Cómo mejorar los resultados de la Auditoria a través del Análisis de
Datos
GIT LTDA
Martha Jeaneth Vela Rojas – Consultor EspecializadoCISA, CISM,CRISC, ISO 27001 LA
Augusto Ronchaquira Moreno – Coordinador Soporte ACL
2
Pruebas de Auditoria
• Orientados al entendimiento de la Entidad y su entorno
• El Control Interno
• La Evaluación de Riesgos
Procedimientos de Evaluación de Riesgos
• Verificar la efectividad de los controles que se encuentran implementados
Prueba de Controles
• Verificar la integridad, exactitud y validez de los componentes que se están auditando
Prueba Sustantiva
3
Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (IIA)
2320 Análisis y evaluación
Los auditores internos deben basar sus conclusiones y losresultados del trabajo en análisis y evaluaciones adecuados.
2330 Documentación de la información
Los auditores internos deben documentar informaciónrelevante que les permita soportar las conclusiones y losresultados del trabajo.
GLOSARIO:
Técnicas de auditoría basadas en tecnología - Cualquierherramienta automatizada de auditoría, tal como el softwaregeneralizado de auditoría, los generadores de datos de prueba,programas de auditoría computarizados, y elementos deauditoría de especialización. También se conocen comoTécnicas de Auditoría Asistidas por Computadora (TAAC).
1220 – Cuidado Profesional
1220.A2 Al ejercer el debido cuidado profesional el auditorinterno debe considerar la utilización de auditoría basada entecnología y otras técnicas de análisis de datos.
2300 – Desempeño del Trabajo
2310 Identificación de la información
Los auditores internos deben identificar información suficiente,fiable, relevante y útil de manera tal que les permita alcanzarlos objetivos del trabajo.
Interpretación:
La información suficiente está basada en hechos, es adecuaday convincente, de modo que una persona prudente e informadasacaría las mismas conclusiones que el auditor. La informaciónfiable es la mejor información que se puede obtener medianteel uso de técnicas de trabajo apropiadas. La informaciónrelevante apoya las observaciones y recomendaciones deltrabajo y es compatible con sus objetivos. La información útilayuda a la organización a cumplir con sus metas.
4
NIA 16 – Sección 1009Técnicas de auditoría con ayuda de computadora (TAAC)
Usos de TAACS
• Pruebas de detalles de transacciones y saldo
• Procedimientos de revisión analítica
• Pruebas de cumplimiento de controles generales de PED
• Pruebas de cumplimiento de controles de aplicación dePED
Consideraciones en el uso de TAACS
• Conocimiento, pericia y experiencia del auditor encomputadoras.
• Disponibilidad de TAACS e instalaciones adecuadas decomputación.
• No factibilidad de pruebas manuales.
• Efectividad y eficiencia.
• Oportunidad
Tipos de TAACS:
Software de Auditoria
Programas de computadora usados por el auditor, como partede sus procedimientos de auditoría, para procesar datos deimportancia de auditoría del sistema de contabilidad de laentidad
• Los programas en paquete
• Los programas escritos para un propósito
• Los programas de utilería
Datos de Prueba
Se usan para conducir procedimientos de auditoríaalimentando datos (por ej., una muestra de transacciones) alsistema de computadora de una entidad, y comparando losresultados obtenidos con resultados predeterminados.
• Datos de prueba usados para probar controles específicosen programas de computadora
• Transacciones de prueba para probar característicasespecíficas de procesamiento del sistema de computadora.
5
Entidad Norma/Estándar Año Descripción
AICPA SAS 94 2001 El efecto de las Tecnologías de la Información en la consideracióndel auditor de Control Interno en una Auditoría de EstadosFinancieros
IFAC
NIA 16. Sección 1009. 2004 Técnicas de auditoría con ayuda del computador
NIA 401 2004 Auditoría en un ambiente de sistemas de información porcomputador
ISACA Guía 3 2008 Uso de Técnicas de Auditoría Asistidas por Computador
IIA Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna
2013 Cuidado ProfesionalDesempeño del Trabajo
Normatividad sobre las TAACS
6
• La Auditoria alrededor del Computador (Auditing around the Computer)
Consiste en conciliar los documentos fuente asociados a las transacciones de entrada al computador conlos resultados generados por este, el procesamiento realizado por la aplicación de computador es tratadocomo una caja negra.
• La Auditoria con el Computador (Auditing with the Computer)
Consiste en utilizar el computador para desarrollar labores de auditoría en las diferentes fases del ciclo, ycuenta con desarrollos muy importantes en el campo del análisis de datos, haciendo uso de diferentesaplicaciones, algunas especializadas y otras que no tienen foco específico en auditoria, pero que cuentancon funciones que apoyan alguna de sus fases.
• La Auditoría a través del Computador(Auditing through the Computer)
Consiste en que el auditor evalúa la tecnología para determinar la confiabilidad de las operaciones que no pueden ser vistas por el ojo humano y prueba la efectividad operacional de los controles relacionados con el computador.
Clasificación de las TAACS
7
Técnicas de TAACS más conocidas
•Consiste en un conjunto de datos de entrada, propuestos por el auditor, que se ingresan a una aplicación con el fin de verificar su procesamiento.
Técnica de Datos de Prueba
•Técnica que utiliza transacciones reales de la organización y simula el procesamiento que realiza la aplicación en producciónSimulación Paralela
•Técnica para procesar transacciones de prueba a través de sistemas de aplicación de la empresa, junto con las transacciones realesFacilidad de prueba integrada (ITF)
• Implica tomar una foto de la ruta de procesamiento que sigue una transacción desde la etapa de ingreso de datos hasta la obtención de la salidaFoto Instantánea (Snapshot)
•Consiste en la inserción de rutinas de auditoría en diferentes puntos de una transacción para monitorear el tráfico de datos dentro del programa de aplicación
Archivos de revisión, auditoría y control de sistemas
• integrar software de auditoría escrito especialmente en el sistema de aplicación, de modo que los sistemas de aplicación sean monitoreados de manera selectivaMódulos Embebidos de Auditoria
8
Analizar el 100% de procesos en la organización.
Optimizar tiempos y recursos.
Garantizar el cumplimiento de políticas y normas (internas y externas)
Identificar de manera oportuna desviaciones a los controles.
Dar seguimiento a las incidencias hasta garantizar su resolución.
Apoyar a la organización y dueño del proceso para mejorar su operación.
Retos del Auditor en la actualidad
9
Estudio de PWC sobre Auditoria Interna 2015
Más de 1300 Directores de AI, GerentesSenior y Miembros de Junta entrevistados entodo el mundo .
10
Estudio de PWC sobre Auditoria Interna 2015
82% de los Directores de AI indican que usan elanálisis de datos en algunas auditorias específicas ,pero solo un 48% lo usa como soporte en la tomade decisiones y solamente el 43% para completarsu análisis de riesgo
Obtener destreza en el análisis de datos es un gran desafío para la Auditoria
El norte de la auditoria es utilizar los datos para identificar donderesiden los riesgos en la Organización con el fin de determinardonde deberían centrar sus esfuerzos
La mayoría están pensando en como aprovecharmejor los datos no solamente para ser máseficientes sino mas eficaces.
Se esta iniciando con programas pilotos de análisisde datos
Un cambio de mentalidad para integrar los datosen el ciclo de vida de la auditoria, desde laevaluación de riesgos para la planificación, eltrabajo de campo, la ejecución, seguimiento yreportes
11
10 Imperativos para Auditoria Interna
Juegue un papel protagónico
• Anticípese a las necesidades de las partes interesadas
• Desarrolle prácticas de gestión de riesgos visionarias.
• Asesore constantemente al consejo de administración y al comité de auditoría.
• Sea valiente.
Cierre la brecha de las expectativas
• Respalde los objetivos del negocio.
• Monitoree y haga frente a los riesgos emergentes de tecnología
• Mejore los resultados de auditoría a través de un mayor uso de herramientas analíticas de datos
• Vaya más allá de las Normas del IIA
Invierta en la excelencia
• Invierta en usted mismo
• Incorpore, motive y retenga a excelentes miembros para el equipo
Conferencia Internacional 2015 IIA
12
Medida del uso de TI para procesos de AI
Directores de AI en el Mundo:20% dice que sus departamentos de auditoría interna se basan fundamentalmente en técnicas manuales.40% reporta al menos algún uso de la Tecnología40% indica un uso apropiado o extensivo de la Tecnología a través de todo el proceso de auditoria.
13
Uso de herramientas y técnicas tecnológicas
Los papeles de trabajo electrónicos se calificaron comode mayor uso, posiblemente por la utilización deherramientas de software generalizadas comoprocesadores de palabras y hojas de cálculo.
80% de los Directores de AI dicen que el análisis y la minería dedatos es estratégicamente importante para sus organizaciones.
Los auditores Latinoamericanos hacen un uso amplio de lasherramientas de auditoría automatizadas, con un puntaje muysuperior al promedio global en muchas áreas.
Los auditores internos deben continuar mejorando sushabilidades y técnicas en el análisis de datos para optimizar losresultados de la auditoria
14
Uso de herramientas y técnicas tecnológicas
El uso del Monitoreo y análisis de datos aumentó enun 14% del año 2006 al 2015
El uso de la auditoria continua/en tiempo realaumentó en un 7% del año 2006 al 2015
El uso de la tecnología por parte de auditoresinternos ha aumentado durante los últimos años.
Disminución en el uso de las TAACS que puede serexplicada por el cambio en el alcance y utilización deltermino TAAC en la década pasada.
15
Usos del Análisis /Minería de Datos
5 de cada 10 encuestados dicen que usan la minería yel análisis de datos para la identificación del fraude,el monitoreo de riesgos y controles o las pruebas depoblaciones completas (en lugar de muestras)
Alrededor de 4 de cada 10 para pruebas decumplimiento regulatorio y 3 de cada 10 se enfoca enlas oportunidades de mejora del negocio.
En promedio, aproximadamente una cuarta parte delos análisis de datos se lleva a cabo fuera delDepartamento de Auditoria.
16
¿Cómo apoyan las herramientas Análisis de Datos?
Analizar e integrar datos de múltiples plataformas y formatos
Analizar grandes volúmenes de información
Aumentar la Precisión de los Resultados de Auditoria
Incrementar la cobertura de los análisis realizados, no sobre muestras sino sobre la población total
Mantener la Integridad y seguridad de los Datos
Incrementar la Calidad y el Alcance de las Actividades de Auditoria
Lograr independencia de TI
17
Enfoques en las pruebas de análisis de Datos
Análisis de
Riesgos
Localización de
errores y posibles irregulari
dades
PRUEBA ANALÍTICA
Usos Iniciales de las Herramientas Análisis de Datos
Extracción de Información
Selección de Muestras
Reporte específico para la ejecución de unaauditoria
Reportes filtrados para visitas de auditoriaen sitio
Convertir pruebas de auditoria manuales aautomatizadas
Validar integridad de los datos entablas/archivos
Se utiliza el software de forma ad hoc ypoco planificada
18
No todas las áreas en una organización tienen igual nivel de vulnerabilidad;aquellas que manejan recursos y mercancía como ventas, comercialización,distribución y tesorería siempre serán las más sensibles.
Según varios estudios de Fraude, las áreas más vulnerables son las asociadas conlas compras y contratación, aunque el impacto en ocasiones no es tan grave peroes donde ocurre con mayor frecuencia.
Cuando las debilidades están en el área de contabilidad, tesorería, administracióno de la alta dirección, es cuando el efecto económico tiene mayor incidencia.
El mayor daño económico es atribuible a la información financiera falsa omanipulada.
Aspectos susceptibles para Análisis de Datos
19
El control del material de la empresa. Almacenes, bodegas, centros de repartoson susceptibles de debilidades de control. Especialmente el control de lasentradas y salidas.
En aspectos contables como falta de legalización de anticipos, incremento en losgastos de viaje y representación, creación de activos o pasivos ficticios, comprasinexistentes, pagos dobles a proveedores, cargos indebidos a clientes, falta deoportunidad en las conciliaciones. Son puntos débiles que se pueden incluir en laspruebas de análisis de datos.
En el manejo del efectivo temas como recibos provisionales, dobles reembolsos,sustitución de dinero por cheque o tarjeta, destrucción de facturas ycomprobantes, jineteo de efectivo o cheques , apropiación indebida de dinero sinregistro.
Aspectos susceptibles para Análisis de Datos
20
ACL – Donde logramos que todo suceda?
ACL Launchpad.El Launchpad es el corazón de la plataforma ACL, y esta disponible para todas las suscripciones de ACL. No es
unicamente el punto de acceso para accede a la suite de nuestras soluciones, el Launchpad es el canal de acceso a un repositorio de fuentes adicionales de información para su trabajo, incluidas las siguientes:
InspiracionesCientos de ideas de pruebas Analíticas
Script HubEstudios Análiticos
Prediseñados
Fuentes de Información y Soporte
Encuentre respuestas y aprenda
Academia
Cursos de AprendizajeGuiados Online
21
Gestión de Clientes
• Identificar Clientes duplicadosy/o Fantasmas en el maestro deClientes
• Identificar pedidos procesadospara clientes inexistentes o queestaban bloqueados para laventa.
• Identificar datos del Maestro deClientes que faltan o no sonválidos
• Cruce de la lista del Maestro deClientes con la lista de clientessancionados (Lista OFAC)
• Identificar clientes con altosvolúmenes de devoluciones
Cumplimiento de Pedidos
• Identificar las variaciones encantidad o precio para asegurarla exactitud de las transaccionesentre el pedido del cliente y losdocumentos de envío
• Identificar sobre envíos, envíosparciales y pedidos de fin de añoabiertos aun (no cumplidos)
• Asegurar que todos los pedidosaprobados por el cliente tienencreados sus correspondientesdocumentos de envío.
• Identificar todos los envíos enlos que no existe su pedidocorrespondiente
Cuentas por Cobrar
• Identificar los ajustes realizados por personas no autorizadas en las Cuentas por Cobrar
• Determinar si los clientes son financieramente viables y solventes en su riesgo crediticio de acuerdo con la categorización de las cuentas x cobrar de la compañía dadas por el periodo de tiempo que una factura ha estado pendiente de pago.
• Identificar cualquier factura duplicada
Ejemplos de Pruebas de Análisis de Datos
22
Gestión de Proveedores
• Comparar la lista de proveedores con la lista de empleados, incluyendo familiares directos de los empleados y otros datos particulares, como: direcciones, teléfonos, entre otros.
• Monitorear consecutivos de facturas pagadas por proveedor.
Nomina
• Pagos antes de la Contratación.
• Pagos después de ser Retirados.
• Pago de horas extras a personal no permitido.
• Pago de horas extras más de las permitidas.
• Empleados que toman menos tiempo de vacaciones del permitido por año.
• Empleados con vacaciones en serie, que pueden tomar, inclusive, tiempo de otros.
• Empleados fantasma que se reportan en el pago de Nómina.
• Empleados que reciben múltiples incrementos de Salario durante el año.
Cuentas por Pagar
• Monitorear saldos antiguos de cuentas por pagar y partidas en conciliación antiguas en las conciliaciones bancarias y otras conciliaciones.
Ejemplos de Pruebas de Análisis de Datos
23
Identifique y haga un inventario de todas las pruebas de auditoria manuales
Evalúe cada prueba para determinar si se puede realizar usando análisis de datos
Desarrolle un plan para evolucionar de las pruebas manuales a rutinasautomatizadas de análisis de datos buscando el beneficio para la organización
Implementar el plan para una prueba manual especifica
Evaluar la eficacia
Identificar la siguiente oportunidad de pasar de una prueba manual a una rutinaautomatizada
Pasos iniciales en el uso del análisis de datos
24
El Ciclo del Análisis de Datos
PlanificaciónAcceso a los
Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los
Resultados
25
El Ciclo del Análisis de Datos
Planificación
Acceso a los Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los Resultados
Planificación
Planifique el trabajo antes de empezar el análisis. Definir objetivos claros, desarrollar estrategias concisas, y prever la cantidad correcta de tiempo.
26
Planificación de la Prueba Analítica
Objetivo
Descripción Breve
Salidas
Documentación
PlanificaciónAcceso a los
Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los
Resultados
27
El Ciclo del Análisis de Datos
Planificación
Acceso a los Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los Resultados
Acceso a los Datos
Acceder a los datos identificados para la prueba. Incluir ubicación, solicitud y transferencia de datos.
PlanificaciónAcceso a los
Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los
Resultados
28
El Ciclo del Análisis de Datos
Planificación
Acceso a los Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los Resultados
Verificación de la Integridad de los Datos
Confirmar la integridad de los datos. Sí este paso no se realiza, es posible que los resultados sean incompletos o incorrectos.
PlanificaciónAcceso a los
Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los
Resultados
29
El Ciclo del Análisis de Datos
Planificación
Acceso a los Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los Resultados
Análisis de Datos
Ejecutar la pruebas necesarias para alcanzar los objetivos.
PlanificaciónAcceso a los
Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los
Resultados
30
El Ciclo del Análisis de Datos
Planificación
Acceso a los Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los Resultados
Presentación de Resultados
Crear informes a partir de los resultados y documentar el trabajo.
PlanificaciónAcceso a los
Datos
Verificación de la Integridad de los Datos
Análisis de Datos
Presentación de los
Resultados
31
Presentación de los Resultados
Comunicación de las Excepciones a los
Interesados
Gestión y Monitoreo de las Excepciones
El Nuevo Ciclo del Análisis de Datos
32
Casos de Estudio - ACL
RLI Insurance identificó más de USD 4 milmillones en facturas perdidas, y reveló USD100,000 en pérdidas de fondos anuales para unretorno de la inversión anual del 400%
La Universidad de Valparaíso logró :
Detectar más de 50 tipos de inconsistencias eincumplimientos reglamentarios en el pago deremuneraciones y alrededor de 30 relacionadas conel ámbito académico.
Generar controles estratégicos para 5 áreasdiferentes de la organización.Hawaiian Airlines obtuvo una cobertura de
datos del 100%, que redujo en forma
significativa el uso indebido de beneficios de
vuelo
Lafarge North America redujo los tiempos
de extracción de datos de 20 días a
varias horas
Hospital Corporation of America (HCA) ubicó USD
17 millones en pagos duplicados de la empresa
durante el transcurso de un año
33
Proceso Ciclo de Ventas - Prueba 1 – Precios de Venta Incorrectos
• Se van a buscar los productos que se han cargado a un precio incorrecto. Si los precios de losproductos se mantienen estables, es una prueba bastante fácil de ejecutar. Pero si los precios estánfluctuando (generalmente incrementándose) durante el tiempo. ¿Cómo podemos determinar si unaunidad se cargo con el precio correcto? . Una unidad que cuesta hoy $1000 , pudo estar costando $900hace seis meses.
• Objetivo: Identificar en los pedidos de clientes cualquier producto vendido con un precio de ventaincorrecto.
• Impacto: Relaciones deterioradas con los clientes por cargos adicionales en los precios, demoras yreclamos. Disminución en las márgenes de ganancia para la empresa. Posible colusión entreempleados y clientes
Ejercicio Práctico
34
Proceso Ciclo de Ventas - Prueba 2 – Cantidades Facturadas vs Cantidades Entregadas
• Para esta prueba es importante tener en cuenta que una factura puede ser dividida en múltiplesenvíos parciales . Y que el pedido origen puede ser dividido en varias facturas.
• Objetivo: Asegurar que las cantidades facturadas concilian con las cantidades entregadas
• Impacto: Envíos de cantidades menores pueden ocasionar demoras en los pagos y disputas con losclientes, mientras que sobre-envíos originan perdidas de ingresos
Ejercicio Práctico