Вы находитесь на странице: 1из 41

Preparndose para una

Auditora Integrada
Auditora de TI dentro de una Auditora Financiera
Externa

Ing. Jos Luis Mauro Vera, CISA


Manager | Advisory

CIGR

Pgina 2 de 41

Expectativas de la presentacin
Rol

Qu se pueden llevar de esta presentacin?

0% Auditora /
Estudiante

Conceptos de Control Interno, Auditora y Auditora Integrada


Conceptos de COSO, COBIT 5.
Auditora basada en Riesgos
Involucramiento de especialistas de TI en Auditora Financiera

Auditor Interno
/ Externo

Conceptos de COSO 2013 y relacin con COBIT 5


Objetivos de Auditora Integrada y aplicabilidad
Relacin con Gobierno Corporativo y potencial crecimiento
Metodologa de auditora basada en estndares del PCAOB

100% TI

Gerencias
usuarias /
Direccin

Pgina 3 de 41

No todo es que el sistema ande o cumplir con los plazos


Hay que ver cmo se cumplen con los plazos o que TI asegure al
negocio proveer informacin confiable.
Este tipo de auditoras revisa efectividad del Control Interno.
Requiere planificacin, coordinacin y fijacin de expectativas.
No todo es culpa de TI
Aplicabilidad Cmo estamos parados respecto a exigencias de
Auditora Interna?
Qu rol juega en el Control Interno de TI? Responsabilidades
compartidas
Marcos de Referencia y Estndares que ayudan

Preparndose para una Auditora Integrada

Resumen Ejecutivo

Pgina 4 de 41

Qu es una Auditora Integrada?


Qu es el Control Interno?
Qu entidades estn sujetos a este tipo
de auditoras?
Por qu se involucra a TI?
En qu consiste la Auditora sobre el
Control Interno de TI?
Qu debera hacer la organizacin?
Qu debera hacer TI?
Marcos de Referencia, Normas y
Estndares?

Preparndose para una Auditora Integrada

Qu es una Auditora Integrada?

Pgina 5 de 41

Preparndose para una Auditora Integrada

Auditora Integrada

Combina pasos de auditora financiera y operativa.


Clasificacin de tipos de auditora:

Por alcance:

Financiera-Contable
Operativa
Administrativa
Especializadas

Por quin la ejecuta:

Interna
Externa

Tpicamente nos referimos a Auditoras Integradas


cuando un auditor externo opina sobre:

Estados Financieros-Contables
Efectividad del Sistema de Control Interno sobre los reportes
financieros

Pgina 6 de 41

Preparndose para una Auditora Integrada

Entregables

Auditora Financiera:
Dictamen (opinin) de
Auditora Financiera

Carta a la Direccin:
Hallazgos y
Recomendaciones de
control interno

Auditora Integrada:
Dictamen (opinin) de
Auditora Financiera

Pgina 7 de 41

Evaluacin sobre la
efectividad del
Sistema de Control
Interno sobre los
reportes financieros

Preparndose para una Auditora Integrada

Carta a la Direccin:
Hallazgos y
Recomendaciones
control interno

Qu es el Control Interno?

Pgina 8 de 41

Preparndose para una Auditora Integrada

Qu es el Control Interno?

El Control Interno es un proceso, afectado


por la Direccin, Gerencia, y el resto del
personal, diseado para proveer un
aseguramiento razonable de que los
objetivos de la organizacin se van a
cumplir.
Tipos de objetivos:

Pgina 9 de 41

Operaciones (efectividad y eficiencia en el


desempeo, y proteccin de activos ante
posibles prdidas)
Reporte (confianza, oportunidad, transparencia)
Cumplimiento (leyes y regulaciones aplicables)

Preparndose para una Auditora Integrada

Qu es COSO?

COSO es un Framework desarrollado por el Committee of


Sponsoring Organizations of the Treadway Commission.
Liberado originalmente en 1992. Hay una actualizacin de
2013.
Para disear, implementar y conducir el Control Interno
dentro de una organizacin
Para evaluar la efectividad del Control Interno dentro de
una organizacin
COBIT 5 hace referencia a COSO en sus distintos
componentes (ver white paper: Relating the COSO
Internal Control Integrated Framework and COBIT)

Pgina 10 de 41

Preparndose para una Auditora Integrada

Relating the COSO Internal Control


Integrated Framework and COBIT

Pgina 11 de 41

Preparndose para una Auditora Integrada

COSO 2013 - Cubo

Objetivos:

Componentes:

Operaciones
Reporte
Cumplimiento

Ambiente de Control
Valoracin de Riesgos
Actividades de Control
Informacin y Comunicacin
Actividades de Monitoreo

Estructura de la entidad:

Entidad
Divisin
Unidad Operacional
Funcin

Pgina 12 de 41

Preparndose para una Auditora Integrada

COSO 2013: Componentes,


Principios y Ptos. de Foco
Componentes
del Control
Interno (5)

Principios
(17)

Ambiente de Control
Valoracin de
Riesgos
Actividades de
Control
Informacin y
Comunicacin
Actividades de
Monitoreo

Pgina 13 de 41

5 para Ambiente de
Control
4 para Valoracin de
Riesgos
3 para Actividades de
Control
3 para Informacin y
Comunicacin
2 para Monitoreo

Preparndose para una Auditora Integrada

Puntos de
Foco (87)

87 puntos de foco
distribuidos entre los
17 principios
Su aplicabilidad
depende del tipo de
organizacin

COSO 2013 - Principios

1. Ambiente de
Control

6.
7.
8.
9.

Especificar objetivos claros, que permitan identificar los riesgos.


Identificar riesgos de la Entidad, y valoracin de los mismos
Considerar el potencial de fraude en la valoracin de riesgos.
Identificar y valorar cambios significativos que impacten en el Sistema
de Control Interno.

3. Actividades de
Control

10. Seleccionar y desarrollar actividades de control.


11. Seleccionar y desarrollar Controles Generales sobre las TI
12. Desplegar controles a travs de polticas y procedimientos.

4. Informacin y
Comunicacin

13. Obtener o generar informacin Relevante que de soporte a los


controles internos.
14. Comunicar internamente informacin, objetivos y
responsabilidades sobre el Control Interno.
15. Comunicar externamente respecto a asuntos que afectan al control
interno.

5. Monitoreo

16. Seleccionar, desarrollar y llevar a cabo evaluaciones de Control


Interno.
17. Evaluar y comunicar deficiencias de Control Interno.

Pgina 14 de 41

Preparndose para una Auditora Integrada

Principios del marco


de referencia

2. Valoracin de
Riesgos

1. Demostrar compromiso con la integridad y valores ticos.


2. Independencia entre la Gerencia y el Directorio, y ejercicio de la
responsabilidad por la supervisin por parte el mismo.
3. Establecer la estructura, autoridad y responsabilidad en el
cumplimiento de objetivos, por parte de la Gerencia y Directorio.
4. Atraer, desarrollar y retener individuos competentes.
5. Hacer que los individuos respondan por sus responsabilidades

COSO 2013 Ejemplo de


Puntos de Foco
Componente 3:
Actividades de
Control

Principio 11:
La organizacin selecciona y desarrolla actividades
de controles generales sobre la tecnologa para
soportar el logro de los objetivos.

Puntos de Foco
Determinar dependencia entre el uso de Tecnologa en los procesos
de negocio y los Controles Generales de TI:
Establecer actividades de control relevantes sobre la infraestructura
de Tecnologa
Establecer actividades de control relevantes sobre el proceso de
Gestin de Seguridad
Establecer actividades de control relevantes sobre los procesos de
Adquisicin, Desarrollo y Mantenimiento de Tecnologa
Pgina 15 de 41

Preparndose para una Auditora Integrada

COSO - Cundo el Sistema de


Control Interno es Efectivo?

Un Sistema de Control Interno Efectivo


reduce a un nivel aceptable el riesgo de no
cumplir con los objetivos de la organizacin

Requiere que:

Pgina 16 de 41

Cada uno de los 5 componentes y 17 principios


relevantes estn presentes y funcionando
Los 5 componentes estn operando en conjunto
y de manera integrada.

Preparndose para una Auditora Integrada

Qu entidades estn sujetas a


este tipo de auditoras?

Pgina 17 de 41

Preparndose para una Auditora Integrada

Empresas que requieren evaluacin


del Control Interno

Empresas multinacionales:

Pgina 18 de 41

Empresas listadas en la NYSE (US SEC)


Empresas listadas en Bolsas de Valores, donde se
requiere este tipo de auditoras.
Filial que es material para la casa matriz, siendo sta
SEC.
Empresas cuyo pas de origen requiera efectuar este
tipo de informes.

Los mercados de valores requieren de mayores


garantas respecto a la informacin que reportan las
empresas que cotizan valores (ej: Ley SarbanesOxley que creo la PCAOB Public Company
Accounting Oversight Board)
El Auditing Standard N5 de PCAOB establece cmo
hacer una auditora sobre el Control Interno en marco
de una Auditora Integrada.
Preparndose para una Auditora Integrada

Pgina 19 de 41

Preparndose para una Auditora Integrada

Empresas que requieren evaluacin


del Control Interno (cont.)

Empresas uruguayas (reguladas por BCU):

Bancos* (BCU, RNRCSF, Art 521,ap. B)


Bancos de Inversin* (BCU, RNRCSF, Art 521, ap. B)
Casas Financieras* (BCU, RNRCSF, Art 521, ap. B)
Instituciones Financieras Externas* (BCU, RNRCSF, Art 522)
Cooperativas de Intermediacin Financiera* (BCU, RNRCSF,
Art 521, ap. B)

Administradoras de Grupos de Ahorro Previo (BCU,


RNRCSF, Art 523, ap. B)

Aseguradoras y Reaseguradoras
AFAPs (BCU, RNCFP, Art. 148, ap. C)
Bolsas de Valores (BCU, RNMV, Art. 276)

(BCU, RNSR, Art 138, ap. B)

Y las Emisoras de valores?

* Se requiere de un informe trienal del Sistema de Gestin Integral de Riesgos


Pgina 20 de 41

Preparndose para una Auditora Integrada

Por qu se involucra a TI?

Pgina 21 de 41

Preparndose para una Auditora Integrada

Por qu se involucra a TI?

La informacin financiera se produce, obtiene,


procesa, almacena, transfiere y protege utilizando
una combinacin de TI y de procedimientos
manuales.
La confiabilidad de la informacin financiera est
dada por aspectos:

Pgina 22 de 41

Controles automatizados (tcnicos)


Controles manuales (personal)
Controles manuales dependientes de TI (personal y
tcnico)

La efectividad de los controles automatizados y


manuales dependientes de TI se basa en la
efectividad de los Controles Generales de TI.

Preparndose para una Auditora Integrada

Por qu se involucra a TI?

Opinar sobre el Control Interno incluye a


los procesos de TI relacionados con el
objetivo informacin financiera contable
Foco en los Controles Generales de TI

Estndares, Normas y Polticas relacionadas con


salvaguardar la informacin financiera
Categoras de Controles Generales de TI:

Administracin de Cambios
Acceso Lgico y Fsico
Otros Controles:

Pgina 23 de 41

Respaldos y Recuperacin
Gestin de Problemas e Incidentes
Gestin de Tareas Programadas (Schedule)

Preparndose para una Auditora Integrada

En qu consiste la Auditora sobre el


Control Interno de TI?

Pgina 24 de 41

Preparndose para una Auditora Integrada

En qu consiste la Auditora sobre


el Control Interno de TI?

Auditora financiera basada en riesgos:


Riesgo de
Auditora

Riesgo
Inherente

Riesgo de
Control

Riesgo de
Deteccin

Riesgo Inherente: riesgo de un proceso, sin considerar controles


qu este tenga.
Riesgo de Control: riesgo de que los controles no operen
efectivamente
Riesgo de Deteccin: riesgo que los procedimientos de auditora
sean insuficientes (no detecten diferencias materiales)
Riesgo de Auditora: Es el riesgo de que las conclusiones no estn
correctamente soportadas (aseveraciones equvocas materiales)

Pgina 25 de 41

Preparndose para una Auditora Integrada

En qu consiste la Auditora sobre


el Control Interno de TI?

Auditora financiera basada en riesgos:


Riesgo de
Auditora

Riesgo
Inherente

Riesgo de
Control

Riesgo de
Deteccin

Entender el proceso

Respuesta
del Auditor

Pruebas de
Cumplimiento
Procedimientos Sustantivos : Pruebas
analticas / Pruebas de Detalle

Riesgo de Control: El auditor debe evaluar el Sistema de


Control Interno, de modo de reducir el riesgo de auditora.
Como consecuencia, se podra reducir el alcance de los
procedimientos sustantivos, si el diseo y operacin de los
controles son efectivos.

Pgina 26 de 41

Preparndose para una Auditora Integrada

En qu consiste la Auditora sobre


el Control Interno de TI?

Ejemplo (Estndar n5 de PCAOB):

Planificacin de la auditora
Dimensionar (escalar) la auditora
Considerar riesgo de fraude
Considerar usar el trabajo de otros
Valoracin de Riesgo de Control
Prueba de Controles
Evaluar deficiencias identificadas
Cerrar la auditora (Wrapping-up)

Pgina 27 de 41

Preparndose para una Auditora Integrada

En qu consiste la Auditora sobre


el Control Interno de TI?

Ejemplo (Estndar n5 de PCAOB):

Valoracin de Riesgo de Control:

Pgina 28 de 41

Preparndose para una Auditora Integrada

Cuentas
Significativas

Aseveraciones

Clase significativa
de transacciones

WCGW: Qu puede
fallar? (Riesgos)

Controles
transaccionales

Valoracin del Riesgo de Control


Tipos de Controles

Manual
dependiente
de TI

Manual

Pgina 29 de 41

Automatizado

Preparndose para una Auditora Integrada

Valoracin del Riesgo de Control


Controles Generales de TI

Pgina 30 de 41

Preparndose para una Auditora Integrada

Valoracin del Riesgo de Control


Controles Generales de TI

Prueba de Controles:

1) Identificacin de controles (narrativo)

2) Recorrido de controles (evaluacin del diseo)


3) Prueba del control (evaluacin de la operativa)

Inspeccionar documentacin de polticas, procedimientos de control,


matrices de riesgo, etc.

Determinar la naturaleza, alcance y oportunidad


Validar la completitud y exactitud de la evidencia.

4) Concluir por la efectividad individual de cada control


5) Concluir en forma agregada respecto a la efectividad de los
controles en relacin a los riesgos

Evaluar las deficiencias identificadas

Pgina 31 de 41

Preparndose para una Auditora Integrada

Qu debera hacer la organizacin?


Qu debera hacer TI?

Pgina 32 de 41

Preparndose para una Auditora Integrada

Qu debera hacer la
organizacin?
TI no se puede hacer cargo de toda la organizacin, ni tambin del Control
Interno.
Partes externas
interesadas

Objetivos/Metas del Negocio


Objetivos/Metas del Negocio para
TI
Objetivos de los Procesos de TI
Actividades de Control en los
procesos de TI
Gerencia de Procesos de Negocio (usuarios de TI)

Gobierno Corporativo

Gerencia de
TI

Direccin

Expectativas y Necesidades de
los stakeholders (interesados)

Comit de Auditora

Auditora Interna

Los lineamientos de Control Interno para TI deben bajar desde la Direccin

Pgina 33 de 41

Preparndose para una Auditora Integrada

Qu debera hacer TI?


(con relacin a la auditora)

Pgina 34 de 41

Entender el alcance de la auditora (tipo de


auditora), y sus actores principales.
Acordar expectativas
Fijar interlocutores, protocolos de comunicacin y
seguimiento de pedidos.
Incluir a la Auditora Externa en la planificacin
anual de actividades (insume recursos y tiempo)
Comunicacin fluida (relacionada al proyecto de
auditora)
Responder ante los hallazgos, de modo de
establecer y acordar planes de accin realistas:
involucrar a todas las partes involucradas.

Preparndose para una Auditora Integrada

Qu debera hacer TI? (para


demostrar Control Interno Efectivo)

Ambiente de Control: cultura de control


Identificar y documentar (formalizar) los procesos
de TI
Matriz de Riesgos / Controles / Objetivos
Basarse en Marcos de Referencia, estndares,
normas, buenas prcticas, etc.
Tener presente que la efectividad del Sistema de
Control Interno no depende slo de TI.
Dificultades:

Pgina 35 de 41

Debe vender la idea a la Direccin.


Recursos y tiempo limitado

Preparndose para una Auditora Integrada

Marcos de Referencia y Estndares

Pgina 36 de 41

Preparndose para una Auditora Integrada

Marcos de Referencia y Estndares

Para el Negocio:

Para Auditora:

Pgina 37 de 41

COSO: Orientado al Control Interno


Normas ISO/IEC 27001, 27002: Seguridad de la
Informacin; 38500 (Gobierno Corporativo de TI)
ITIL: Servicios de TI
COBIT 5: Orientado al Gobierno Empresarial de
TI, Orientado a procesos y hace referencia a los
anteriores y ms.

Estndares del PCAOB relacionados (Auditora


Integrada)
ITAF (ISACA)
COBIT 5 for Assurance (Enabler)
Estndares de AICPA

Preparndose para una Auditora Integrada

Resumen

Pgina 38 de 41

Preparndose para una Auditora Integrada

Resumen

Auditora Integrada: integra auditora financiera y operativa, y suele referirse


la combinacin de Auditora Financiera y Opinin sobre la efectividad del
Control Interno.
Involucra a TI, dado que es quien brinda soporte a los procesos que generan
informacin financiero-contable.
Es requerida por entes reguladores nacionales e internacionales, segn el
tipo de industria. En Uruguay falta camino por recorrer
En el proceso de auditora basado en riesgos, se debe probar la efectividad
del Control Interno, a efectos de reducir el Riesgo de Control y por ende, el
Riesgo de Auditora.
Implementar y adoptar marcos de Gobierno de TI y Control Interno facilitan el
logro de los objetivos de la organizacin.
El alcance de la auditora de TI, no es solo el departamento de TI.
Requiere planificar tiempos y recursos por parte del auditado.
COMUNICACIN entre las partes interesadas

Pgina 39 de 41

Preparndose para una Auditora Integrada

PREGUNTAS

Pgina 40 de 41

Preparndose para una Auditora Integrada

Muchas Gracias
Ing. Jos Luis Mauro Vera, CISA
Manager | Advisory
E-mail: jose-luis.vera@uy.ey.com
Twitter: @jlmvera
LinkedIn: joseluismaurovera

Похожие интересы