1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Pablo G. Nessier
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Pablo Germán Nessier
CISA
Gerente de Auditoría Interna
Nuevo Banco de Entre Ríos S.A.
2
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Se desempeñó como Gerente de Auditoría Interna en
diversas Entidades Financieras.
Actualmente es Gerente de Auditoría Interna en
Nuevo Banco de Entre Ríos S.A.
Partícipe activo del desarrollo metodológico e
implementación de modelos de Auditoría Continua.
Disertante en diversas exposiciones y conferencias
locales e internacionales.
Director del Comité de Auditoría Continua del IAIA.
CISA (ISACA)
3
Pablo Germán Nessier
<Su foto>
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
La presentación está basada en un caso de implementación exitosa de
Auditoría Continua (AC), iniciado en 2010 y que atravesó diferentes
etapas en su metodología, uso tecnología y madurez en general.
Objetivos:
Se hará foco en mostrar la relación que existe entre AC y los
indicadores claves: KRI, KCI, KPI.
No obstante, se destinan 5 slides iniciales sobre la temática de AC en
general a efectos de estandarizar conceptos …
… y seguir pregonando la AC!
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
1986/91: AT&T + Universidad Rutgers
2002: Sarbanes Oxley S404 y S409
2005: IIA GTAG#3
2006/09: COSO Monitoring
2010: ISACA - Guía 42
2010: ICAA 2013: COSO ERM
2006/09
2010
2014: IAI España
2015: IIA GTAG#3 2da Edición
1992: Modelo de Control COSO
2010: Modelo de las Tres Líneas de Defensa
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Cambió el paradigma para nosotros y
también para los “stakeholders”
6
Cambió el negocio => debe evolucionar la Auditoría
Nos cansamos de recibir
“incómodas preguntas…”
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Auditoría Continua es muy oportuna
7
Auditoría Continua es muy disuasiva
Se elimina el riesgo de muestreo y las
proyecciones de “escasa precisión”.
En una empresa madura, los desvíos son
escasos… pero existe menor tolerancia.
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Muchas industrias
evolucionan hacia la
sistematización total de
sus operaciones. Por
ejemplo, la financiera
(cantidad de normas del
BCRA vinculadas a
Canales Electrónicos)
8
Análisis por trimestre
0
1
2
3
4
5
6
7
8
2016-1Q 2016-2Q 2016-3Q 2016-4Q 2017-1Q 2017-2Q 2017-3Q(parcial)
Normas canales Electrónicos
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 9
Nuevos jugadores: en los últimos
tiempos el BCRA aprobó 2 bancos:
ambos digitales
Aparición de FinTech, créditos on-line, PSP,
atención virtual, etc.
Clara profundización de la tendencia del mercado:
TSA Banking
BCRA.A6277
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 10
“…sin embargo existe cierta dificultad en clasificar unívocamente cada indicador, pues
el mismo podría ser adjudicado a distintas clases según el usuario que lo emplee.”
Tipo Mide Mide Principal aplicación
KRI Riesgos La probabilidad y/o
severidad de un evento de
riesgo.
Advertir la situación
respecto del apetito de
riesgo (encuadre /
tolerancia superada)
KCI Controles La efectividad de un
control especifico.
Mostrar el resultado de un
control (el éxito o la falla
del mismo).
KPI Performance Medir el cumplimiento de
una meta definida.
Advertir el logro (en
defecto o en exceso) de
una meta.
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 11
KCI
KPI
KRI
Estamos alcanzando nuestras
metas de desempeño establecidas?
Cómo está cambiando nuestro perfil
de riesgo?
Está dentro del umbral de tolerancia?
Cuán efectivo es el Sistema de Control
Interno de cierto proceso?
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Auditoría
Tradicional
Escaso uso de herramientas
automatizadas - Evaluaciones
mediante muestreo.
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Desarrollos de scripts individuales / escasa
integración con Auditoría Tradicional.
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Estandarización de scripts (repetitivos), gestión
manual de casos con planillas de cálculo:
Clasificación de Scripts
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Automatización de scripts mediante
herramientas del Sistema Operativo,
herramienta de gestión de casos.
Agrupamiento de Scripts
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Sistematización total: Aplicativo de
scripting y administración de corridas,
gestión de casos, interacción con el
auditado y emisión de reportes.
Interconectado con el Sistema de
Auditoría.
Mapeo de scripts con objetivos de
control de Auditoría.
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 17
Los scripts de AC operan muy “cerca de los
datos”…
Generamos una clasificación de scripts:
A-Inusualidades
B-Perjuicio económico
C-Debilidades de Control
D-Tendencias
E-Informativos / Gestión
…pero –casi siempre- la información final
requería mayor “distancia” o abstracción.
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 18
1) Muchos scripts están mapeados 1 a 1 con los
Objetivos de Control.
3) Consolidación de scripts para generar Indicadores Clave:
-Indicadores tipo A-Inusualidades que se combinaron
-Indicadores B-Perjuicio económico y C-Debilidades de Control
-indicadores D-Tendencias o E-Informativos
2) Automatizar la generación de información
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 19
AC suministra la mejor y más
oportuna información.
A veces los scripts de AC
“cubren” carencias de los
Sistemas Core.
Los scripts de AC
están muy cerca de
los datos
Transferencia de controles a otras LoD
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
3er Línea
Auditoría Interna
(Evaluación
independiente)
2da Línea
Funciones de supervisión
de riesgos y controles
(p.e.: Compliance)
1er Línea
Controles de línea
(p.e.: Gestión operativa)
Aseguramiento continuo
•Pruebas de auditoría sobre los monitoreos continuos de la primera y
segunda líneas de defensa.
•Auditoría Continua
Monitoreo
Continuo
Pruebas de
auditoría de
la 1er y 2da
línea de
defensa
Auditoría
Continua
Permanente
evaluación de
riesgos y
controles
Técnicas de
Auditoría
Continua
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Qué condiciones deben darse:
› Accesos ilimitados + repositorio propio
› Herramienta (lo “manual” es transitorio)
21
Qué aspectos automatizar: evaluación de riesgos
y también otras consideraciones.
Roles y Funciones de Auditoría Continua
› Es una metodología de la Gerencia?
› Es un sector?
Aud Cont
Proc
Ind
TI
Suc
Gcia
SupA
Suc Proc
SupB
Cont TI
Umbrales / Interpretación de resultados:
› Cuidado con los KCI!
› Desvío <> Observación
› Seguimiento: cambio de enfoque.
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Para el planeamiento: AC genera KRI.
Revisión permanente.
22
Los KRI´s no son un fin en sí mismos. AI los
puede tomar para direccionar los recursos de
Auditoría Interna.
Requerir aprobación y consensuar
la definición de umbrales.
Consolidación de resultados para
generar KRI: operadores correctos,
ponderadores.
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Automatizan una Prueba de Funcionamiento de los Controles / Cumplimiento.
23
Idóneos para pruebas de funcionamiento y también de diseño.
Nivel de consolidación razonable (por ejemplo Ciclo/Proceso/Momento/OC).
Muy útil la comparación en el tiempo (tendencia)
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
eSpecífico, Medible, Alcanzable,
Relevante, durable en el Tiempo.
24
KPI de AI: Dotación, certificaciones,
avance del plan, plazos de procedimiento,
refutadas, tiempos de verificación,
encuestas a clientes, etc
Son un fin en sí mismos y pueden estar
mapeados a un único script de AC
Otros KPI: plazos de respuesta, de
remediación, reprogramaciones,
reiteraciones, etc
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Queremos “cubrirnos” y tener justificaciones? o… … mejorar nuestra performance con AC?
Regla general:
1 script = 1 KPI / KCI
n scripts = 1 KCI / KRI
Atención con las interacciones
KPI
KRI KCI
Capacitación interdisciplinaria (técnica / funcional)
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Dar el primer paso puede parecer difícil, los
siguientes “metros” serán apasionantes!
Herramienta para identificar a quien conspira
contra el inicio del proyecto de Auditoría Continua
Somos conscientes que
dentro de un tiempo nuestra
empresa tendrá un modelo
de AC mas evolucionado
que el actual?
#ProgresarCompartiendo #CLAI2017
Los invitamos a compartir sus comentarios en twitter e Instagram: