Pablo G. Nessiera-Continua-e...KRI Riesgos La probabilidad y/o severidad de un evento de riesgo. Advertir la situación respecto del apetito de riesgo (encuadre / tolerancia superada)

1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina

Pablo G. Nessier


Pablo Germán Nessier

CISA

Gerente de Auditoría Interna

Nuevo Banco de Entre Ríos S.A.

2


Se desempeñó como Gerente de Auditoría Interna en

diversas Entidades Financieras.

Actualmente es Gerente de Auditoría Interna en

Nuevo Banco de Entre Ríos S.A.

Partícipe activo del desarrollo metodológico e

implementación de modelos de Auditoría Continua.

Disertante en diversas exposiciones y conferencias

locales e internacionales.

Director del Comité de Auditoría Continua del IAIA.

CISA (ISACA)

3

Pablo Germán Nessier

<Su foto>


La presentación está basada en un caso de implementación exitosa de

Auditoría Continua (AC), iniciado en 2010 y que atravesó diferentes

etapas en su metodología, uso tecnología y madurez en general.

Objetivos:

Se hará foco en mostrar la relación que existe entre AC y los

indicadores claves: KRI, KCI, KPI.

No obstante, se destinan 5 slides iniciales sobre la temática de AC en

general a efectos de estandarizar conceptos …

… y seguir pregonando la AC!


1986/91: AT&T + Universidad Rutgers

2002: Sarbanes Oxley S404 y S409

2005: IIA GTAG#3

2006/09: COSO Monitoring

2010: ISACA - Guía 42

2010: ICAA 2013: COSO ERM

2006/09

2010

2014: IAI España

2015: IIA GTAG#3 2da Edición

1992: Modelo de Control COSO

2010: Modelo de las Tres Líneas de Defensa


Cambió el paradigma para nosotros y

también para los “stakeholders”

6

Cambió el negocio => debe evolucionar la Auditoría

Nos cansamos de recibir

“incómodas preguntas…”


Auditoría Continua es muy oportuna

7

Auditoría Continua es muy disuasiva

Se elimina el riesgo de muestreo y las

proyecciones de “escasa precisión”.

En una empresa madura, los desvíos son

escasos… pero existe menor tolerancia.


Muchas industrias

evolucionan hacia la

sistematización total de

sus operaciones. Por

ejemplo, la financiera

(cantidad de normas del

BCRA vinculadas a

Canales Electrónicos)

8

Análisis por trimestre

0

1

2

3

4

5

6

7

8

2016-1Q 2016-2Q 2016-3Q 2016-4Q 2017-1Q 2017-2Q 2017-3Q(parcial)

Normas canales Electrónicos

1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 9

Nuevos jugadores: en los últimos

tiempos el BCRA aprobó 2 bancos:

ambos digitales

Aparición de FinTech, créditos on-line, PSP,

atención virtual, etc.

Clara profundización de la tendencia del mercado:

TSA Banking

BCRA.A6277


“…sin embargo existe cierta dificultad en clasificar unívocamente cada indicador, pues

el mismo podría ser adjudicado a distintas clases según el usuario que lo emplee.”

Tipo Mide Mide Principal aplicación

KRI Riesgos La probabilidad y/o

severidad de un evento de

riesgo.

Advertir la situación

respecto del apetito de

riesgo (encuadre /

tolerancia superada)

KCI Controles La efectividad de un

control especifico.

Mostrar el resultado de un

control (el éxito o la falla

del mismo).

KPI Performance Medir el cumplimiento de

una meta definida.

Advertir el logro (en

defecto o en exceso) de

una meta.


KCI

KPI

KRI

Estamos alcanzando nuestras

metas de desempeño establecidas?

Cómo está cambiando nuestro perfil

de riesgo?

Está dentro del umbral de tolerancia?

Cuán efectivo es el Sistema de Control

Interno de cierto proceso?


Auditoría

Tradicional

Escaso uso de herramientas

automatizadas - Evaluaciones

mediante muestreo.


Desarrollos de scripts individuales / escasa

integración con Auditoría Tradicional.


Estandarización de scripts (repetitivos), gestión

manual de casos con planillas de cálculo:

Clasificación de Scripts


Automatización de scripts mediante

herramientas del Sistema Operativo,

herramienta de gestión de casos.

Agrupamiento de Scripts


Sistematización total: Aplicativo de

scripting y administración de corridas,

gestión de casos, interacción con el

auditado y emisión de reportes.

Interconectado con el Sistema de

Auditoría.

Mapeo de scripts con objetivos de

control de Auditoría.


Los scripts de AC operan muy “cerca de los

datos”…

Generamos una clasificación de scripts:

A-Inusualidades

B-Perjuicio económico

C-Debilidades de Control

D-Tendencias

E-Informativos / Gestión

…pero –casi siempre- la información final

requería mayor “distancia” o abstracción.


1) Muchos scripts están mapeados 1 a 1 con los

Objetivos de Control.

3) Consolidación de scripts para generar Indicadores Clave:

-Indicadores tipo A-Inusualidades que se combinaron

-Indicadores B-Perjuicio económico y C-Debilidades de Control

-indicadores D-Tendencias o E-Informativos

2) Automatizar la generación de información


AC suministra la mejor y más

oportuna información.

A veces los scripts de AC

“cubren” carencias de los

Sistemas Core.

Los scripts de AC

están muy cerca de

los datos

Transferencia de controles a otras LoD


3er Línea

Auditoría Interna

(Evaluación

independiente)

2da Línea

Funciones de supervisión

de riesgos y controles

(p.e.: Compliance)

1er Línea

Controles de línea

(p.e.: Gestión operativa)

Aseguramiento continuo

•Pruebas de auditoría sobre los monitoreos continuos de la primera y

segunda líneas de defensa.

•Auditoría Continua

Monitoreo

Continuo

Pruebas de

auditoría de

la 1er y 2da

línea de

defensa

Auditoría

Continua

Permanente

evaluación de

riesgos y

controles

Técnicas de

Auditoría

Continua


Qué condiciones deben darse:

› Accesos ilimitados + repositorio propio

› Herramienta (lo “manual” es transitorio)

21

Qué aspectos automatizar: evaluación de riesgos

y también otras consideraciones.

Roles y Funciones de Auditoría Continua

› Es una metodología de la Gerencia?

› Es un sector?

Aud Cont

Proc

Ind

TI

Suc

Gcia

SupA

Suc Proc

SupB

Cont TI

Umbrales / Interpretación de resultados:

› Cuidado con los KCI!

› Desvío <> Observación

› Seguimiento: cambio de enfoque.


Para el planeamiento: AC genera KRI.

Revisión permanente.

22

Los KRI´s no son un fin en sí mismos. AI los

puede tomar para direccionar los recursos de

Auditoría Interna.

Requerir aprobación y consensuar

la definición de umbrales.

Consolidación de resultados para

generar KRI: operadores correctos,

ponderadores.


Automatizan una Prueba de Funcionamiento de los Controles / Cumplimiento.

23

Idóneos para pruebas de funcionamiento y también de diseño.

Nivel de consolidación razonable (por ejemplo Ciclo/Proceso/Momento/OC).

Muy útil la comparación en el tiempo (tendencia)


eSpecífico, Medible, Alcanzable,

Relevante, durable en el Tiempo.

24

KPI de AI: Dotación, certificaciones,

avance del plan, plazos de procedimiento,

refutadas, tiempos de verificación,

encuestas a clientes, etc

Son un fin en sí mismos y pueden estar

mapeados a un único script de AC

Otros KPI: plazos de respuesta, de

remediación, reprogramaciones,

reiteraciones, etc


Queremos “cubrirnos” y tener justificaciones? o… … mejorar nuestra performance con AC?

Regla general:

1 script = 1 KPI / KCI

n scripts = 1 KCI / KRI

Atención con las interacciones

KPI

KRI KCI

Capacitación interdisciplinaria (técnica / funcional)


Dar el primer paso puede parecer difícil, los

siguientes “metros” serán apasionantes!

Herramienta para identificar a quien conspira

contra el inicio del proyecto de Auditoría Continua

Somos conscientes que

dentro de un tiempo nuestra

empresa tendrá un modelo

de AC mas evolucionado

que el actual?

#ProgresarCompartiendo #CLAI2017

Los invitamos a compartir sus comentarios en twitter e Instagram:

Documents

Pablo G. Nessiera-Continua-e...KRI Riesgos La probabilidad y/o severidad de un evento de riesgo. Advertir la situación respecto del apetito de riesgo (encuadre / tolerancia superada)