Caso de implementación

de Auditoría Continua
Tomás Chíttaro Villar
Pablo Nessier
Juan Nuñez
 Agenda
• Datos generales del Grupo Banco San Juan

• Introducción a la Auditoría Continua

• Metodología aplicada y tecnología

• Ejemplos reales de implementación

 Datos generales
El Grupo Petersen controla el Grupo Banco San Juan, el mayor conjunto
de bancos regionales de la Argentina, con presencia en las zonas mas
ricas y productivas del país. Está integrado por las siguientes entidades
financieras:

Cada uno de estos Bancos es Agente Financiero de sus respectivas

provincias de origen, liderando en depósitos y préstamos del sector
privado en dichas provincias.

En su conjunto se ubica dentro de las 10

principales entidades del Sistema Financiero
Argentino.
Datos Generales - Estructura
282 puntos de atención y más de 1.000
ATM s y TAS en 10 provincias.
más de 4.000 empleados.
1,40 millones de Cajas de Ahorro.
1,05 millones de préstamos a individuos.
732 mil tarjetas de crédito.
2,10 millones de tarjetas de débito.
Activos: $ 36.480 millones.
Préstamos: $ 16.658 millones.
Depósitos: $ 27.212 millones.
Datos Generales - Transacciones
Datos promedios mensuales a Febrero 2014:

21,85 millones de transacciones, aproximadamente el

50% son monetarias.

5,08 millones de transacciones monetarias presenciales.

5,86 millones de transacciones monetarias por canales

alternativos.

1,23 millones de compras con tarjeta de débito.

2,04 millones de compras con tarjeta de crédito.

 Factores claves para el cambio
Crecimiento de la población
bancarizada.

Evolución tecnológica.

Cambios en lo medios de pago.

Constantes cambios normativos.

Mayor competencia = cambios en

estrategias de negocio.
 Factores claves para el cambio
Mayor volumen transaccional.

Mayor automaticidad de los procesos.

Aumento de la rotación del personal.

Creciente riesgo de fraude.

Mayor exigencia de los Accionistas

y el Directorio para reducir la
ocurrencia de irregularidades.
 ¿Por qué no lo revisaron?
¿Esto no salió en tu muestra?
¿En dónde estaba Auditoría?
¿Por qué no lo vimos antes?
¿Para qué me sirve que lo digas ahora?
…y ahora que hacemos?

¿Alguna vez te hicieron estas

preguntas?
En definitiva…
En definitiva…
En definitiva…
 En definitiva…

La buena noticia es que las

herramientas para el cambio
existen, no son costosas y son
fáciles de usar, sólo nos falta dar
el salto hacia la Auditoría
Continua.
 ¿Qué es la Auditoría Continua?
La Global Technology Audit Guide del Instituto de Auditores la define
como: “un método automatizado que aplican los auditores para llevar a
cabo actividades relacionadas con la auditoria de manera continua. Las
actividades van desde la evaluación permanente de los controles hasta
la evaluación permanente de los riesgos.”

Para conocer nuestra metodología de Auditoría Continua, necesitamos

definir el concepto de Monitoreos e Indicadores.

Monitoreos: son procesos pensados o diseñados por un auditor, y

desarrollados por especialistas en programación, que mediante el
análisis y tratamiento de determinada información, generan los
indicadores que van a ser analizados.
 ¿Qué es la Auditoría Continua?
Indicadores: exponen la relación entre datos reales y parámetros
estándar y/o normativos. Nos dan señales tempranas que pueden ser
detectivas o preventivas, y son los casos que luego se analizarán.

En definitiva, la Auditoría Continua es la ejecución periódica de los

monitoreos definidos y la gestión de esos indicadores que generan
resultados inmediatos, los que deben ser examinados para detectar
posibles hechos observables de auditoría, e informados a los
responsables de manera oportuna para la toma de acciones
correctivas.
 El futuro del enfoque de Auditoría
En la actualidad algunos • Actual:
controles se encuentran
automatizados a través de
Auditoría Continua.

En el futuro, la mayoría de las • Futuro:

evaluaciones de auditoría
deberán estar automatizadas,
efectuándose por el método de
auditoría tradicional sólo las
evaluaciones que, por sus
características, no sean
susceptibles de monitoreo
continuo.
 Cambio de Paradigma
Estamos cambiando el paradigma, ya no interesa
saber que en un 99,95% del universo los
procedimientos se cumplen, sino que interesa
identificar y neutralizar el 0,05% restante.
 Proceso de Maduración
CAAT CAAT CAAT
MUESTRA AISLADA REPETITIVA AUTOMAT. CONTINUA

Muestras de Se Se crea el área Marco

Se reutiliza
“n” casos. construyen y de Auditoría Metodológico:
código, se
Revisión ejecutan Continua para estrategia de
construyen
manual y CAATs en construir el “Gestión de casos”,
funciones
proyección. cada revisión “CONTEXTO”. tratamiento de
comunes y se
tradicional. (recursos resultados y
reiteran CAATs.
técnicos y migración de
contables). controles
tradicionales.

Automaticidad, seguridad, alcance, periodicidad, eficiencia.

 Marco metodológico
Definición de
actores y sus Procesos y
funciones tecnología

Informes
Tipificación

Gestión de Interpretación
casos (MAC) de resultados

Desarrollo propio del Grupo Banco San Juan

 Actores y funciones
Idea

Producción

Corridas Gestión
Validación
Desarrollo
IATs (*)
Casos

(*) Indicador de Alerta Temprana

 Esquema tecnológico 1/2
Bases
Tareas programadas *.FIL origen

Descargas
(1) *.FIL

Corrida
Monitoreos
BATCH principal (n IATs)

Subidas
,
(1) Base MAC
*.FIL (casos)
Esquema tecnológico 2/2
ODBC
WS-ACL1

WS-ACL2
Bases de
Virtualización Datos y
otros

Subida automática Base MAC

(casos)
 Tipos de monitoreos
A.- Detectivos de inusualidades
Tipificación Ejecución
de Proceso
B.- Perjuicio económico
Frecuenci
C.- Debilidades de control a
Emisión establecid
D.- Tendencias de a
reporte
E.- Informativos / Gestión Espontáne
o (ad hoc)

Priorización

Tipos de
monitoreos

Frecuencia
Tipos de resultados
T - Tareas
P - Pistas
C - Complementarios
Información para I – Informativos
la interpretación Tipos de resultados
de resultados
Interpretación de los resultados
Universo = N = 200.000
Por muestreo:
Nivel de Confianza=90%
Límite máximo de errores=3%
Tasa de errores previstos=1%
Análisis: n=178 casos, soporta hasta 2 desvíos.

Por Auditoría Continua:

Análisis: 200.000 casos
 En la práctica
Resultado de analizar la muestra de n=178 casos:
Desvíos detectados= 0 casos
Menor a TEP Muestra válida.

Resultado del Reproceso de 200.000 casos:

Desvíos totales= 63 casos (0.0315%)
Conclusiones
Con muestra Con Auditoría
Continua
Comando EVALUATE, 90% Los desvíos no El total de
de confianza: la Frec.Máx.no superan los desvío es
es Superior a: 1.3% 2.600 casos. 63 casos.

Los 63 casos, afectan el Control Interno???

 Técnicas de análisis de resultados

Cada desvío requiere modificar los procedimientos?

Debe considerarse el “peso relativo” de los desvíos?
Es útil (y factible) el análisis y/o dictámen individual de los casos?

Soluciones:

Umbrales Tendencias

Los parámetros para el “tratamiento de los

resultados” deben definirse en cada monitoreo de
acuerdo a cómo impactan en el Control Interno.
 Escenario anterior y actual

Antes formábamos nuestra Ahora, la extrema precisión y

opinión basados en exhaustividad de la Auditoría
conocimiento limitado. Continua nos permite conocer
“el todo.”
Gestión de casos (Sistema MAC)
 Emisión de Informes

Afecta el SI Observación con

Control plan de acción.
Interno
Monitoreo ?
NO
continuo

Importante:
En cualquier
Genera
caso, se continúa
informe
ejecutando el
monitoreo.
(Seguimiento de Esquema de
seguimiento de
la evolución) observaciones
Gerencias Comité de
de línea Auditoría
 Qué estuvimos repasando?
Definición de
actores y sus Procesos y
funciones tecnología
(Conexiones,
Servidores y
Batchs)

Informes
Tipificación
(algunas
clasificaciones)

Gestión de Interpretación de
casos (Nuestro resultados (umbrales,
sistema MAC) tendencias)
 Casos Prácticos
Auditoría tradicional Auditoría continua
Sobre los últimos xx 3 meses En línea
Sobre o sobre
“las “las
transacciones
Oportunidad
meses, unaa vez
anteriores al año.
la visita. transacciones
de ayer”. de ayer”.

Ej.: Control de extracciones y depósitos por el mismo

importe y cajero sobre una misma cuenta con un día de
diferencia.

Resultados:
Extracciones sin presencia
del titular.
 Casos Prácticos
Auditoría tradicional Auditoría continua
Algunos
Sobre ítems
una por 100
muestra, Sobre la totalidad de la
Extensión Para el universo.
muestreo.
casos en forma anual. población, 83.280 casos

Ej.: Control de tasas fuera de pizarra para la

totalidad de préstamos otorgados por ATM.

Resultados:
Se evitó una pérdida de $ 65.480.
Potencial pérdida $25 MM
 Casos Prácticos
Auditoría tradicional Auditoría continua
Muestra de 20 casos Se analizan solo los casos
Demanda de Requiere análisis El análisis masivo es
analizando cada uno en forma con problemas, previo
recursos individual. efectuado por un sistema.
individual y manual análisis automatizado

Ej.: Análisis sobre principales deudores (graduación,

fraccionamiento, datos BCRA, etc.). Se agrupa la
información de varios sistemas y solo se analizan
aquellos fuera de parámetros establecidos.
Resultados:
75% de ahorro de horas
hombre al analizar
únicamente los desvíos.
 Casos Prácticos
Auditoría tradicional Auditoría continua
Muestralos
Sobre decasos
casos al momento Totalidad
Sobre los de extracciones,
casos que
Foco de de la visita (trimestre
seleccionados en la anterior coincidentesalguna
presentan con depósitos y
auditoría a la visita)aleatoria. cancelan excepcional.
saldo deudor
muestra situación
mayor a 20 días
consecutivos
Ej.: Control de extracciones y depósitos fuera de
hora, para cancelar saldo deudor.

Resultados:
Se detectaron empleados
cancelando saldos deudores
de clientes.
 Casos Prácticos
Auditoría tradicional Auditoría continua
Relación costo-beneficio
No realizable. Implementación por
En forma semanal.
Factibilidad
negativa. sistema.

Ej.: Control de stock, habilitación y uso de

tarjetas de débito.

Resultados:
Se detectaron 700 casos de
tarjetas que operaban en
ATM, pero no se encontraban
entregadas en sistema.
 Casos Prácticos
Auditoría tradicional Auditoría continua
Se solicitaban 25 casos en Los auditados
Consulta de no saben en
desvíos
Ambiente de Los auditados saben que
forma aleatoria, una vez al el
forma
que ypermanente
el cuando a la
control vamos
año 1 vez al año. totalidad de sucursales.
estamos revisando.

Ej.: desbloqueo de cuentas inmovilizadas, nuevos

clientes con domicilios duplicados, comisiones
fuera de pizarra, entrega de chequeras en exceso,
diferencias de cotización en operaciones de cambio,
etc.
Resultados:
-Preguntas de los auditados: ¿Qué están
mirando? Por qué?
- Concientización de cultura de control.
 Casos Prácticos
Auditoría tradicional Auditoría continua
Se actualiza revisión para Se adecúan parámetros de
Visión Estática. Dinámica y de futuro.
ejercicio siguiente selección de acuerdo a los
cambios

Ej.: Control de venta de moneda extranjera:

• Primer etapa: con débito en cuenta,
• Segunda etapa: con validación de Afip,
• Tercera etapa: con depósito en cuenta o depósito en
plazo fijo por el término de un año.

Resultados:
-Detección de operaciones sin débito en
cuenta (por sistema de contingencia);
no registradas en Afip/Banco o con
diferencias de valores.
 Casos Prácticos
Auditoría tradicional Auditoría continua
Aporte para la Depende
Se de la
analizaban los Se analiza la totalidad de la
Punto de partida para el
detección de movimientos de
aleatoriedad en lalasmuestra
cuentas operatoria de los
análisis de Fraude.
fraudes ydeelempleados,
azar. una vez al año empleados.
y sobre el trimestre anterior a
la visita.

Ej.: cheques cobrados por empleados librados

por clientes.
Resultados:
-Detección de empleados que cobraban
comisiones de más a clientes.
 Cantidad de Indicadores
en Ejecución
Clasif. TIPO CANTIDAD

A Fraudes 11

B Perjuicio económico 21

C Debilidades de control 49

D Tendencias 10

E Informativos / Gestión 8

TOTAL 99
 Indicadores dados de Baja
(pasadas a la línea)
- Control de operaciones de cambio correspondientes
a comercio exterior fuera de plazo.

- Créditos para la inversión productiva: cupo y

condiciones para su otorgamiento.

- Operaciones de cambio no coincidente con Afip.

- Control de bloqueo de cuentas a clientes fallecidos.

 Indicadores dadas de Baja
(por adopción de medidas)

- No desbloqueo de cuentas inmovilizadas con

créditos.

- Existencia de “login” de usuarios con licencia.

-Control de alta de préstamos con garantías

insuficientes.

- Control de comisión de paquetes de cuenta.

 Ventajas de la Auditoría Continua
• Identificar oportunamente transacciones inusuales que requieran
atención inmediata.
• Identificar potenciales fraudes.
• Evaluar controles y mitigar riesgos en tiempo real.
• Confianza en la integridad de resultados.
• Reducir el tiempo y costo de realizar las pruebas de controles.
• Total cobertura e incremento de frecuencia de las pruebas.
• Incrementar la eficiencia y eficacia de la gestión de Auditoría Interna.
• Si bien es una actividad “detectiva” (sobre hechos pasados), tiene
grandes efectos disuasivos porque irradia “sensación de control”
(preventiva)
 Conclusión

- Proyección - Proactividad

- Confianza - Equilibrio

- Integración - Metodología
 “Comienza haciendo lo que es
necesario, después lo que es posible
y de repente estarás haciendo lo
imposible”

San Francisco de Asís

Preguntas y Respuestas
¡Muchas Gracias
por su atención!
Información de Contacto

[email protected]

[email protected]

[email protected]