Auditoria Integrada COSO y COBIT

Preparndose para una
Auditora Integrada
Auditora de TI dentro de una Auditora Financiera
Externa
Ing. Jos Luis Mauro Vera, CISA

Manager | Advisory
CIGR
Pgina 2 de 41
Expectativas de la presentacin
Rol
Qu se pueden llevar de esta presentacin?
0% Auditora /
Estudiante
Conceptos de Control Interno, Auditora y Auditora Integrada

Conceptos de COSO, COBIT 5.
Auditora basada en Riesgos
Involucramiento de especialistas de TI en Auditora Financiera
Auditor Interno
/ Externo
Conceptos de COSO 2013 y relacin con COBIT 5

Objetivos de Auditora Integrada y aplicabilidad
Relacin con Gobierno Corporativo y potencial crecimiento
Metodologa de auditora basada en estndares del PCAOB
100% TI
Gerencias
usuarias /
Direccin
Pgina 3 de 41
No todo es que el sistema ande o cumplir con los plazos

Hay que ver cmo se cumplen con los plazos o que TI asegure al
negocio proveer informacin confiable.
Este tipo de auditoras revisa efectividad del Control Interno.
Requiere planificacin, coordinacin y fijacin de expectativas.
No todo es culpa de TI
Aplicabilidad Cmo estamos parados respecto a exigencias de
Auditora Interna?
Qu rol juega en el Control Interno de TI? Responsabilidades
compartidas
Marcos de Referencia y Estndares que ayudan
Preparndose para una Auditora Integrada
Resumen Ejecutivo
Pgina 4 de 41
Qu es una Auditora Integrada?

Qu es el Control Interno?
Qu entidades estn sujetos a este tipo
de auditoras?
Por qu se involucra a TI?
En qu consiste la Auditora sobre el
Control Interno de TI?
Qu debera hacer la organizacin?
Qu debera hacer TI?
Marcos de Referencia, Normas y
Estndares?
Qu es una Auditora Integrada?
Pgina 5 de 41
Auditora Integrada
Combina pasos de auditora financiera y operativa.

Clasificacin de tipos de auditora:
Por alcance:
Financiera-Contable
Operativa
Administrativa
Especializadas
Por quin la ejecuta:
Interna
Externa
Tpicamente nos referimos a Auditoras Integradas

cuando un auditor externo opina sobre:
Estados Financieros-Contables
Efectividad del Sistema de Control Interno sobre los reportes
financieros
Pgina 6 de 41
Entregables
Auditora Financiera:
Dictamen (opinin) de
Auditora Financiera
Carta a la Direccin:
Hallazgos y
Recomendaciones de
control interno
Auditora Integrada:
Dictamen (opinin) de
Auditora Financiera
Pgina 7 de 41
Evaluacin sobre la
efectividad del
Sistema de Control
Interno sobre los
reportes financieros
Carta a la Direccin:
Hallazgos y
Recomendaciones
control interno
Pgina 8 de 41
El Control Interno es un proceso, afectado

por la Direccin, Gerencia, y el resto del
personal, diseado para proveer un
aseguramiento razonable de que los
objetivos de la organizacin se van a
cumplir.
Tipos de objetivos:
Pgina 9 de 41
Operaciones (efectividad y eficiencia en el

desempeo, y proteccin de activos ante
posibles prdidas)
Reporte (confianza, oportunidad, transparencia)
Cumplimiento (leyes y regulaciones aplicables)
Qu es COSO?
COSO es un Framework desarrollado por el Committee of

Sponsoring Organizations of the Treadway Commission.
Liberado originalmente en 1992. Hay una actualizacin de
2013.
Para disear, implementar y conducir el Control Interno
dentro de una organizacin
Para evaluar la efectividad del Control Interno dentro de
una organizacin
COBIT 5 hace referencia a COSO en sus distintos
componentes (ver white paper: Relating the COSO
Internal Control Integrated Framework and COBIT)
Pgina 10 de 41
Relating the COSO Internal Control

Integrated Framework and COBIT
Pgina 11 de 41
COSO 2013 - Cubo
Objetivos:
Componentes:
Operaciones
Reporte
Cumplimiento
Ambiente de Control
Valoracin de Riesgos
Actividades de Control
Informacin y Comunicacin
Actividades de Monitoreo
Estructura de la entidad:
Entidad
Divisin
Unidad Operacional
Funcin
Pgina 12 de 41
COSO 2013: Componentes,

Principios y Ptos. de Foco
Componentes
del Control
Interno (5)
Principios
(17)
Ambiente de Control
Valoracin de
Riesgos
Actividades de
Control
Informacin y
Comunicacin
Actividades de
Monitoreo
Pgina 13 de 41
5 para Ambiente de
Control
4 para Valoracin de
Riesgos
3 para Actividades de
Control
3 para Informacin y
Comunicacin
2 para Monitoreo
Puntos de
Foco (87)
87 puntos de foco
distribuidos entre los
17 principios
Su aplicabilidad
depende del tipo de
organizacin
COSO 2013 - Principios
1. Ambiente de
Control
6.
7.
8.
9.
Especificar objetivos claros, que permitan identificar los riesgos.

Identificar riesgos de la Entidad, y valoracin de los mismos
Considerar el potencial de fraude en la valoracin de riesgos.
Identificar y valorar cambios significativos que impacten en el Sistema
de Control Interno.
3. Actividades de
Control
10. Seleccionar y desarrollar actividades de control.

11. Seleccionar y desarrollar Controles Generales sobre las TI
12. Desplegar controles a travs de polticas y procedimientos.
4. Informacin y
Comunicacin
13. Obtener o generar informacin Relevante que de soporte a los

controles internos.
14. Comunicar internamente informacin, objetivos y
responsabilidades sobre el Control Interno.
15. Comunicar externamente respecto a asuntos que afectan al control
interno.
5. Monitoreo
16. Seleccionar, desarrollar y llevar a cabo evaluaciones de Control

Interno.
17. Evaluar y comunicar deficiencias de Control Interno.
Pgina 14 de 41
Principios del marco

de referencia
2. Valoracin de
Riesgos
1. Demostrar compromiso con la integridad y valores ticos.

2. Independencia entre la Gerencia y el Directorio, y ejercicio de la
responsabilidad por la supervisin por parte el mismo.
3. Establecer la estructura, autoridad y responsabilidad en el
cumplimiento de objetivos, por parte de la Gerencia y Directorio.
4. Atraer, desarrollar y retener individuos competentes.
5. Hacer que los individuos respondan por sus responsabilidades
COSO 2013 Ejemplo de

Puntos de Foco
Componente 3:
Actividades de
Control
Principio 11:
La organizacin selecciona y desarrolla actividades
de controles generales sobre la tecnologa para
soportar el logro de los objetivos.
Puntos de Foco
Determinar dependencia entre el uso de Tecnologa en los procesos
de negocio y los Controles Generales de TI:
Establecer actividades de control relevantes sobre la infraestructura
de Tecnologa
Establecer actividades de control relevantes sobre el proceso de
Gestin de Seguridad
Establecer actividades de control relevantes sobre los procesos de
Adquisicin, Desarrollo y Mantenimiento de Tecnologa
Pgina 15 de 41
COSO - Cundo el Sistema de

Control Interno es Efectivo?
Un Sistema de Control Interno Efectivo

reduce a un nivel aceptable el riesgo de no
cumplir con los objetivos de la organizacin
Requiere que:
Pgina 16 de 41
Cada uno de los 5 componentes y 17 principios

relevantes estn presentes y funcionando
Los 5 componentes estn operando en conjunto
y de manera integrada.
Qu entidades estn sujetas a

este tipo de auditoras?
Pgina 17 de 41
Empresas que requieren evaluacin

del Control Interno
Empresas multinacionales:
Pgina 18 de 41
Empresas listadas en la NYSE (US SEC)

Empresas listadas en Bolsas de Valores, donde se
requiere este tipo de auditoras.
Filial que es material para la casa matriz, siendo sta
SEC.
Empresas cuyo pas de origen requiera efectuar este
tipo de informes.
Los mercados de valores requieren de mayores

garantas respecto a la informacin que reportan las
empresas que cotizan valores (ej: Ley SarbanesOxley que creo la PCAOB Public Company
Accounting Oversight Board)
El Auditing Standard N5 de PCAOB establece cmo
hacer una auditora sobre el Control Interno en marco
de una Auditora Integrada.
Pgina 19 de 41
Empresas que requieren evaluacin

del Control Interno (cont.)
Empresas uruguayas (reguladas por BCU):
Bancos* (BCU, RNRCSF, Art 521,ap. B)

Bancos de Inversin* (BCU, RNRCSF, Art 521, ap. B)
Casas Financieras* (BCU, RNRCSF, Art 521, ap. B)
Instituciones Financieras Externas* (BCU, RNRCSF, Art 522)
Cooperativas de Intermediacin Financiera* (BCU, RNRCSF,
Art 521, ap. B)
Administradoras de Grupos de Ahorro Previo (BCU,

RNRCSF, Art 523, ap. B)
Aseguradoras y Reaseguradoras
AFAPs (BCU, RNCFP, Art. 148, ap. C)
Bolsas de Valores (BCU, RNMV, Art. 276)
(BCU, RNSR, Art 138, ap. B)
Y las Emisoras de valores?
* Se requiere de un informe trienal del Sistema de Gestin Integral de Riesgos

Pgina 20 de 41
Pgina 21 de 41
La informacin financiera se produce, obtiene,

procesa, almacena, transfiere y protege utilizando
una combinacin de TI y de procedimientos
manuales.
La confiabilidad de la informacin financiera est
dada por aspectos:
Pgina 22 de 41
Controles automatizados (tcnicos)

Controles manuales (personal)
Controles manuales dependientes de TI (personal y
tcnico)
La efectividad de los controles automatizados y

manuales dependientes de TI se basa en la
efectividad de los Controles Generales de TI.
Opinar sobre el Control Interno incluye a

los procesos de TI relacionados con el
objetivo informacin financiera contable
Foco en los Controles Generales de TI
Estndares, Normas y Polticas relacionadas con

salvaguardar la informacin financiera
Categoras de Controles Generales de TI:
Administracin de Cambios
Acceso Lgico y Fsico
Otros Controles:
Pgina 23 de 41
Respaldos y Recuperacin
Gestin de Problemas e Incidentes
Gestin de Tareas Programadas (Schedule)
En qu consiste la Auditora sobre el

Control Interno de TI?
Pgina 24 de 41
En qu consiste la Auditora sobre

el Control Interno de TI?
Auditora financiera basada en riesgos:

Riesgo de
Auditora
Riesgo
Inherente
Riesgo de
Control
Riesgo de
Deteccin
Riesgo Inherente: riesgo de un proceso, sin considerar controles

qu este tenga.
Riesgo de Control: riesgo de que los controles no operen
efectivamente
Riesgo de Deteccin: riesgo que los procedimientos de auditora
sean insuficientes (no detecten diferencias materiales)
Riesgo de Auditora: Es el riesgo de que las conclusiones no estn
correctamente soportadas (aseveraciones equvocas materiales)
Pgina 25 de 41

Auditora financiera basada en riesgos:

Riesgo de
Auditora
Riesgo
Inherente
Riesgo de
Control
Riesgo de
Deteccin
Entender el proceso
Respuesta
del Auditor
Pruebas de
Cumplimiento
Procedimientos Sustantivos : Pruebas
analticas / Pruebas de Detalle
Riesgo de Control: El auditor debe evaluar el Sistema de

Control Interno, de modo de reducir el riesgo de auditora.
Como consecuencia, se podra reducir el alcance de los
procedimientos sustantivos, si el diseo y operacin de los
controles son efectivos.
Pgina 26 de 41

Ejemplo (Estndar n5 de PCAOB):
Planificacin de la auditora
Dimensionar (escalar) la auditora
Considerar riesgo de fraude
Considerar usar el trabajo de otros
Valoracin de Riesgo de Control
Prueba de Controles
Evaluar deficiencias identificadas
Cerrar la auditora (Wrapping-up)
Pgina 27 de 41

Ejemplo (Estndar n5 de PCAOB):
Valoracin de Riesgo de Control:
Pgina 28 de 41
Cuentas
Significativas
Aseveraciones
Clase significativa
de transacciones
WCGW: Qu puede
fallar? (Riesgos)
Controles
transaccionales
Valoracin del Riesgo de Control

Tipos de Controles
Manual
dependiente
de TI
Manual
Pgina 29 de 41
Automatizado

Controles Generales de TI
Pgina 30 de 41

Controles Generales de TI
Prueba de Controles:
1) Identificacin de controles (narrativo)
2) Recorrido de controles (evaluacin del diseo)

3) Prueba del control (evaluacin de la operativa)
Inspeccionar documentacin de polticas, procedimientos de control,

matrices de riesgo, etc.
Determinar la naturaleza, alcance y oportunidad

Validar la completitud y exactitud de la evidencia.
4) Concluir por la efectividad individual de cada control

5) Concluir en forma agregada respecto a la efectividad de los
controles en relacin a los riesgos
Evaluar las deficiencias identificadas
Pgina 31 de 41
Qu debera hacer la organizacin?

Qu debera hacer TI?
Pgina 32 de 41
Qu debera hacer la
organizacin?
TI no se puede hacer cargo de toda la organizacin, ni tambin del Control
Interno.
Partes externas
interesadas
Objetivos/Metas del Negocio

Objetivos/Metas del Negocio para
TI
Objetivos de los Procesos de TI
Actividades de Control en los
procesos de TI
Gerencia de Procesos de Negocio (usuarios de TI)
Gobierno Corporativo
Gerencia de
TI
Direccin
Expectativas y Necesidades de
los stakeholders (interesados)
Comit de Auditora
Auditora Interna
Los lineamientos de Control Interno para TI deben bajar desde la Direccin
Pgina 33 de 41
Qu debera hacer TI?

(con relacin a la auditora)
Pgina 34 de 41
Entender el alcance de la auditora (tipo de

auditora), y sus actores principales.
Acordar expectativas
Fijar interlocutores, protocolos de comunicacin y
seguimiento de pedidos.
Incluir a la Auditora Externa en la planificacin
anual de actividades (insume recursos y tiempo)
Comunicacin fluida (relacionada al proyecto de
auditora)
Responder ante los hallazgos, de modo de
establecer y acordar planes de accin realistas:
involucrar a todas las partes involucradas.
Qu debera hacer TI? (para

demostrar Control Interno Efectivo)
Ambiente de Control: cultura de control

Identificar y documentar (formalizar) los procesos
de TI
Matriz de Riesgos / Controles / Objetivos
Basarse en Marcos de Referencia, estndares,
normas, buenas prcticas, etc.
Tener presente que la efectividad del Sistema de
Control Interno no depende slo de TI.
Dificultades:
Pgina 35 de 41
Debe vender la idea a la Direccin.

Recursos y tiempo limitado
Marcos de Referencia y Estndares
Pgina 36 de 41
Marcos de Referencia y Estndares
Para el Negocio:
Para Auditora:
Pgina 37 de 41
COSO: Orientado al Control Interno

Normas ISO/IEC 27001, 27002: Seguridad de la
Informacin; 38500 (Gobierno Corporativo de TI)
ITIL: Servicios de TI
COBIT 5: Orientado al Gobierno Empresarial de
TI, Orientado a procesos y hace referencia a los
anteriores y ms.
Estndares del PCAOB relacionados (Auditora

Integrada)
ITAF (ISACA)
COBIT 5 for Assurance (Enabler)
Estndares de AICPA
Resumen
Pgina 38 de 41
Resumen
Auditora Integrada: integra auditora financiera y operativa, y suele referirse

la combinacin de Auditora Financiera y Opinin sobre la efectividad del
Control Interno.
Involucra a TI, dado que es quien brinda soporte a los procesos que generan
informacin financiero-contable.
Es requerida por entes reguladores nacionales e internacionales, segn el
tipo de industria. En Uruguay falta camino por recorrer
En el proceso de auditora basado en riesgos, se debe probar la efectividad
del Control Interno, a efectos de reducir el Riesgo de Control y por ende, el
Riesgo de Auditora.
Implementar y adoptar marcos de Gobierno de TI y Control Interno facilitan el
logro de los objetivos de la organizacin.
El alcance de la auditora de TI, no es solo el departamento de TI.
Requiere planificar tiempos y recursos por parte del auditado.
COMUNICACIN entre las partes interesadas
Pgina 39 de 41
PREGUNTAS
Pgina 40 de 41
Muchas Gracias
Ing. Jos Luis Mauro Vera, CISA
Manager | Advisory
E-mail: jose-luis.vera@uy.ey.com
Twitter: @jlmvera
LinkedIn: joseluismaurovera

Auditoria Integrada COSO y COBIT

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Auditoria Integrada COSO y COBIT

Загружено:

Авторское право:

Доступные форматы

Preparndose para una

Ing. Jos Luis Mauro Vera, CISA

Qu se pueden llevar de esta presentacin?

Conceptos de Control Interno, Auditora y Auditora Integrada

Conceptos de COSO 2013 y relacin con COBIT 5

No todo es que el sistema ande o cumplir con los plazos

Preparndose para una Auditora Integrada

Qu es una Auditora Integrada?

Preparndose para una Auditora Integrada

Qu es una Auditora Integrada?

Preparndose para una Auditora Integrada

Combina pasos de auditora financiera y operativa.

Por quin la ejecuta:

Tpicamente nos referimos a Auditoras Integradas

Preparndose para una Auditora Integrada

Preparndose para una Auditora Integrada

Preparndose para una Auditora Integrada

El Control Interno es un proceso, afectado

Operaciones (efectividad y eficiencia en el

Preparndose para una Auditora Integrada

COSO es un Framework desarrollado por el Committee of

Preparndose para una Auditora Integrada

Relating the COSO Internal Control

Preparndose para una Auditora Integrada

COSO 2013 - Cubo

Preparndose para una Auditora Integrada

COSO 2013: Componentes,

Preparndose para una Auditora Integrada

COSO 2013 - Principios

Especificar objetivos claros, que permitan identificar los riesgos.

10. Seleccionar y desarrollar actividades de control.

13. Obtener o generar informacin Relevante que de soporte a los

16. Seleccionar, desarrollar y llevar a cabo evaluaciones de Control

Preparndose para una Auditora Integrada

Principios del marco

1. Demostrar compromiso con la integridad y valores ticos.

COSO 2013 Ejemplo de

Preparndose para una Auditora Integrada

COSO - Cundo el Sistema de

Un Sistema de Control Interno Efectivo

Cada uno de los 5 componentes y 17 principios

Preparndose para una Auditora Integrada

Qu entidades estn sujetas a

Preparndose para una Auditora Integrada

Empresas que requieren evaluacin

Empresas listadas en la NYSE (US SEC)

Los mercados de valores requieren de mayores

Preparndose para una Auditora Integrada

Empresas que requieren evaluacin

Empresas uruguayas (reguladas por BCU):

Bancos* (BCU, RNRCSF, Art 521,ap. B)

Administradoras de Grupos de Ahorro Previo (BCU,

(BCU, RNSR, Art 138, ap. B)

Y las Emisoras de valores?

* Se requiere de un informe trienal del Sistema de Gestin Integral de Riesgos

Preparndose para una Auditora Integrada

Por qu se involucra a TI?

Preparndose para una Auditora Integrada

Por qu se involucra a TI?

La informacin financiera se produce, obtiene,

Controles automatizados (tcnicos)

La efectividad de los controles automatizados y

Preparndose para una Auditora Integrada

Por qu se involucra a TI?