense:

An Internal Audit Perspective


Robotics puede ser aplicado en todo el ciclo de

pruebas Procure to

pay

Make to

deliver/

Inventory

Plant,

property,

equip

Order to cash Tax Payroll/

Comp/HR Treasury

Financial

statement

close

Corporate

consolidation

s

ITGC

Vendor Master

Data Change

Review

Standard Cost

Review

Capital

add/deletion

review

Significant

Reserves

(ADA, AR,

Rebates)

Calculate

Local and

Global Tax

Calculate

Payroll

Cash

Reconciliations

Review MJEs Intercompany/

Markup review

User Access

Reviews

Manual wire

request review

Obselence

Inventory

Reserves

Review for

impairment

Gross to Net Manage

Transfer

Pricing

Review

Compensation

Schemes

Hedge and

derivative

review

Perform

Reconciliations

Significant

Reserves/Entri

es(goodwill,

restructuring).

Firefighter

Reviews

Non-PO

invoice review

Review of

Inventory

Destruction

Asset ID and

count

Credit Controls Tax Provisions Add/deactivate

/modify user

Review

Manual Wire

Transfer

Review

Chart of

Account

Update Review

Financial

Calculations(E

PS, Effective

Tax Rate, IC

out of balance)

SOD Review

Aged PO

Review

Inventory

Counting

Review and

Approval of

monthly

roll-forward

schedules

Customer

Master Data

Change

Review

Payroll Period

over Period

Review

Banking User

Authorization

Open/

Close Period

Review

Critical

Transaction

Reviews

Month end

management

review controls

Variance

Analysis

AR Write-offs Super user

review

FX rate review

and daily rate

load

Closing

Checklist

Change

Management

Reviews

Inventory

turnover

analysis

Exception

review report-

revenue not

recognized

Review of

Third Party

Service

Provider

Report

Operating Flux

Analysis

Customer

discount

review and

approval

Key

First Round of

Robot

Expand to these

Limited

Opportunity to

Robot, consider

later


La robótica se puede aplicar a través de todo el ciclo de vida del proceso

de prueba

Cuentas a Pagar Inventarios y Despacho Activo Fijo

Revisión de cambios al maestro

de proveedores

Revisión del costo estándar Revisión incremento/ baja de

capital

Revisión de solicitud de

transferencias manuales

Reservas de inventario de

obsolescencia

Revisión de impairment

Revisión de facturas sin OC Revisión de la destrucción del

inventario

Identificación y conteo de

activos

Revisión de la antigüedad de la

OC

Recuento de Inventario Revisión y aprobación del

cronograma mensual de

amortizaciones

Controles de revisión de gestión

de fin de mes

Análisis de Varianza

Análisis del volumen de

inventario

25


La robótica se puede aplicar a través de todo el ciclo de vida del proceso

de prueba

Facturación y Cobranzas Impuestos Remuneraciones

Reservas Significativas (ADA,

AR, Rebates)

Calcular impuestos locales y

globales

Calcular la nómina

Cálculos de Bruto a Neto Administrar precios de

transferencia

Revisar los esquemas de

compensación

Controles de Notas de Crédito Provisiones de Impuestos Revisión de la nómina vs.

período anterior

Revisión de cambio de datos

en la Maestro de Clientes

Revisión de la liquidación de

proveedores de servicios

White-offs

Revisión de excepciones:

ingresos no reconocidos

Revisión y aprobación de

descuentos a clientes

26


Mejora de la eficiencia Check List de Oportunidades de Robótica

Indicaciones de valor robótico Si Piloto

¿La solución sería vista como material? Costo, Calidad, Tiempo √

¿Podría desarrollar en el tiempo asignado? 6, 8, 12 semanas √

¿Los actores afectados y los líderes del día a día estarían emocionados de

hacerlo? √

Requerimientos mínimos

¿Es el proceso fácilmente comprensible o podría ser claramente definido? √

¿El proceso se basa principalmente en reglas de negocio en lugar de juicio? √

¿El proceso se realiza con regularidad? √

¿Podría el proceso ser realizado por un solo usuario? √

Agregar Valor

¿El proceso requiere que se calculen nuevos valores? √

¿El proceso identifica excepciones para su revisión por un ser humano? √

¿El proceso se basa en al menos dos aplicaciones diferentes? √

¿El proceso tiene puntos de decisión que conducen a múltiples caminos? √

¿El proceso implica un alto nivel de manejo manual? √


Repercusiones de la robótica en la auditoría interna

Resumen: Desafíos y enfoque

La participación activa de Auditoría interna es esencial

Desafío efectivo del programa de Robótica

Modificaciones del proceso

Impacto en la estrategia de auditoría

existente

Continuar

teniendo un

lugar en la

mesa de

decisiones

clave

Determinar

el equilibrio

entre

robótica vs

implementa

ciones /

controles

Incorporar

robótica en

el plan de

auditoría

Implementar

robótica

para

pruebas

eficaces y

repetibles

01

02

03

#ProgresarCompartiendo #CLAI2017

Los invitamos a compartir sus comentarios en twitter e Instagram:

Preguntas?

29

#ProgresarCompartiendo #CLAI2017

Los invitamos a compartir sus comentarios en twitter e Instagram:

Muchas Gracias

por su atención

Alejandro Hordij, CIA, CISA, CRMA [email protected]

cómo auditar robots y… ¿podríamos - iaia.org.ar³n... · innovación en auditoria interna:...

Documents