nuevas tecnologas

Auditora a distancia y Auditora continua

Auditora tecnolgicamente avanzada:

Estas tcnicas de auditora se estn extendiendo en las organizaciones. Es la evolucin lgica resultante de la mecanizacin de las pruebas de auditora tradicionales. A pesar de los mltiples beneficios que aportan, su aplicacin no es simple e implica un cambio estratgico relevante para la funcin de auditora

pg
42

pd

Manuel Mendiola Antona

Certificado CIA, CISA y CISM Director IT Advisory KPMG

unque la auditora tradicional basada en pruebas sustantivas sobre una muestra de la poblacin a analizar est dando paso a un enfoque orientado al anlisis de los riesgos y controles existentes en la organizacin, el enfoque sustantivo sigue siendo necesario. En ocasiones, el auditor no tiene suficiente confianza en los controles existentes, se producen cambios estructurales o tcnicos que implican nuevos riesgos que tardan un tiempo en gestionarse, o simplemente algn factor imprevisto hace que se origine una incidencia material debido a un riesgo tericamente controlado. Al mismo tiempo, las auditoras internas y/o externas, se enfrentan a organizaciones cada vez ms grandes, con un mayor volumen de operaciones y con unos procesos cada vez ms automatizados. Incluso en una auditora enfocada exclusivamente a la revisin de controles, la validacin de los mismos puede suponer una carga de trabajo enorme para cubrir un umbral de riesgo razonable y probar adecuadamente el funcionamiento de los controles seleccionados. Por ello, es necesario plantearse tcnicas que permitan afrontar esta situacin con xito. La auditora tecnolgicamente avanzada aprovecha la potencia que ofrecen los sistemas de informacin para plantear la automatizacin de las pruebas, lo que permite incrementar la funcin de control de auditora interna, mejorando su alcance, profundidad, efectividad y periodicidad a la vez que, normalmente, se reduce su coste o se incrementa su eficiencia.

Si bien es cierto que desde hace ms de veinte aos que existen herramientas para esta labor, su utilizacin suele ser aperidica, segn surge alguna necesidad puntual, y sin un plan de accin o incluso metodologa de trabajo definido. El enfoque de auditora tecnolgicamente avanzada es un primer paso que permite, si la organizacin lo desea, adoptar modelos de auditora a distancia y auditora continua. La auditora a distancia pretende facilitar el seguimiento de los diversos riesgos sin necesidad de realizar una visita in situ a la ubicacin fsica objeto de la auditora centros de procesamiento de datos, sucursales, etc..

FICHA RESUMEN
Autores: Manuel Mendiola Antona Ttulo: Auditora tecnolgicamente avanzada: Auditora a distancia y Auditora continua Fuente: Partida Doble, nm. 204, pginas 42 a 47, noviembre 2008 Localizacin: PD 08.11.06 Resumen: El autor hace hincapi en los beneficios del uso de modelos y plataformas de auditora a distancia y/o continua, dado que incrementa notablemente el control sobre los procesos de negocio, ayudando a centralizar y facilitar pruebas crticas y recurrentes, as como priorizar las acciones a tomar. No obstante, advierte que su aplicacin no es simple, e implica un cambio estratgico relevante en el que habr que considerar aspectos como el mbito de actuacin a cubrir, la implicacin de las reas de tecnologa, recursos tcnicos y humanos relacionados con el seguimiento de los eventos, canales de comunicacin con las unidades, anlisis funcionales, anlisis tcnicos, etc. Descriptores ICALI: Auditora. Tecnologa. Sistemas integrados de gestin.

pd

pg
www.partidadoble.es 43

nuevas tecnologas

n 204

noviembre 2008

Una auditora contina(1) permite, adems, detectar desviaciones respecto a una situacin de normalidad casi en el momento que se producen, lo que redunda en un mayor autocontrol de los riesgos y un incremento en la sensacin de control por parte del auditado. Para ello, se recopilan una serie de evidencias e indicadores eventos con una periodicidad determinada. Estos eventos, a su vez, generan un determinado volumen de ocurrencias que han de analizarse posteriormente. Por ejemplo, gran parte de las pruebas de auditora que se realizan en las visitas presenciales a las sucursales de las entidades financieras se podran automatizar y ejecutar de forma centralizada, lo que ahorrara tiempo y dinero en desplazamientos y permitira cubrir diariamente el 100% de las sucursales que pueden ser miles, en vez de realizar las pruebas sobre una muestra de ellas una vez al ao.

Entre otros, es conveniente que esta plataforma tenga una serie de mdulos que permitan la administracin y parametrizacin de eventos, la consulta de resultados, la asignacin de los mismos a los diferentes auditores, comunicacin con las unidades auditadas, etc. Tambin existen herramientas en el mercado orientadas a este tipo de enfoques, aunque es necesario evaluar si realmente cubren nuestras necesidades por completo o nos conviene ms llevar a cabo un desarrollo a medida.

BENEFICIOS POTENCIALES
El uso de estas tcnicas implica numerosos beneficios. Entre otros cabe destacar: 3 Se puede llegar a revisar el 100% del universo auditable de la organizacin. 3 Se analiza el 100% de las operaciones en vez de auditar muestras. 3 La revisin se puede realizar con una periodicidad diaria. Permite la creacin de un sistema de seguimiento permanente de la evolucin de los riesgos. 3 El plan de auditora se puede adecuar segn los resultados obtenidos diariamente. 3 Permite realizar pruebas adicionales sobre la calidad, consistencia e integridad de la informacin. 3 Se incrementa la sensacin de vigilancia en el rea auditada. 3 Los auditores se pueden especializar en el anlisis de determinados tipos de ocurrencia. 3 Se reduce el riesgo de auditora. 3 Se pueden generar fcilmente rankings, estadsticas y anlisis. 3 Facilita la deteccin de fraudes u operaciones errneas al poco tiempo de producirse (auditora preventiva).

ASPECTOS A CONSIDERAR
En general, se pueden distinguir cuatro tipos de eventos relacionados con estas tcnicas:
l

Preauditoras: ejecucin de pruebas de auditora predefinidas (simulaciones de procesos, anlisis de integridad) y obtencin de informacin a distancia sobre el departamento, unidad o funcin a evaluar. KPIs (Key Performance Indicators): indicadores, anlisis y ratios clave para el diseo del plan de auditora y la identificacin y priorizacin de los trabajos ms relevantes. Alarmas: alertas sobre cualquier situacin atpica, de riesgo que precisa una intervencin puntual o pruebas en detalle. Excepciones: fallos en transacciones, controles, seguridad, segregacin de funciones, etc.

Un modelo de auditora a distancia y/o continua puede ser algo tan sencillo como un conjunto de consultas al sistema informtico planificadas para realizarse cada cierto tiempo. Sin embargo, un buen modelo supone mucho ms. Se ha de enfocar como sistema de informacin o plataforma independiente desde el que se gestionen los diferentes eventos y se centralicen, distribuyan y analicen los resultados.
(1) No confundir con la monitorizacin continua, la cual se desarrolla por diferentes departamentos de la organizacin como una actividad de control. Aunque el funcionamiento puede ser similar, no goza de la independencia que tiene la funcin de auditora. Cuando una organizacin realiza auditora contina y monitorizacin continua se puede lograr la seguridad continua).

CARACTERSTICAS DEL DISEO

En el diseo de la plataforma para la aplicacin de tcnicas de auditora a distancia y/o continua habr que considerar tres aspectos fundamentales:
l

Ubicacin de los datos: Se define si la plataforma obtiene la informacin necesaria para los eventos directamente de las bases de datos y ficheros de las aplicaciones o bien se crea un repositorio especfico en el

pg
44

pd

Auditora tecnolgicamente avanzada: Auditora a distancia y Auditora continua

que se deposita peridicamente toda la informacin necesaria.

l

En los siguientes cuadros se recoge un resumen de beneficios e inconvenientes de cada una de estas alternativas: UBICACIN DE LOS DATOS Repositorio de informacin Facilita la generacin de histricos. No impacta en el desarrollo del negocio. Ms sencillo. Modelo de datos a medida. Facilita independizar el diseo de la plataforma del diseo de las aplicaciones. Fcil de mantener en caso de cambios relevantes en la estructura de la informacin de las aplicaciones. Complejidad en la extraccin de grandes cantidades de datos. Acceso directo a bases de datos de las aplicaciones No es necesario extraer los datos del entorno de las aplicaciones de la organizacin. No se duplica la informacin. Ocupa menos espacio en disco. Se reduce el riesgo de fallos en la integridad de la informacin. Se incrementa la seguridad de la informacin. Tiempo de ejecucin ms rpido. Es ms complejo implantar la opcin de eventos dinmicos.

Definicin de eventos: Hay que identificar la estrategia a seguir en el desarrollo de eventos para la plataforma.

Eventos fijos: Definidos por el personal de Auditora y desarrollados por el departamento de Tecnologa, un proveedor externo, etc. Cada vez que se quiera crear un nuevo tipo de evento fijo, habra que encargar un desarrollo a medida. Eventos dinmicos: Seran definidos, desarrollados y parametrizados por los propios usuarios de Auditora. Para ello, los auditores podrn programar eventos mediante el uso de una serie de comandos similares (aunque ms sencillos) a los que se utilizan en la creacin de consultas a bases de datos. El departamento de Tecnologa solo participar en caso de que se necesite desarrollar el acceso o la incorporacin al repositorio de un atributo de informacin no recogido hasta ese momento.

Actualizacin de resultados: En la auditora continua habr que definir la frecuencia de actualizacin de los resultados de los eventos, la cual puede ser instantnea (Auditora recibe informacin del evento segn se produce) o peridica se recibe esta informacin con una frecuencia superior, ya sea diaria, semanal, etc..

DEFINICIN DE EVENTOS Eventos Fijos La complejidad de implantacin es baja. Inicialmente se puede definir e implementar un conjunto de eventos. Cada nuevo tipo de evento requiere un desarrollo posterior, ralentizndose su disponibilidad. Eventos Dinmicos El nmero de eventos definibles es ilimitado (dependiendo de la riqueza de informacin de los sistemas o el repositorio). Independencia casi total de reas de Tecnologa. Se minimiza el mantenimiento y maximiza la potencia de la herramienta. Complejidad de implantacin alta.

FIGURA 1
ASPECTOS BSICOS A EVALUAR EN EL DISEO DE HERRAMIENTAS DE AUDITORA A DISTANCIA Y/O CONTINUA

Ubicacin de los datos

Acceso directo BD aplicaciones

Denicin de Eventos

ACTUALIZACIN RESULTADOS

Repositorio
Peridica

Instantnea La informacin de los eventos se actualiza en tiempo real. Posibilidad de responder sin demora ante fallos crticos. Habitualmente, esta opcin no permite el uso de repositorios.

Peridica Los procesos de generacin de eventos se pueden retrasar a los momentos en que los sistemas tienen menos trabajo. La antigedad de la informacin se puede graduar segn la urgencia del evento (por ejemplo, un da para los crticos). Los errores en los procesos son ms sencillos de gestionar.
pg

pd

A c Re tua su liz lta ac do in s

www.partidadoble.es

Eventos Dinmicos

Instantnea

Eventos Fijos

Diseo de la plataforma

Denicin de eventos iniciales

45

Identicacin de atributos

nuevas tecnologas

n 204

noviembre 2008

En el siguiente cuadro se recoge un resumen de estos enfoques orientados a tres posibles modelos de implantacin: TIPO PLATAFORMA
EVENTO FIJO PERIDICA REPOSITORIO EVENTO DINMICO INSTANTANEA BASES DE DATOS EVENTO datos Ubicacin de losDINMICO
Acceso directo BD aplicaciones

Coste implantacin Coste mantenimiento Potencia Impacto en los Sistemas de Informacin

Muy Bajo Alto Baja Muy Bajo

Alto Bajo Muy alta Alto

Denicin de Eventos

Muy Alto Alta

PERIDICA REPOSITORIO Repositorio

Bajo

Naturalmente, la estrategia a seguir depende de varios factores como el tamao de la organizacin, necesidades, objetivos establecidos, cada cuanto es necesario incorporar o modificar eventos, etc. Adems de los aspectos mencionados, es conveniente que una plataforma de auditora a distancia y/o continua rena las siguientes caractersticas: 3 Se puedan modificar todos los parmetros del evento que se desee valores que generan ocurrencia, periodicidad de ejecucin, importancia. 3 Se pueda ajustar la gravedad de un determinado evento en funcin del departamento o unidad auditada. 3 Se puedan excepcionar situaciones especiales para que no generen ocurrencias. 3 Se pueden definir diversos tipos de rankings.

FASES DE UNA POSIBLE IMPLANTACIN DE UNA PLATAFORMA DE AUDITORA A DISTANCIA Y CONTINUA

Diseo de la plataforma

Denicin de eventos iniciales

Identicacin de atributos

Desarrollo de la plataforma

Formacin

Implantacin

3 Las ocurrencias se asignen a los distintos auditores y equipos, siendo posible supervisar su anlisis. 3 Se puedan crear solicitudes automticas de informacin a las unidades auditadas. 3 Ejecucin de eventos en modo Pruebas que permita evaluar diversas combinaciones de parmetros hasta encontrar la que se ajusta al volumen de ocurrencias esperado/gestionable. 3 Ha de ser escalable y adaptable a situaciones y requerimientos futuros 3 En general, el funcionamiento de la plataforma sea simple e intuitivo. A continuacin se recoge un posible conjunto de actividades a realizar en cada fase(2): DISEO DE LA PLATAFORMA
l l

l l

5. FASES IMPLANTACIN
Aunque existen diversas metodologas para el desarrollo de estas plataformas, un posible ejemplo sera el que se recoge en la Figura 2.
pg
46

Identificacin de requerimientos de los usuarios. Anlisis de la solucin tcnica volmenes de datos, dimensionamiento hardware. Validacin de los requisitos. Operativa de negocio y funcionamiento. Diseo del funcionamiento de pantallas, interfaces, etc. Validacin con el usuario. Diseo del modelo de datos de la plataforma. Definir el proceso de extraccin de la informacin, su posterior ubicacin y nomenclatura.

(2) En este ejemplo se ha supuesto el desarrollo completo de una plataforma basada en un repositorio, eventos dinmicos y una actualizacin de resultados peridica.

A c Re tua su liz lta ac do in s

FIGURA 2

Eventos Dinmicos

Instantnea

Eventos Fijos

Peridica

Muy Bajo

pd

Auditora tecnolgicamente avanzada: Auditora a distancia y Auditora continua

DEFINICIN DE EVENTOS INICIALES

l

FORMACIN
l

Definicin de las tipologas de evento a incluir indicadores, alarmas, KPIs, informacin de gestin. Identificacin de los procesos de negocio involucrados, sus riesgos y los controles existentes actualmente. Identificacin y pre-definicin de los eventos iniciales a incluir en la plataforma. Contraste con los programas de trabajo de auditora y la operativa habitual para confirmar que no dejan aspectos susceptibles de automatizar. Definicin de parmetros iniciales. Estimacin de sus valores idneos.

Desarrollo del material de formacin que permita:

3

Proporcionar al administrador de la herramienta los conocimientos necesarios para gestionarla, configurarla, aadir nuevos eventos o parmetros, etc. Proporcionar a los auditores los conocimientos necesarios para navegar por la plataforma, ejecutar las pruebas e interpretar los resultados. Proporcionar los conocimientos necesarios para el mantenimiento tcnico de la plataforma -nuevas funciones, cambios de diseo, etc.-.

IMPLANTACIN IDENTIFICACIN DE ATRIBUTOS

l l l

Puesta en marcha de la plataforma. Pruebas finales. Ajustes finales de la herramienta (eventos y parmetros). Revisin del procedimiento de elaboracin de la planificacin anual de auditora. Cambios organizativos en el departamento de Auditora Cambios metodolgicos en los enfoques de auditora. Cambios metodolgicos en los programas de trabajo

Identificar y analizar los diferentes atributos de informacin involucrados en las diferentes tipologas de eventos. Identificar los campos existentes en los diferentes ficheros y bases de datos de las aplicaciones que proporcionarn los atributos de informacin requeridos. Definicin de pruebas de integridad sobre la informacin extrada. Diseo del repositorio, su ubicacin y los requerimientos de acceso y capacidad. Diseo de los mdulos de conexin entre el repositorio y las diferentes aplicaciones de las que se extraer la informacin.

l l l

6. CONCLUSIONES
El uso de modelos y plataformas de auditora a distancia y/o continua incrementa notablemente el control sobre los procesos de negocio, ayudando a centralizar y facilitar pruebas crticas y recurrentes, as como priorizar las acciones a tomar. No obstante, su aplicacin no es simple, e implica un cambio estratgico relevante en el que habr que considerar aspectos como el mbito de actuacin a cubrir, la implicacin de las reas de tecnologa, recursos tcnicos y humanos relacionados con el seguimiento de los eventos, canales de comunicacin con las unidades, anlisis funcionales, anlisis tcnicos, etc. En funcin del umbral de tolerancia de cada evento, el volumen de ocurrencias ser mayor o menor. Esto determinar el volumen de personal necesario para analizar los resultados obtenidos o al revs, en funcin de los recursos disponibles se establecer el umbral de tolerancia. Su xito no se mide en una reduccin del volumen de auditores del departamento, sino en una mayor cobertura de los riesgos. Por ello, estos proyectos han de plantearse como estratgicos para la funcin de auditora, dotndolos de un volumen de recursos y tiempo muy relevante para su desarrollo y utilizacin.
pg
www.partidadoble.es 47

DESARROLLO DE LA PLATAFORMA
l

Desarrollo de los mdulos de conexin del repositorio con cada una de las aplicaciones para llevar a cabo la descarga de informacin. Gestin de problemas volmenes ingentes de informacin, ausencia de informacin histrica. Programacin de la plataforma -mdulos de administracin, consulta, comunicaciones, etc.-. Realizacin de pruebas tcnicas y de usuario sobre todo el sistema. Pruebas de diseo de los eventos. Ajuste inicial de parmetros. Elaboracin de manuales.

pd