Experiencias actuales en la automatización de controles con acl caso grupo disco

1. Inusual Tendencias
AlertasAlimentos
Fidelización
Retail
Cliente
Fraude
Monitoreo
Servicio
Innovación

2. Agenda
Auditoría Continua (Conceptualización)
Caso Grupo Disco Uruguay

3. Retos de la Auditoria
Retos
Cobertura de
principales
riesgos
Maximización
de recursos
Detección
temprana de
ineficiencias,
errores o fraudes
Incrementar la
efectividad de
los métodos
tradicionales
Volumen de
datos
Independencia
en el acceso a
los datos
Automatización de procesos de monitoreo y gestión de
alertas
Visión, confianza, dinamismo, impacto y causa raíz

4. Agenda
Auditoría Continua (Conceptualización)
Caso Grupo Disco Uruguay

5. Metodología
Definir objetivos de la Auditoría Continua
Definir objetivos de la Auditoría Continua
Identificar y priorizar riesgos/procesos críticos o
estratégicos
identificar los sistemas de información subyacentes
Desarrollar relaciones de cooperación con TI
RRecursos y uso de los datos
ecursos y uso de los datosSeleccionar o adquirir herramientas de análisis de datos (ACL Exchange)
Gestionar el acceso a los datos
Evaluar la integridad y confiabilidad de los datos
Definir recursos para el proceso
Evaluación Evaluación continua de riesgos y controles
ua de riesgos y controlesDefinir escenarios de riesgo
Identificar controles claves, reglas y excepciones
Diseñar reportes de excepción para evaluar los controles e identificar brechas
Gestionar y Gestionar y reportar resultados
reportar resultadosEjecución y seguimiento periódico de reportes de excepción
Comunicar los resultados a la administración
Evaluar y monitorear las oportunidades de mejora identificadas y su impacto en el
mejoramiento del sistema de control

6. Proceso
general
AC/MC
Extracción de
datos de
transacciones
críticas del negocio
Análisis y
transformación
de la
información
Generación de
reportes de
excepción
Auditoría Continua
Monitoreo Continuo
Sistemas de
Información
1 2 3
4
4

7. Caso:
Grupo
Disco
PAZOS - FIDELIDAD
• 2 Bases de Datos : Oracle
• 67 locales
• 743 cajas, 1662 cajeras
• 14,7 millones de tickets procesados en el
trimestre
• 452 mil clientes fidelizados

8. * Conceptualización
* Definición de acuerdos de
Gobernabilidad con TI
* Adquisición de SW y HW
2015 2016 Proyección
* Implementación de reportes de
excepción en otros procesos.
* Creación de bases de datos históricas
(Datamarts).
2016
* Énfasis en monitoreo continuo desde el
mismo SI.
* Incluir temas de seguridad informática y
de control de acceso a aplicativos.
* Apoyo a análisis forense.
* Modelos predictivos.
.
* Desarrollo de Metodología
* Implementación de Piloto
* Conocimiento de estructuras de datos
* Implementación de reportes de
excepción en otros procesos y creación
de tableros de control
Evolución

9. Análisis
Ad Hoc
Modelo de
AC - MC
Modelos
predictivos
Tableros de
Control
Modelo
de
Madurez

10. RRHH
* Cumplimiento de disposiciones legales en horas
extras y complementaciones de jornada laborales.
* Correcta segregación de funciones en asignación de
novedades de nómina
Fidelización
* Acumulaciones, redenciones y saldos inusuales
de puntos, recálculo de puntos. Listados Top
generaciones, devoluciones, autorizadores.
Reportes
de
Excepción
Financieros
* Causación de facturas de períodos anteriores
* Pagos dobles a proveedores
* Análisis de concentraciones de compras y de
facturación consecutiva sólo en algunos
proveedores.
* Facturación sin orden de compra
Inventarios
* Validación de correcta aplicación de ajustes de
inventario en el sistema comercial.
* Segundos conteos iguales a la foto del
sistema.
Comercial
* Variaciones desfavorables en plazos de pago y
cambios de precio.
* Empleados y proveedores duplicados (Cédula, Email
dirección, cuenta bancaria, etc.)
Generales
* Reporte de faltante de mercadería.
* Reporte de precios de venta menores a precios de costo
Productos Puntuales
Operativos (locales)
* Página Web, Gift Card, Donaciones

11. Aprendizajes
Selección del proceso indicado - Alineación a la estrategia de la
organización
Contar con el apoyo de TI para la seguridad y
disponibilidad de la información.
Construcción de relaciones de cooperación con el departamento
de TI de la compañía.
Restricciones de las plataformas.
Tableros de control para identificar rápidamente las anomalías.
Una alerta es una “caja negra” que necesita ser investigada.
Personal con las competencias adecuadas - Diseño y uso.
Migración hacia un esquema de monitoreo continuo para que la
Auditoria no se convierta en área de soporte tecnológico de la
compañía.
Rendirse es “fácil”

12. Con este modelo somos más eficientes, oportunos y logramos
mejor cobertura de la Compañía; brindamos información para la
acción, sobre transacciones inusuales para prevenir: Fraude,
problemas de integridad de los datos, debilidad en controles
informáticos, incumplimiento a procedimientos, entre otros.
Para ello, es clave el trabajo en equipo con la Dirección de TI y los
dueños de los procesos involucrados.
Con este modelo somos más eficientes, oportunos y logramos
mejor cobertura de la Compañía; brindamos información para la
acción, sobre transacciones inusuales para prevenir: Fraude,
problemas de integridad de los datos, debilidad en controles
informáticos, incumplimiento a procedimientos, entre otros.
Para ello, es clave el trabajo en equipo con la Dirección de TI y los
dueños de los procesos involucrados.
Reflexión
Final
¡Gracias!.