Fabián Gesto - Auditoría de controles en...

Auditoría de controlesen empresas prestadorasde servicios

VII Jornadas Rioplatenses deAuditoría Interna

www.pwc.com/uy

PwC

Agenda

Outsourcing de los controles internos

Auditoría de terceros

Características del informe

Principales diferencias y similitudes entre ISAE 3402 y SAS 70

Utilizar el trabajo del auditor interno

Diapositiva 2Setiembre 2011VII Jornadas Rioplatenses de Auditoria Interna

PwC

Outsourcing de los controles internos

Diapositiva 3VII Jornadas Rioplatenses de Auditoria Interna Setiembre 2011

PwC

Servicios de outsourcing frecuentementecontratados por las empresas

Tecnología

• Infraestructura de TI.

• Desarrollo de sistemas.

• Soporte tecnológico.

Recursos Humanos

• Nómina.

• Programas de entrenamiento.


PwC

Servicios de outsourcing frecuentementecontratados por las empresas

Contabilidad y financiero

• Cuentas a pagar.

• Cuentas a cobrar.

• Estados financieros y fiscales.

Atención a clientes

• Soporte/venta de productos yservicios.

• Soporte técnico.

• Cobranza.


PwC

Outsourcing en Uruguay

Uruguay presenta una serie de características que lo hacen muyatractivo para ofrecer servicios de outsourcing:

• Convenientes características geográficas naturales, económicas,políticas y de ambiente de negocios, destacándose en América Latinapor la apertura y la seguridad ofrecidas.

• Atractivas condiciones culturales y educativas de la población,incluyendo el uso de varios idiomas además del español.

• Ubicación horaria adecuada entre Estados Unidos y Europa.

• Avanzado nivel de infraestructura en comunicaciones y conectividad.

• Costos salariales razonables.

• Facilidades para la inmigración de trabajadores extranjeros.


PwC

Outsourcing en Uruguay

Uruguay comenzó a aparecer en los informes de consultorasinternacionales sobre ubicaciones mundiales de outsourcing

A.T.Kearney, Offshore Location Attractiveness Index

• Uruguay figura desde 2006 entre los 50 países más atractivos para ladeslocalización de servicios.

Tholons, Top 50 Emerging Global Outsourcing Cities

• Montevideo comenzó a figurar en el Informe 2009 como una de las50 ciudades emergentes, y Uruguay dentro de los 20 paísesemergentes, para deslocalización global de servicios.


PwC

OutsourcingConsideraciones sobre los controles internos

Foco en los procesos centrales delnegocio genera un aumento deloutsourcing de procesos hacia lasempresas prestadoras de servicios.

• Outsourcing de los controles deprocesos críticos del negocio.

• Gobierno corporativo y desempeñoafectados por los procesos ycontroles ejecutados en lasempresas prestadoras de servicios.

• Cambios de las características de losriesgos de las institucionesderivados del outsourcing deprocesos.


PwC


Exigencia del mercado por mayortransparencia y mejores prácticas degobierno.

• Cada vez mas los reguladores, socios yclientes, requieren que las institucionesprovean información sobre su ambientede control interno.

• Necesidad de que las instituciones creenmecanismos para demostrar laadecuación de sus controles internos yobtener una demostración sobre lacalidad de los controles relevantes parasu negocio ejecutados en terceros.

• Necesidad de que las empresasprestadoras de servicios demuestren lacalidad de sus controles implementados.


PwC


“El uso de una organización de servicio, noreduce la responsabilidad de la gerencia demantener un efectivo control interno sobreel reporte financiero. En tal sentido, lagerencia debe evaluar los controles de laorganización de servicio, así como los controlesrelacionados de la compañía, cuando realiza suevaluación del control interno sobre el reportefinanciero.”

(Public Company Accounting Oversight Board – PCAOB)


PwC



PwC

Auditoría de terceros¿Qué significa?

“Proveer un aseguramientoindependiente a las organizaciones

que utilizan proveedores de servicios,sobre los controles y operaciones de

dicho proveedor”


PwC


• Es mas común en el sector deservicios financieros, aunqueestá aumentando su uso en otrossectores.

• Se cuenta con normasinternacionales que son flexiblespara la industria o servicioespecífico a ser auditado.

• Puede aplicarse a procesosfinancieros o no-financieros.

Diapositiva 13VII Jornadas Rioplatenses de Auditoria Interna

Organizaciónusuaria



Organizaciónde servicio

Reporteindependiente

Otras partesrelacionadas

(Entesreguladores,

accionistas, etc.)

Auditor deservicio

Auditoría decontroles

Aseguramiento a cada organizaciónusuaria

Organizaciónde sub-servicio

Setiembre 2011

PwC


El proceso de desarrollar y finalmente emitir un informe de auditoríabajo normas internacionales es un desafío para cualquier proveedor deservicios y/o cliente, por el tiempo requerido inicialmente para:

• Definir los objetivos de control necesarios;

• Identificar los procedimientos de control existentes que garanticen ellogro de los objetivos de control definidos anteriormente;

• Identificar gaps en donde los procedimientos de control internoexistentes no son suficientes para lograr los objetivos de control;

• Identificar e implementar procedimientos de control adicionales paraeliminar los gaps; y

• Prepararse para la auditoría.


PwC


Tiene como objetivo final la emisión de un informe de auditoría, siendoeste un medio efectivo para demostrar el cumplimiento de aspectosregulatorios y contractuales permitiendo aumentar laconfiabilidad y transparencia de las partes interesadas, así comomantener el gobierno de los controles que mitigan riesgos de laorganización.


Diagnósticode controles

Correcciónde controles

Procedimien-tos de

auditoríaInforme

Etapas de la ejecución de un proyecto de auditoría de terceros

Setiembre 2011

PwC

Auditoría de tercerosDrivers

Necesidades del negocio

• Contener los costos – Tenercontroles mas eficaces yeficientes.

• Aumentar la transparencia yconfianza en una relación deprestación de servicios.

• Una organización de serviciosrecibe varios pedidos de susclientes solicitando informaciónacerca de su control interno.

• Desea diferenciar sus serviciosfrente a los de sus competidores.

Reglamentaciones

• Ley Sarbanes Oxley.

• Traslado del derecho a auditaren sectores fuertementeregulados (ej. Salud, ServiciosFinancieros)

• Payment Card Industry – PCI.

• Normas específicas de lospaíses.


PwC

Auditoría de terceros¿Por qué fue necesario cambiar el SAS 70?

• El SAS 70 es un estandar de auditoría cuyo principal objetivo es laelaboración de un reporte formal sobre el diseño, implementación yla operación efectiva de los controles en una organización prestadorade servicios.

• Uno de los principales motivos para el cambio fue la necesidad deuna mayor alineación de la norma con la ley Sarbanes-Oxley.

• Esta ley requiere que la gerencia provea una declaración sobre suscontroles internos en relación con los informes financieros.

• Otro motivo para el cambio, fue el uso internacional que se lecomenzó a dar al SAS 70.


PwC

Nueva norma internacional – ISAE 3402Definición

• El IAASB, definió una nueva norma enfocada a la mejora de aspectosde auditoría de controles internos en empresas prestadoras deservicios, el International Standard on Assurance Engagements –(ISAE) N° 3402, “Assurance Reports on Controls at a Third PartyService Organization”.

• Se estableció que la nueva norma debe ser adoptada y utilizada entodos los reportes cuya fecha de finalización sea a partir del 15 dejunio de 2011, sustituyendo las normas anteriores.


PwC

Nueva norma internacional – ISAE 3402Definición

• A medida que el IASSB comenzó su proyecto de desarrollo del ISAE3402, el Instituto Americano de Contadores Públicos (AICPA)comenzó un proyecto de convergencia para asegurarse que susnormas de auditoría sean un reflejo de las normas de auditoría delIASSB.


IFAC

www.ifac.org

AICPA

www.aicpa.org

IAASB

ASB

ISAE

ISA

SAS

SSAE

Internacional

Estados Unidos

PwC

Características del informe


PwC

Nueva norma internacional – ISAE 3402¿Qué incluye esta norma?

• Esta norma adoptó un modelo basado en la declaración de lagerencia, y con un enfoque de riesgos.

• El auditor de servicio opina sobre la declaración realizada por laorganización de servicio, en vez de hacerlo directamente sobre lasactividades de control, como es el caso del SAS 70.

• Foco en los controles mas allá de su impacto en los informesfinancieros de las organizaciones usuarias.


PwC

Nueva norma internacional – ISAE 3402Tipos de informes

Tipo 1

• Descripción de los controlesrelevantes en un momentoespecífico.

• Opinión sobre si los controlesfueron adecuadamenteimplantados para lograr susobjetivos.

• Provee un “assurance” menor.Generalmente es utilizado comouna etapa anterior de otroinforme.


Tipo 2

Mismos elementos del tipo 1 más:

• Descripción de las pruebasejecutadas sobre los controles yresultados obtenidos.

• Mínimo de 6 meses deoperación de los controles.

Setiembre 2011

PwC

Nueva norma internacional – ISAE 3402Tipos de informes

ISAE 3402 – Contenido del informe

Sección 1Opinión del auditorindependiente

Sección 2Descripción del sistema de laorganización de servicio

Sección 3Información provista por elauditor independiente

Sección 4Otra información provista por laorganización de servicio


PwC

Nueva norma internacional – ISAE 3402Características del informe

• Se emite una opinión deauditoría.

• Evaluación y pruebas sobre laefectividad de los controlesinternos.

• Desarrollado para proveerseguridad entre partesinteresadas.

• El informe presenta un mayordetalle de los objetivos de controly controles relacionados, pruebasrealizadas, y resultadosobtenidos.


PwC

Principales diferencias y similitudesentre ISAE 3402 y SAS 70


PwC

ISAE 3402 vs. SAS 70Diferencias

• En un reporte tipo 2, el auditor de servicio opina sobre la descripcióndel sistema de la organización de servicio y sobre la efectividad deldiseño de los controles durante un período de tiempo (el mismoperíodo que el cubierto por las pruebas de los controles).

• Es requerido que la gerencia provea una declaración por escrito,mediante la cual manifestará que la presentación, diseño y eficaciaoperativa de los controles aseguran razonablemente el logro de losobjetivos de control.

• Las organizaciones de sub-servicios están sujetas a los mismosrequerimientos que la organización de servicio.


PwC

ISAE 3402 vs. SAS 70Diferencias

• Si el auditor de servicio espera utilizar el trabajo de auditoríainterna al desarrollar sus pruebas de controles, es requerido incluiren el reporte una descripción adicional respecto de la entidad querealizó los procedimientos de pruebas. (Excepto cuando hay un apoyodirecto de auditoría interna)

• El auditor de servicio no puede utilizar la evidencia sobre laoperación efectiva de los controles en períodos anteriores parareducir las pruebas del período actual.


PwC

ISAE 3402 vs. SAS 70Similitudes

• El alcance se concentra en controles con probabilidades de serrelevantes en el control interno sobre los informes financierosde las organizaciones usuarias.

• Se pueden emitir informes Tipo I y Tipo II.

• Los informes pueden incluir (método inclusivo, “inclusive”) o excluir(método excluyente, “carve-out”) servicios brindados pororganizaciones de sub-servicios.


PwC

ISAE 3402 vs. SAS 70Similitudes

• La descripción de los controles de la organización de servicios bajoSAS 70 generalmente brindará una base para la descripción delsistema bajo ISAE 3402.

• La distribución del informe del auditor de las organizaciones deservicios está restringida para la organización de servicios, susclientes y los auditores de estas organizaciones “auditores usuarios”.


PwC

Utilizar el trabajo del auditor interno


PwC

Obtener un entendimiento de la función deauditoría interna

• Muchas de las funciones de auditoría interna dentro de unaorganización de servicio existen para proporcionar análisis,evaluaciones, seguridad recomendaciones y otras actividadesdirectamente relacionadas con el sistema de control interno de laorganización de servicio.

• Un objetivo primario del departamento de auditoría interna de unaorganización es asegurar que las actividades operativas cotidianas,las salvaguardas, los procesos y procedimientos de la organizaciónestán funcionando correctamente.


PwC

Determinar la pertinencia del trabajo de auditoríainterna

• El auditor de servicios debe determinar, en primer lugar, si el trabajode la función de auditoría interna en una organización de servicios,se puede considerar pertinente y adecuado en el marco de laauditoría para el reporte ISAE 3402.

- ¿La función de auditoría interna es objetiva?

- ¿El personal de auditoría interna cuenta con los conocimientostécnicos requeridos, y su trabajo es realizado profesionalmente?

- ¿El trabajo de auditoría interna ha sido adecuadamentesupervisado, revisado y documentado?

- ¿La auditoría interna puede comunicarse de forma efectiva,transparente y profesional con el auditor de servicio cuando seanecesario?


PwC

Efecto sobre el reporte del auditor de servicios

• Independientemente del grado de autonomía y objetividad de lafunción de auditoría interna, tal función no es independienterespecto de la organización de servicio, como lo es requerido para elauditor de servicios que realiza esta trabajo.

• El auditor de servicio tiene la total responsabilidad por la opinionexpresada en el reporte de auditoría, y dicha responsabilidad no se vereducida por la utilización del trabajo de auditoría interna.


Gracias

© 2011 PricewaterhouseCoopers Ltda., PricewaterhouseCoopers, PricewaterhouseCoopersProfessional Services Ltda., PricewaterhouseCoopers, Shaw, Faget & Asociados, yPricewaterhouseCoopers Software Ltda. Todos los derechos reservados. En este documento“PricewaterhouseCoopers” y/o “PwC” refieren a PricewaterhouseCoopers Ltda.,PricewaterhouseCoopers, PricewaterhouseCoopers Professional Services Ltda.,PricewaterhouseCoopers, Shaw, Faget & Asociados, y PricewaterhouseCoopers SoftwareLtda., que son firmas miembro de PricewaterhouseCoopers International Limited (PwC IL),donde cada firma miembro es una entidad legal separada.

Fabián GestoPwC Uruguay | GerenteAdvisory Services

2916 0463 ext. [email protected]

Fabián Gesto - Auditoría de controles en...

Documents

Transcript of Fabián Gesto - Auditoría de controles en...