Retos y lecciones aprendidas de un caso real en COPA …gloadso.com/pdf/auditoria-continua-copa.pdf• Monitoreo continuo –Mecanismo de retroalimentación, principalmente usado por

Claudia Gutiérrez MBAGerente Senior Auditoría Interna y de TI de COPA Airlines

Julio R. Jolly Moore, MBA, MSI, CRMA, CFE, CGEIT, CRISC, ISO, Internal Audit Quality Assessment Socio Director – Global Advisory Solutions

Julio 2015

METODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines

Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.

Todos los derechos reservados. Prohibida su reproducción no autorizada.

AGENDAMETODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines

• Introducción y antecedentes

• Consideraciones iniciales

• Estrategia de implementación

• Resultados/Desarrollo de pruebas

• Factores de éxito

• Próximos pasos

• Conclusiones


INTRODUCCIÓN Y ANTECEDENTES



Factores que influyen en la transformación de la función Auditoría Interna

• El entorno dinámico del negocio

• Expectativas de la Alta Gerencia y el Comité de Auditoría

• Uso creciente de las Tecnologías de la Información

• Rentabilidad

• Enfoque estratégico

Antecedentes


La Auditoría Interna está evolucionando…..

TRADICIONAL• Reactiva• Financiera• Alcance limitado• El policía/vigilante• Orientada al reporte• Función separada

EMERGENTE• Proactiva• Múltiples áreas de negocio• Alcance toda la empresa• El estratega/consejero• Orientada a las relaciones• Valor agregado en el negocio

Antecedentes


Las principales competencias requeridas en la contratación de un auditor

• Pensamiento analítico y crítico 75%

• Habilidades de comunicación 58%

• Risk Management Assurance 44%

• Conocimientos generales de TI 41%

• Data mining y análisis de datos 40%

• Conocimientos de la industria 36%

Fuente: The Global Pulse of the Profession. July 2014. IIA. Audit Executive Center.

Antecedentes


• El proceso de “auditoría continua” surgió alrededor de 1989 mediante los esfuerzos de Vasarhelyi y Halper para medir y analizar el proceso de facturación en la empresa internacional AT&T.

• Se enfocaron al proceso de auditar extensas bases de datos, para establecer estándares y comparar las operaciones contra los mismos y emitir alarmas cuando sea necesario.

Fuente: Vasarhelyi, M.A. and Halper, F. B., 1991, The Continuous Audit of Online Systems, Auditing: A Journal of Practice and Theory

Antecedentes



• Es un proceso y metodología para auditar en tiempo real

• “Auditoría continua es una nueva metodología en evolución con relevancia y aplicación potencial en empresas contemporáneas que sean ricas en tecnología […] que permite a estas empresas a recibir, procesar y reportar grandes cantidades de datos de manera continua, y por ende alimentar la necesidad para auditoría y monitoreo continuo”Fuente: Continuous Auditing: An Operational Model for Internal Auditors - Mohammad J. Abdolmohammadi, DBA, CPA & Ahmad Sharbatouglie, Ph.D(The IIA Research Foundation)

• “Método automatizado utilizado para realizar evaluaciones de controles y riesgos con mayor frecuencia”Global Technology Audit Guide (GTAG) Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment

¿Qué es auditoría continua?



• Auditoría Continua NO ES …

• Monitoreo continuo – Mecanismo de retroalimentación, principalmente usado por la administración para asegurar que los sistemas de operación y las transacciones se procesan según lo prescrito.Fuente: Continuous Auditing From a Practical Perspective - Kevin Handscombe, CISA, ACA (ISACA)

• Auditoría Continua NO ES …

• Aseguramiento Continuo - Proporcionar una opinión continua de aseguramiento sobre los sistemas o las transacciones. Una opinión continua puede representar la opinión de un auditor de que los controles están operando satisfactoriamente, a menos que se reporte lo contrario en un informe.Fuente: Continuous Auditing From a Practical Perspective - Kevin Handscombe, CISA, ACA (ISACA)

¿Qué NO es auditoría continua?



PRÁCTICA

Proceso que permite a estas empresas a recibir, procesar y reportar grandes cantidades de datos de manera continua utilizado para realizar evaluaciones de controles y riesgos con mayor frecuencia.

Lo anterior es….

a) Monitoreo Continuo

b) Aseguramiento Continuo

c) Auditoría Continua

d) Pruebas CAATs



PRÁCTICA

El monitoreo continuo es responsabilidad de...

a) Auditoría Interna

b) Auditoría Externa

c) La administración

d) El Comité de Auditoría Interna



• Enfoque tradicional

– Se asume que la efectividad de los controles aumenta después de los resultados y recomendaciones de cada auditoría.

– Sin embargo, reduce con el pasar del tiempo hasta los resultados de la siguiente auditoría.

Efectividad de los controles



• Enfoque Auditoría Continua

– La efectividad de los controles se mantiene a niveles aceptables dado que se están probando de manera continua y reportando los resultados con la ocurrencia de un evento o poco después del mismo.

Efectividad de los controles



Efectividad de auditorías periódicas



Efectividad de las auditorías continuas



• Practice Advisory 2320-3: Audit Sampling (Muestreo de Auditoría)– 2240 – 1 Programa de trabajo

– Los auditores Internos deben desarrollar y obtener aprobación de sus programas de trabajo antes de iniciar la ejecución de su trabajo de auditoria. El programa de trabajo incluye las metodologías a utilizar , tales como auditorias basadas en tecnología y técnicas de muestreo.

Según el IIA, la auditoría continua puede permitir al auditor revisar la

totalidad de la población, mientras que técnicas de muestreo facilita la

selección de menos de un 100% de la población.

Auditoría Continua y el IIAPublicación 2015



• Practice Advisory 2320-4: Continuous Assurance(Aseguramiento continuo)

• 2320: Analysis and Evaluation

• Los auditores Internos deben basar sus conclusiones y resultados de sus evaluaciones en análisis apropiados.

El IIA reconoce que el aseguramiento continuo puede obtenerse mediante

una combinación de las responsabilidades de monitoreo continuo de la

administración y las actividades de auditoría continua del auditor.

Auditoría Continua y el IIAPublicación 2015



PRÁCTICA

En las prácticas de trabajo (“Practice Advisories” del Marco Internacional de la Práctica Profesional (MIPP) del IIA, el estándar que habla de aseguramiento continuo es

a) 2320-4

b) 2110

c) 2120

d) 2600

Aseguramiento Continuo

Gobernabilidad

Gestión de Riesgos

No existe!



Antecedentes – COPA Airlines


Antecedentes – COPA Airlines

QUIT

O

POR

T AU

PRIN

CEVALE

NCIA

CARTA

GENA

LOS

ANGELE

S

GUADALAJ

ARA

MEXI

CO

NUEVA

YORK - JFKWASHINGTON

D.C

ORLAN

DOMIA

MI

CANCU

N

HAB

ANA

GUATE

MALASAN

SALVADOR

PUN

TA

CAN

A

SANTI

AGOSAN

JUAN

PORT OF

SPAIN

AR

UB

A

MARACA

IBO CARA

CAS

BARRANQUILL

A

GUAYA

QUIL

LIMA

BELO

HORIZONTE

RIO DE

JANEIRO

MONTEVID

EO

BUENOS

AIRES

CORD

OBASANTIAG

O

C

A

LI

MANA

US

TEGUCIG

ALPA

SANTO

DOMINGO

BOG

OTA

SAN

PEDRO

SULA

SAO

PAULO

SAN

ANDRES

MEDE

LLIN

SANTA

CRUZ

KINGS

TON

MANA

GUA SAN

JOSE

SMR

CUCU

TABUCARAM

ANGA

ST

MAARTEN

PORTO

ALEGRE

NAS

SAU

TORO

NTO

BRASILIA

ASUNCIO

N

PEREI

RA

LETICI

A

CHIC

AGO

MONTE

RREY

MONTEG

O BAY

LAS

VEGAS

LIBE

RIA

CURAÇ

AO

RE

CIF

E

IQUI

TOS

BOSTO

N

73 destinos

en 30 países

99 aviones

NOTE: Copa’s Route Network for Jul-13

280 Vuelos diarios

Miembro Star Alliance

Connect Miles

90.5% puntualidad

Seis veces premiada como mejor Aerolínea de Centro América y el Caribe en los últimos diez años.

“Mejor Aerolínea de Centro América y el Caribe y Mejor Personal de Cabina y Aeropuertos”. SkyTrax junio 2013.

CONSIDERACIONES INICIALES


Consideraciones iniciales

• Crecimiento sostenido• Mayor competencia mercado• Recursos limitados AI• Cumplimiento regulatorio (Ley

Sarbanes-Oxley)• Auditoría basada en riesgo• Certificación de Calidad• Uso de TAAC´s• Evolución del perfil auditor

• Mayor volumen transacciones• Mayor cobertura auditoría• Mayor demanda valor agregado• Auditorías eficientes y efectivas• Matrices riesgo-control-test• Narrativas procesos• Normas, estándares, best

practices• Pruebas automáticas• Pensamiento analítico,

comunicación, riesgo, tecnología


PRÁCTICA

¿Cuáles de los factores debe ser una consideración para implementar “auditoría continua”?

a) Nivel de tecnología de la empresa.

b) Entorno regulatorio.

c) Alcance de las revisiones.

d) Trabajar menos.


ESTRATEGIA DE IMPLEMENTACIÓN



ENTENDIMIENTO DEL NEGOCIOActividades

• Conocer la Estructura Organizacional y ubicaciones importantes

• Evaluar los planes estratégicos vigentes• Identificar y comprender las unidades de negocio y/o

procesos críticos• Evaluar el entorno de Tecnología de Información que

soporta los unidades de negocio y/o procesos críticos

Pasos de implementación

Identificar Riesgos y Controles

Planificación de la Auditoría

Ejecución de la Auditoría Continua

Evaluar Resultados y

Emitir Reporte

ENTENDIMIENTO DEL NEGOCIO



IDENTIFICAR RIESGOS Y CONTROLES Actividades

• Seleccionar las unidades de negocio y/o procesos críticos que deben evaluarse

• Revisar métricas de riesgo y categorización• Revisar los controles claves existentes para mitigar los

riesgos significativos• Seleccionar riesgos y controles a ser considerados en el

proceso de Auditoría Continua


Entendimiento del Negocio





Emitir Reporte

IDENTIFICAR RIESGOS Y

CONTROLES

IDENTIFICAR RIESGOS Y

CONTROLES



• Ejemplos de consideraciones de métricas y categorización de riesgos

Ejemplo – Categoría de Riesgos

Estratégico Operativo Cumplimiento Financieros

Riesgos relacionados con la implementación de estrategias de negocio equivocadas.

Riesgos relacionados a la operación diaria del negocio.

Riesgos relacionados a violar legislaciones relevantes y obligaciones contractuales.

Riesgos relacionados a gestionar, controlar y reportar riesgos financieros.



Ejemplo – Escala de categorización de Riesgos

ImpactoEl impacto a las operaciones del negocio y su habilidad para cumplir objetivos estratégicos.

BajoBajo impacto a las operaciones y la habilidad para cumplir con los objetivosestratégicos.

ModeradoImpacto considerable a las operaciones y la habilidad para cumplir con losobjetivos estratégicos.

AltoAlto impacto a las operaciones y la habilidad para cumplir con los objetivosestratégicos.

ProbabilidadPosibilidad de que el evento ocurra en los siguientes 1 a 3 años

BajaBaja probabilidad de que ocurra en los siguientes 1 - 3 años.

MediaProbabilidad media de que ocurra en los siguientes 1 - 3 años.

AltaAlta probabilidad de que ocurra en los siguientes 1 - 3 años.



Ejemplo – Mapa de Riesgos

Escala de Categorización

Impacto:El impacto a las operaciones del negocio y la habilidad de cumplir con los objetivos estratégicos.

Probabilidad:Posibilidad de que el evento ocurra en 1 a 3 añosP

rob

abili

dad

Impacto

Probable

Posible

Improbable

Alto Medio Alto



Ejemplo – Mapa de Riesgos

AltaLos riesgos en esta categoría son significantes en consecuencias y amenazan la habilidad de la organización para cumplir sus objetivos estratégicos y son de alta probabilidad de ocurrencia.

Medio

Los riesgos en esta categoría pueden tener altas consecuencias pero son menos probables de que ocurran. Alternativamente, pueden tener bajas consecuencias pero con más probabilidad de ocurrencia.

BajoEl riesgo en esta categoría tendrá consecuencias limitadas para que la organización cumpla sus objetivos estratégicos y son poco probables de que ocurran.



Ejemplo – Narrativas y Diagramas de Proceso

CONTROL

CONTROL



Ejemplo Modelo General de Matriz de Riesgos y Controles

OBJETIVO

DESCRIPCIÓN DEL RIESGO

• IMPACTO• PROBABILIDAD

• CATEGORÍA

TIPO DE CONTROLAutomático

ManualPreventivoDetectivoCorrectivo

DESCRIPCIÓN DE CONTROLES EXISTENTES

DISEÑO DE PRUEBA DE AUDITORÍA CONTINUA

Modelo General de Matriz de Riesgos y Controles

RESPONSABLE DEL CONTROL



PRÁCTICA

Las narrativas de procesos nos pueden ayudar a...

a) Identificar controles claves

b) Conocer más a las personas del proceso

c) Saber cómo eliminar los riesgos

d) Determinar el tiempo de la auditoría



PRÁCTICA

Una matriz de riesgos y controles no necesita incluir...

a) Dueños del control

b) Tipo de riesgo

c) Tiempo de existencia del control

d) Si el control es manual o automático



PLANIFICACIÓN DE LA AUDITORÍA CONTINUAActividades

• Determinar el nivel de automatización de los controles claves• Identificar y comprender si los controles claves están basados en datos

de los Sistemas de Información (SI)• Conocer y comprender las fuentes de datos de los SI• Evaluar las herramientas de Auditoría Continua existentes (Desarrollo

interno, análisis de datos, Business Intelligence, etc.) • Evaluar competencias del personal de Auditoría Interna para realizar

las pruebas de Auditoría Continua






Emitir Reporte

PLANIFICACIÓN DE LA

AUDITORÍA



PLANIFICACIÓN DE LA AUDITORÍA CONTINUAActividades

• Definir los objetivos de la Auditoría Continua• Obtener aprobación del Comité de Auditoría, Alta Dirección y/o Junta• Determinar el nivel en que la Administración ha implementado

monitoreo continuo• Considerar el área de Tecnología (TI) durante todo el proceso• Determinar el alcance y nivel de frecuencia de las pruebas• Establecer fuentes de información para realizar las pruebas• Asegurar tener los accesos requeridos a dichas fuentes de información• Determinar confiabilidad de los datos






Emitir Reporte

PLANIFICACIÓN DE LA

AUDITORÍA



Posibles fuentes de información para un esquema de auditoría continua pueden ser...

a) Registros de acceso a una aplicación

b) Creación de cuentas de cliente en el sistema

c) Firmas de autorización en actas de trabajo

d) Comprobantes de cheques firmados

PRÁCTICA



EJECUCIÓN DE LA AUDITORÍA CONTINUAActividades

• Realizar pruebas sobre los controles identificados.• Identificar desviaciones o deficiencias en los controles

identificados.• Investigar las razones de las deficiencias identificadas.






Emitir Reporte

EJECUCIÓN DE LA AUDITORÍA

CONTINUA



EVALUAR RESULTADOS Y EMITIR REPORTESActividades

• Establecer niveles de prioridad sobre los resultados. • Preparar recomendaciones y emitir informes.• Re-evaluar y actualizar (de ser necesario) el diseño de

las pruebas de Auditoría Continua.





Diseño de la Auditoría Continua

EVALUAR RESULTADOS Y

EMITIR REPORTE


RESULTADOS/DESARROLLO DE PRUEBAS



Establecer niveles

Establecer por ejemplo, tres (3) niveles para la medición de los posibles hallazgos identificados:

• Nivel 1= Envío de la situación al dueño del proceso con copia a su superior. Esto Implicaría la resolución inmediata del problema y posible llamado de atención verbal.

• Nivel 2= Envío de la situación al encargado del área con copia a la Alta Dirección. Integraría la resolución inmediata del problema y un llamado de atención escrita.

• Nivel 3= Envío de la situación al encargado del Área con copia al Comité de Auditoría. Esto contemplaría la resolución inmediata del problema y notificación escrita con copia al expediente de las personas involucradas.

FUENTE: Cobit 4.1 – Resumen Ejecutivo, ISACA www.isaca.org


Desarrollar pruebas: Creación de proveedoresObjetivo de la Prueba: Verificar que se de una depuración oportuna de la información de los maestros de proveedores, y asegurar la calidad e integridad de los datos de proveedores.

Pruebas a realizar: Obtener los maestros de proveedores en los sistemas correspondientes y verificar:

• Que no existan proveedores que no hayan sido utilizados en un periodo.

• Que no existan proveedores duplicados (por número de auxiliar, NIT, nombre -similitud-, cuenta bancaria, etc.), o con información faltante (descripción, cuenta, nombre genérico).

• Que no existan auxiliares vigentes correspondientes a empleados con estatus de BAJA

• Que no existan auxiliares de proveedores correspondientes a empleados (activos o inactivos).

Frecuencia Sugerida: Diaria

Alcance: Bases de datos de proveedores en el sistema de información de sistema ABC y del personal de empresa en sistema XYZ.


Desarrollar pruebas: Procesamiento de PagosObjetivo de la Prueba: Identificar de forma oportuna la ejecución de pagos duplicados.

Pruebas a realizar: Obtener el listado de pagos diarios y verificar que no existan pagos duplicados en un periodo determinado.

• Identificar pagos duplicados a proveedores.

• Pagos realizados en Panamá al mismo proveedor en otras ubicaciones.

• Posibles pagos en la cta. x pagar de proveedores y en otra diferente.

• Posibles cargos a la cta. de gastos y a la cta. x pagar de proveedores.

• Coincidencia por Auxiliar, Factura, Descripción, Monto, Finiquito.

• Asegurar la revisión de las cuentas por pagos duplicados en moneda local y en dólares.

• Identificar pagos de los sistemas ABC, realizados también por Cheques manuales.


Alcance: Bases de datos de proveedores en el sistema de información de sistema ABC


Desarrollar pruebas: Ejecución de PagosObjetivo de la Prueba: Asegurar que los pagos sean aprobados por personal autorizado y de acuerdo a los montos.

Pruebas a realizar

• Verificar la autorización de los pagos en banco de acuerdo a los niveles y montos autorizados. Adicional, verificar que no existan pagos fraccionados que superen los límites de autoridad.


Alcance: Bases de datos del sistema XYZ


Resultados de Auditoría Continua de Pagos

1. Comparación Mensual de Excepciones

2. Excepciones del sistema de contabilidad

3. Excepciones del sistema para pago de proveedores internacionales


Proceso de Pago a Proveedores


Comparación Mensual de Excepciones

1295

20522144

1604

1085

14001301

840 839 888754

893 863767

0

500

1000

1500

2000

2500

Enero Febrero Marzo Abril Mayo Junio Julio

Auditoría Continua - Proceso de Pagos

Sistema CG

CitiDirect

Excepciones mensuales identificadas entre Enero y Julio 2013

Excepciones del sistema de contabilidad



Pagos a Proveedores

4

8

6

4

3

9

3

1

0

3

2

9

0

5

0

1

2

3

4

5

6

7

8

9

10

Enero 13 Febrero 13 Marzo 13 Abril 13 Mayo 13 Junio 13 Julio 13

Pago a Empleados Registrados como Proveedor

Pagos Sin Numero de Docs


Pagos a Empleados Registrados como Proveedor

Status Tipo Codigo Nombre NIT Zona ID Estado Cedula Empresa Fecha Numero ImporteV PN 1000113 DANIELA BRANDIMARTI 29126337 ATORP 12834 ACTIVO 29126337 HEADQ 1130607 5 188.85V PN 16269 PAGES DEBORA 0922005160 ATOPE 11305 ACTIVO 0922005160 HEADQ 1130627 49 221.07V PN 17134 MARTHA SOFIA ANDA LOPEZ 1710743764 CGAPE 08800 ACTIVO 1710743764 HEADQ 1130704 9 275.28V PN 17312 WILSON DANIEL BRIONES ECHEVERRIA 1710818913 COMPE 15434 ACTIVO 1710818913 HEADQ 1130711 28 23.68V PN 17328 CONTRERAS CHACON LILIAN VANESSA 0909049306 ATOPE 15633 ACTIVO 0909049306 HEADQ 1130606 7 340.56V PN 17369 JUAN FRANCISCO TROYA SZTANKAY 1713676532 COMPE 16490 ACTIVO 1713676532 HEADQ 1130606 7 241.00V PN 176656 CAMARGO GONZALEZ SANDRA LETICIA 46365210 PMAPE 20214 ACTIVO 46365210 CMCOL 1130604 4 1069.92V PN 31074 RICARDO VIERA 18954538 ATOPE 23835 ACTIVO 18954538 HEADQ 1130610 3 742.32V PN 37071 LEONARDO BUSTAMANTE 30543086 ATOPL 11632 ACTIVO 30543086 HEADQ 1130729 13 730.97V PN 37100 ANDREA FERREIRA 41340631 COMPL 11694 ACTIVO 41340631 HEADQ 1130701 1 2000.64

Auxiliar Empleado Comprobante

Transacciones de Pagos realizadas a Empleados que se encuentran registrados en el Sistema de contabilidad con un Auxiliar tipo Proveedor.

Cierre de Julio 2013

CONFIDENCIAL


Revisión de Proveedores

501 502

550

598554

587557

88 92 80113 114 101 101

138108

155124 108

131167

15 15 13 18 10 19 19

495411 416

514

314

419

508

800

633 646

943969

910

970

0

200

400

600

800

1000

1200

Enero 13 Febrero 13 Marzo 13 Abril 13 Mayo 13 Junio 13 Julio 13

Empleados Registrados como Proveedores

Nit Duplicados

Nombre de Proveedor Duplicado

Proveedores Sin Dirección

Proveedores Sin Nit

Empleados Inactivos con Status Vigente en CG

Excepciones del sistema para pago de proveedores internacionales



Revisión de Usuarios

5 5

1 1

5

1 1

2

0

1 1

2

1

3

0

1

2

3

4

5

6


Usuarios No Autorizados para Realizar Pagos

Usuarios No Autorizados para Aprobar Pagos


Revisión de Usuarios

Usuarios No Autorizados para Realizar Pagos

Nombre Apellido Activo Perfil ID Posición EstatusGABRIELA - GRU DE OLIVEIRA Y GRU PAGOS CTA ROT IMPORTACION 14178 CONTADOR ACTIVOHELEN LACERDA FARIAS - GRU Y GRU PAGOS CTA ROT IMPORTACION 15198 CONTADOR ACTIVONANCY UREÑA Y PTY PAGOS DE ESTACIONES IMPORTACION 13005 ANALISTA DE PLANILLAS ACTIVO

Cierre de Julio 2013

CONFIDENCIAL


Revisión de Proveedores

291

225

150

221

176

300288

4131

47

14

45

23 24

178

157

80

118

184

161

174

45 50 4755

47 43

57

1811

2012 11

25

103 6 8 7 9 8 9

0

50

100

150

200

250

300

350


Proveedor Vigente No Registrado en CG

Proveedor Vigente Inactivo en CG

Número de Proveedor de Citi Diferente al CG

Proveedores Duplicados

Proveedores con Cuenta Duplicada

Proveedores con Info. Incompleta

OTROS EJEMPLOS DE MODELOS DE AUDITORIA CONTINUA



Proceso de Compensación a Pasajeros


Proceso de Compensación a Pasajeros


Efectividad vs Total de inconsistencias(Excepciones otorgadas en reservas)


Efectividad vs Total de inconsistencias(Excepciones otorgadas en reservas aeropuerto)


Excepciones sin código definido


Excepciones con código inválido.


Algunos beneficios de la Auditoría Continua

• Aumento de la eficiencia y eficacia en el trabajo de AuditoríaInterna

• Mayor profundidad y alcance

• Detección temprana de incidencias

• Reducción de gastos de viaje (traslado de auditores)

• Mejora del entorno global de control.

• ERM

• Refuerza aún más la objetividad y la independencia deAuditoría.


Beneficios de un esquema de Auditoría Continua pueden ser...

a) Garantía de evitar excepciones en los procesos

b) Respuesta rápida y ágil a las excepciones de los controles

c) Mayor efectividad de los controles

d) Eliminación de riesgos identificados

PRÁCTICA


FACTORES DE ÉXITO


Factores de éxito – COPA Airlines

• Alineación con la estrategia del negocio.• Camino recorrido.

– Matrices riesgo-control-test– Ley Sarbanes-Oxley– Certificación de Calidad– Inventario de TAAC´s– Nuevos skills auditor

• Tecnología. • Cultura organizacional de control.• Apoyo del Comité de Auditoría y de la Alta Gerencia.• Equipo de proyecto: auditores de TI y auditores financieros.• Actualización de las reglas de negocio: administración cambios en

los modelos.

PRÓXIMOS PASOS


Próximos pasos

• Plan de Auditoría– Auditorías cuando se dan cambios importantes en los perfiles de riesgo más

que por planes anuales tradicionales. – De acuerdo al nivel de riesgo será la respuesta de auditoría en intensidad y

urgencia. – Algunas auditorías completas, otras cortas que requieren una respuesta de

la Administración.– Evaluación continua para medir el nivel de riesgo inherente (indicadores), con

el fin de que las auditorías planificadas aborden los riesgos actuales o emergentes.

• Nivel de detalle de la AC proporcional al nivel de confianza en el monitoreo continuo por parte de la Administración.

• Aseguramiento continuo.• Apalancar AC con la nueva tecnología.• Auditoría virtual?.


Retos Auditoría Continua

• Acceso a la data.• Acceso a herramientas de software.• Conocimiento de técnicas de análisis de datos.• Conocimiento del negocio.• Identificar las fuentes de data más efectivas y los puntos de riesgo y control

para las pruebas y el análisis.• Confiabilidad de los SI.• Automatización del proceso de AC y conexión efectiva entre los sistemas de AI

y el área auditada.• Reportes de AC precisos, comprensibles y oportunos.• Monitorear los modelos utilizados y realizar los ajustes necesarios.• Balance entre costo y esfuerzo versus la exposición a riesgo.• Salvaguardar el acceso a los sistemas de AC.

Fuente: GTAG (Global Technology Audit Guide). Continuous Auditing: Implication for Assurance, Monitoring and Risk Assessment.

CONCLUSIONES



Conclusiones

• Auditoría Continua es un método para evaluar la eficiencia de controles automatizados con mayor frecuencia, manteniendo así su nivel de eficiencia.

• Permite medir de manera concreta un aumento en el nivel de riesgo de la entidad, unidad de negocio y/o proceso.

• La Alta Gerencia recibe alertas simultáneamente o poco después de la ocurrencia de una falla/debilidad en un control.

• Mayor cobertura en la auditoría con la habilidad de hacer pruebas sobre el 100% de la población y reducción de costos de auditoría.

• Evitar enfocar los esfuerzos solamente a la herramienta (Software) y darle mayor relevancia a la metodología detrás del proceso de auditoría continua.


GRACIASMETODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines

Claudia Gutiérrez MBAGerente Senior Auditoría Interna y de TI de COPA Airlines

Julio R. Jolly Moore, MBA, MSI, CRMA, CFE, CGEIT, CRISC, ISO, Internal Audit QualityAssessmentSocio Director – Global Advisory Solutions


Documents

Retos y lecciones aprendidas de un caso real en COPA …gloadso.com/pdf/auditoria-continua-copa.pdf• Monitoreo continuo –Mecanismo de retroalimentación, principalmente usado por