Análisis de datos en la gestión del riesgo

01 abril 2016.

C.P.C. Ignacio Antonio Madrid T./Socio de Advanced Risk & Compliance Analytics
PwC/ignacio.madrid@mx.pwc.com

C.P.C. Maricarmen López/Directora de Advanced Risk & Compliance Analytics

PwC/maricarmen.lopez@mx.pwc.com

En la era digital, las organizaciones hablan de Big Data porque realmente es una tendencia que
está transformando la dinámica de los negocios ya que Los sistemas actuales generan una
cantidad de datos sin precedentes

Ante tal escenario, el reto yace en identificar la información valiosa, hacerla accesible y organizarla
para agregar valor y crear ventajas competitivas. Hoy, la tecnología permite explotar y dar sentido
a la información que se tiene disponible. Habrá que ser capaces de identificar los grandes temas
que requieren la atención de los ejecutivos.

Cuando se trata de la gestión del riesgo y la auditoría interna, así como de las áreas de
cumplimiento, también es necesario compilar los análisis, presentarlos y actualizarlos
rápidamente, con herramientas interactivas y fáciles de usar que permitan a los CFO, CRO y
auditores entender las tendencias. Tener las herramientas necesarias y los datos correctos son
factores clave para habilitar la toma de decisiones, generando transparencia para entender lo que
realmente sucede en el negocio.

Los sistemas analíticos permiten reunir los datos para tener una visión integral que usualmente
revela nuevo conocimiento sobre el negocio. Se identifican riesgos proactivamente y se previenen
resultados accionando controles y procesos de negocio. Esto hace que el rol de las áreas de
Cumplimiento, Gestión del Riesgo y Auditoría Interna esté cambiando.

Reconocer el potencial

Nunca antes hubo tal variedad de fuentes de datos ni diversos canales que permitieran obtener
todo tipo de información, incluyendo todo tipo de datos como correos electrónicos, videos de
cámaras de vigilancia, grabaciones de call centers, imágenes de documentos, redes sociales y
geolocalización.

La tecnología habilita la recopilación, almacenamiento, procesamiento y análisis de esta

información para simplificar situaciones complejas, lo que permite desafiar viejas premisas que no
podían ser cuantificadas ni validadas. Además, la representación visual e interactiva permite a los
líderes entender mejor los riesgos y tomar mejores decisiones basadas en hechos, a diferencia del
enfoque táctico anterior.
En México ya es una realidad esta aproximación para monitorear los negocios que actualmente
son sumamente dinámicos.

Beneficios de un enfoque analítico en auditoría interna:

Profundizar en el conocimiento del negocio para ayudar en la inteligencia de la auditoría.

Reducir los costos existentes y futuros a través de la automatización de procesos.

Realizar pruebas integrales (del 100% de los datos) para la verificación de procesos y controles.

Identificar anomalías y patrones de alto riesgo.

Comunicar eficazmente resultados importantes a través de tableros de control dinámicos.

Lograr que las funciones de auditoría sean más relevantes para la empresa y los consejos de
auditoría.

De acuerdo con la publicación de PwC State of the Internal Audit Profession Study (2013), la
mayoría de los ejecutivos comprende el valor de los datos. En el estudio se menciona que la
metodología de auditoría se ha transformado —de usar anteriormente muestras de datos— hacia
el monitoreo continuo utilizando el ciento por ciento de los datos. Ante este escenario se espera
que auditoría interna no solo sea revisor, sino que también contribuya con análisis predictivos
para controlar riesgos. De manera que auditoría interna se convierte en un área analítica y no solo
una unidad enfocada en procesos.

Desafortunadamente, el mismo estudio refleja que solo 31% de las prácticas de auditoría interna
emplea análisis de datos con regularidad. La oportunidad para los líderes está en llevar la
utilización de datos a los niveles de madurez, como se muestra en la figura 1.

Lograr el mejor aprovechamiento de datos

Los principales retos para utilizar metodologías analíticas están muy relacionados con incorporar el
análisis de datos al ciclo de vida de auditoría interna, así como tener las capacidades adecuadas
(habilidades y herramientas). También es de suma importancia contar con los datos correctos.

Para abordar estos retos es recomendable, primero, tener claridad en los objetivos que se
persiguen en la organización e integrar el análisis de datos en el ciclo completo de auditoría de
principio a fin: evaluación del riesgo, presentación de informes y monitoreo continuo. Además, es
necesario identificar los puntos clave de aplicación en riesgo y cumplimiento en función del
negocio; de este modo, auditoría interna podrá aportar mejores conclusiones continuamente y
mayor eficiencia en la asignación de recursos.

En cuanto a las capacidades se recomienda crear un grupo de apoyo dentro de auditoría interna —
con habilidades técnicas cuantitativas, analíticas y creativas— que contribuya a encontrar sentido
en los datos y proponer acciones proactivas, en lugar de mantener un enfoque reactivo basado
solo en datos históricos.

Contar con las herramientas adecuadas que permitan manejar el total del volumen de datos, así
como integrar y presentar información de distintas fuentes y naturalezas de manera sencilla, es
definitivamente un aspecto crítico. El análisis basado en el uso de la tecnología permitirá generar
acciones concretas oportunamente para mitigar riesgos. Para avanzar en el proceso de integración
del análisis de datos es fundamental alinear la adquisición de la tecnología con los objetivos de la
organización a largo plazo.

Para hablar de datos correctos debemos tener en cuenta que la información debe ser oportuna,
completa, exacta y relevante. Los problemas comunes que generan datos incorrectos son: fuentes
diversas o inconsistentes, calidad de los datos, tecnología inadecuada para descargar datos y
fuentes adicionales a los sistemas transaccionales.

La gráfica 1 muestra la diferencia en organizaciones que lograron utilizar datos a lo largo del
proceso de auditoría, de acuerdo con el estudio.

El cambio se inicia realizando un diagnóstico de la organización para conocer el punto de partida

con respecto a un marco de referencia, es decir, determinar qué capacidades (habilidades,
tecnología) se tienen, qué hace falta y hacia dónde va la organización. Al principio se requerirá una
inversión que puede ser importante, así que una alternativa sería solicitar la ayuda de un socio que
pueda proveer algunos servicios básicos de análisis.

Una vez entendida la situación actual, se requiere hacer un plan, entendiendo, de manera
profunda, el tipo de información que existe, dónde se resguardan los datos y cómo son utilizados.
También, determinar si será necesaria la integración de fuentes externas, así como la definición de
indicadores clave y sus fluctuaciones. Es muy importante entender que no estamos hablando de
una integración tradicional de datos, sino de la utilización de técnicas de Big Data.

Usualmente las áreas de operaciones y finanzas pueden ser buenos aliados para auditoría interna,
ya que también utilizan la información. De esta forma, auditoría interna tendrá una visión integral
del riesgo y podrá hacer una evaluación continua. Es muy importante determinar cómo cambiará
la metodología de auditoría para aprovechar al máximo el uso del análisis de datos, considerando
lo siguiente:

Evaluación del riesgo: ¿qué tendencias históricas muestran datos para comprender mejor los
riesgos del negocio?, ¿con cuáles grupos dentro de la organización debería asociarse auditoría
interna para captar y evaluar esos datos?

Planificación: ¿qué análisis de referencia debería efectuar auditoría interna para determinar el
nivel de esfuerzo de auditoría requerido?

Determinación del alcance: para cada riesgo/objetivo de auditoría, ¿se tuvo en cuenta el análisis
de datos y se identificó la fuente?, ¿auditoría interna pudo hacer uso de los datos que se habían
solicitado con anterioridad?

Trabajo de campo: ¿se efectúan los análisis de modo que los resultados estén disponibles antes de
que los auditores hagan el trabajo de campo? De ser así, ¿qué cambios en la determinación del
alcance se aplicaron?

Presentación de informes: ¿qué hizo tradicionalmente su unidad de auditoría interna para ilustrar
los resultados de los análisis de datos realizados?, ¿fueron las conclusiones comunicadas
eficientemente en unos pocos puntos concisos, mediante gráficas o tablas?

Monitoreo: ¿cómo cambiaría su enfoque de auditoría si un área o proceso debiera ser auditado
nuevamente?, ¿qué herramientas de análisis ayudarían a determinar si todavía existe un problema
o podría estar por aparecer?

Para lograr un análisis de datos sostenido será necesario hacer un cambio cultural hacia un
enfoque cuantitativo y de toma de decisiones con base en hechos. Es posible complementar y
hasta reemplazar el enfoque anterior de auditoría. Temporalmente puede ser necesario obtener
métricas sobre la adopción del cambio.

Un enfoque centrado en datos permite a las prácticas de auditoría interna identificar problemas,
orientarse a los riesgos y asignar recursos de manera más eficiente. Los departamentos de
auditoría interna tienen la opción de desarrollar las habilidades internamente o asociarse con un
tercero para sortear los obstáculos, y obtener así el máximo valor del trabajo de auditoría
realizado.
BIG DATA oportunidad significativa. Análisis forense de
datos en la detección y prevención del fraude

C.P.C. Ignacio Cortés Castan/Socio Líder de Investigación de Fraude & Servicios de

Disputa (FIDS), México y Centro América EY México/ignacio.cortes@mx.ey.com

El panorama actual ofrece diversos desafíos, las compañías buscan crecer en

mercados con altos niveles de percepción de riesgo de fraude, sobornos y
corrupción, mientras los reguladores u organismos encargados de hacer cumplir la
ley intensifican su colaboración transfronteriza y los costos asociados con
ausencia de cumplimiento aumentan

Los análisis de riesgo fuera de plazo, fraudes no detectados y las investigaciones

pobremente ejecutadas, así como el fracaso en el seguimiento de los controles internos,
únicamente exacerban el riesgo al que se enfrentan las empresas.

Para los ejecutivos de distintos campos e industrias, el Big Data ofrece oportunidades
significativas, aunque también en ocasiones, debido a la falta de conocimiento, plantea
dudas sobre los beneficios que se pueden obtener. Para los encargados de la prevención,
detección e investigación del fraude, la minería de datos puede ser una herramienta eficaz
en el cumplimiento global y los esfuerzos antifraude, aunque también representa un reto
importante ante la carencia, en muchos casos, de experiencia técnica en el manejo de
instrumentos avanzados.

Ante este panorama, ¿cómo las empresas enfocan sus esfuerzos de Análisis Forense de
Datos (FDA, por sus siglas en inglés) para explotar grandes volúmenes de datos (mejor
conocido como Big Data)? Antes de responder lo anterior, ¿qué queremos decir con estos
términos?

De acuerdo con la definición propuesta por Gartner, Big Data, se refiere a activos de
información de gran volumen, gran velocidad de crecimiento y gran variedad, que
demandan eficiencia de costos y formas innovadoras de procesar la información para una
perspectiva enriquecedora y facilitadora de la toma de decisiones. Con FDA nos referimos
a la habilidad de recoger y utilizar datos estructurados (contabilidad general o datos de
transacciones) y no estructurados (comunicaciones por correo electrónico o campos de
texto libre en bases de datos) para identificar pagos potencialmente inapropiados y
patrones de comportamiento y tendencias. Asimismo, el FDA puede contener la
integración de herramientas de monitoreo continuo, análisis de datos en tiempo real (o
 tiempo real aproximado) y permitir una rápida respuesta para prevenir transacciones
sospechosas o fraudulentas.

Una encuesta reciente desarrollada por EY, “Global Forensic Data Analytics Survey
2016”, identificó que un alto porcentaje de las compañías en México desarrollan de
manera interna su modelo de análisis forense de datos como parte del programa
antifraude; sin embargo, un número importante pasa por alto áreas de oportunidad para
implementar herramientas más sofisticadas. Las tecnologías avanzadas que incorporan la
visualización de datos, el análisis estadístico y el concepto de minería de textos, en
contraste con las hojas de cálculo o herramientas de bases de datos relacionales, pueden
ser aplicadas a conjuntos de datos masivos con origen en distintas fuentes. Esto
permitiría a las empresas formular cuestiones de cumplimiento sobre datos que
anteriormente no eran sujetos a escrutinio.

El despliegue de herramientas avanzadas de FDA para explotar grandes volúmenes de

información, tanto estructurada como no estructurada, proporciona nuevas perspectivas,
lo que se traduce en investigaciones más específicas, mejores análisis de causas, y en
una contribución, dentro de un ciclo virtuoso, a una mejor gestión del riesgo de fraude,
sobornos y corrupción.

Antes de invertir en una herramienta costosa de análisis de Big Data las organizaciones
deberán resolver algunas preguntas:
 ¿Aprovecha toda la información posible?
 ¿Cuenta con personal capacitado para desarrollar un modelo propio de FDA? (Que
conozca de procesos, riesgos y pueda aplicar técnicas estadísticas o identificar
anomalías, interpretar resultados de pruebas analíticas y su impacto al negocio).
 ¿Tiene el apoyo de áreas clave como: cumplimiento, legal, auditoría interna,
tecnologías de información y el propio negocio?
 ¿Es conveniente contratar un tercero con experiencia y que posea la infraestructura
necesaria para satisfacer sus necesidades?

Una vez resueltas estas cuestiones puede estar en una mejor posición para desarrollar un
caso de negocio que justifique inversión para el desarrollo o la mejora de un modelo de
FDA