Preparándose para una Auditoría Integrada¡gina 13 de 41 COSO 2013: Componentes, Principios y...

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera

Externa

Ing. José Luis Mauro Vera, CISA

Manager | Advisory

de 41

CIGR S A

de 41

Expectativas de la presentación

Rol ¿Qué se pueden llevar de esta presentación?

0% Auditoría /

Estudiante

• Conceptos de Control Interno, Auditoría y Auditoría Integrada

• Conceptos de COSO, COBIT 5.

• Auditoría basada en Riesgos

• Involucramiento de especialistas de TI en Auditoría Financiera

Auditor Interno

/ Externo

• Conceptos de COSO 2013 y relación con COBIT 5

• Objetivos de Auditoría Integrada y aplicabilidad

• Relación con Gobierno Corporativo y potencial crecimiento

• Metodología de auditoría basada en estándares del PCAOB

100% TI

• No todo es “que el sistema ande” o “cumplir con los plazos”

• Hay que ver “cómo se cumplen con los plazos” o “que TI asegure al

negocio proveer información confiable”.

• Este tipo de auditorías revisa efectividad del Control Interno.

• Requiere planificación, coordinación y fijación de expectativas.

• No todo es “culpa de TI”

Gerencias

usuarias /

Dirección

• Aplicabilidad ¿Cómo estamos parados respecto a exigencias de

Auditoría Interna?

• ¿Qué rol juega en el Control Interno de TI? Responsabilidades

compartidas

• Marcos de Referencia y Estándares que ayudan

Preparándose para una Auditoría Integrada

de 41

Resumen Ejecutivo

► ¿Qué es una Auditoría Integrada?

► ¿Qué es el Control Interno?

► ¿Qué entidades están sujetos a este tipo

de auditorías?

► ¿Por qué se involucra a TI?

► ¿En qué consiste la Auditoría sobre el

Control Interno de TI?

► ¿Qué debería hacer la organización?

¿Qué debería hacer TI?

► ¿Marcos de Referencia, Normas y

Estándares?


de 41

¿Qué es una Auditoría Integrada?


de 41

Auditoría Integrada

► Combina pasos de auditoría financiera y operativa.

► Clasificación de tipos de auditoría:


► Por alcance:

► Financiera-Contable

► Operativa

► Administrativa

► Especializadas

► Por quién la ejecuta:

► Interna

► Externa

► Típicamente nos referimos a Auditorías Integradas

cuando un auditor externo opina sobre:

► Estados Financieros-Contables

► Efectividad del Sistema de Control Interno sobre los reportes

financieros

de 41

Entregables

► Auditoría Financiera:

► Auditoría Integrada:


Dictamen (opinión) de

Auditoría Financiera

Dictamen (opinión) de

Auditoría Financiera

Evaluación sobre la

efectividad del

Sistema de Control

Interno sobre los

reportes financieros

Carta a la Dirección:

Hallazgos y

Recomendaciones de

control interno

Carta a la Dirección:

Hallazgos y

Recomendaciones

control interno

de 41

¿Qué es el Control Interno?


de 41

¿Qué es el Control Interno?

► El Control Interno es un proceso, afectado

por la Dirección, Gerencia, y el resto del

personal, diseñado para proveer un

aseguramiento razonable de que los

objetivos de la organización se van a

cumplir.

► Tipos de objetivos:

► Operaciones (efectividad y eficiencia en el

desempeño, y protección de activos ante

posibles pérdidas)

► Reporte (confianza, oportunidad, transparencia)

► Cumplimiento (leyes y regulaciones aplicables)


de 41

¿Qué es COSO?

► COSO es un Framework desarrollado por el Committee of

Sponsoring Organizations of the Treadway Commission.

► Liberado originalmente en 1992. Hay una actualización de

2013.

► Para diseñar, implementar y conducir el Control Interno

dentro de una organización

► Para evaluar la efectividad del Control Interno dentro de

una organización

► COBIT 5 hace referencia a COSO en sus distintos

componentes (ver white paper: “Relating the COSO

Internal Control Integrated Framework and COBIT”)


de 41

Relating the COSO Internal Control Integrated Framework and COBIT


de 41

COSO 2013 - Cubo

► Objetivos:

► Operaciones

► Reporte

► Cumplimiento

► Componentes:

► Ambiente de Control

► Valoración de Riesgos

► Actividades de Control

► Información y Comunicación

► Actividades de Monitoreo

► Estructura de la entidad:

► Entidad

► División

► Unidad Operacional

► Función


de 41

COSO 2013: Componentes, Principios y Ptos. de Foco

Componentes del Control Interno (5)

Principios (17)

Puntos de Foco (87)


► Ambiente de Control

► Valoración de

Riesgos

► Actividades de

Control

► Información y

Comunicación

► Actividades de

Monitoreo

► 5 para Ambiente de

Control

► 4 para Valoración de

Riesgos

► 3 para Actividades de

Control

► 3 para Información y

Comunicación

► 2 para Monitoreo

► 87 puntos de foco

distribuidos entre los

17 principios

► Su aplicabilidad

depende del tipo de

organización

de 41

COSO 2013 - Principios


Prin

cip

ios

de

l marc

o

de

refe

ren

cia

1. Ambiente de Control

2. Valoración de Riesgos

3. Actividades de Control

4. Información y Comunicación

5. Monitoreo

1. Demostrar compromiso con la integridad y valores éticos.

2. Independencia entre la Gerencia y el Directorio, y ejercicio de la responsabilidad por la supervisión por parte el mismo.

3. Establecer la estructura, autoridad y responsabilidad en el cumplimiento de objetivos, por parte de la Gerencia y Directorio.

4. Atraer, desarrollar y retener individuos competentes.

5. Hacer que los individuos respondan por sus responsabilidades

6. Especificar objetivos claros, que permitan identificar los riesgos.

7. Identificar riesgos de la Entidad, y valoración de los mismos

8. Considerar el potencial de fraude en la valoración de riesgos.

9. Identificar y valorar cambios significativos que impacten en el Sistema de Control Interno.

10.Seleccionar y desarrollar actividades de control.

11. Seleccionar y desarrollar Controles Generales sobre las TI

12.Desplegar controles a través de políticas y procedimientos.

13.Obtener o generar información Relevante que de soporte a los controles internos.

14. Comunicar internamente información, objetivos y responsabilidades sobre el Control Interno.

15. Comunicar externamente respecto a asuntos que afectan al control interno.

16.Seleccionar, desarrollar y llevar a cabo evaluaciones de Control Interno.

17. Evaluar y comunicar deficiencias de Control Interno.

de 41

COSO 2013 – Ejemplo de Puntos de Foco

Puntos de Foco

► Determinar dependencia entre el uso de Tecnología en los procesos

de negocio y los Controles Generales de TI:

► Establecer actividades de control relevantes sobre la infraestructura

de Tecnología

► Establecer actividades de control relevantes sobre el proceso de

Gestión de Seguridad

► Establecer actividades de control relevantes sobre los procesos de

Adquisición, Desarrollo y Mantenimiento de Tecnología


Componente 3:

Actividades de Control

Principio 11:

La organización selecciona y desarrolla actividades de controles generales sobre la tecnología para

soportar el logro de los objetivos.

de 41

COSO - ¿Cuándo el Sistema de Control Interno es Efectivo?

► Un Sistema de Control Interno Efectivo

reduce a un nivel aceptable el riesgo de no

cumplir con los objetivos de la organización

► Requiere que:

► Cada uno de los 5 componentes y 17 principios

relevantes estén presentes y funcionando

► Los 5 componentes estén operando en conjunto

y de manera integrada.


de 41

¿Qué entidades están sujetas a este tipo de auditorías?


de 41

Empresas que requieren evaluación del Control Interno

► Empresas multinacionales:

► Empresas listadas en la NYSE (US SEC)

► Empresas listadas en Bolsas de Valores, donde se

requiere este tipo de auditorías.

► Filial que es “material” para la casa matriz, siendo ésta

SEC.

► Empresas cuyo país de origen requiera efectuar este

tipo de informes.

► Los mercados de valores requieren de mayores

garantías respecto a la información que reportan las

empresas que cotizan valores (ej: Ley Sarbanes-

Oxley que creo la PCAOB “Public Company

Accounting Oversight Board”)

► El Auditing Standard Nº5 de PCAOB establece cómo

hacer una auditoría sobre el Control Interno en marco

de una Auditoría Integrada.


de 41 Preparándose para una Auditoría Integrada

de 41

Empresas que requieren evaluación del Control Interno (cont.)

► Empresas uruguayas (reguladas por BCU):

► Bancos* (BCU, RNRCSF, Art 521,ap. B)

► Bancos de Inversión* (BCU, RNRCSF, Art 521, ap. B)

► Casas Financieras* (BCU, RNRCSF, Art 521, ap. B)

► Instituciones Financieras Externas* (BCU, RNRCSF, Art 522)

► Cooperativas de Intermediación Financiera* (BCU, RNRCSF,

Art 521, ap. B)

► Administradoras de Grupos de Ahorro Previo (BCU,

RNRCSF, Art 523, ap. B)

► Aseguradoras y Reaseguradoras (BCU, RNSR, Art 138, ap. B)

► AFAPs (BCU, RNCFP, Art. 148, ap. C)

► Bolsas de Valores (BCU, RNMV, Art. 276)

► ¿Y las Emisoras de valores?

* Se requiere de un informe trienal del Sistema de Gestión Integral de Riesgos


de 41

¿Por qué se involucra a TI?


de 41


► La información financiera se produce, obtiene,

procesa, almacena, transfiere y protege utilizando

una combinación de TI y de procedimientos

manuales.

► La confiabilidad de la información financiera está

dada por aspectos:

► Controles automatizados (técnicos)

► Controles manuales (personal)

► Controles manuales dependientes de TI (personal y

técnico)

► La efectividad de los controles automatizados y

manuales dependientes de TI se basa en la

efectividad de los Controles Generales de TI.


de 41


► Opinar sobre el Control Interno incluye a

los procesos de TI relacionados con el

objetivo “información financiera contable”

► Foco en los “Controles Generales de TI”

► Estándares, Normas y Políticas relacionadas con

salvaguardar la información financiera

► Categorías de Controles Generales de TI:

► Administración de Cambios

► Acceso Lógico y Físico

► Otros Controles:

► Respaldos y Recuperación

► Gestión de Problemas e Incidentes

► Gestión de Tareas Programadas (Schedule)



¿En qué consiste la Auditoría sobre el Control Interno de TI?

de 41

¿En qué consiste la Auditoría sobre el Control Interno de TI? ► Auditoría financiera basada en riesgos:

► Riesgo Inherente: riesgo de un proceso, sin considerar controles

qué este tenga.

► Riesgo de Control: riesgo de que los controles no operen

efectivamente

► Riesgo de Detección: riesgo que los procedimientos de auditoría

sean insuficientes (no detecten diferencias “materiales”)

► Riesgo de Auditoría: Es el riesgo de que las conclusiones no estén

correctamente soportadas (aseveraciones equívocas materiales)


Riesgo de

Auditoría

Riesgo

Inherente Riesgo de

Control

Riesgo de

Detección

de 41

► Auditoría financiera basada en riesgos:

► Riesgo de Control: El auditor debe evaluar el Sistema de

Control Interno, de modo de reducir el riesgo de auditoría.

► Como consecuencia, se podría reducir el alcance de los

procedimientos sustantivos, si el diseño y operación de los

controles son efectivos.



Riesgo de

Auditoría

Riesgo

Inherente Riesgo de

Control

Riesgo de

Detección

Pruebas de

Cumplimiento

Entender el proceso

Procedimientos Sustantivos : Pruebas

analíticas / Pruebas de Detalle

Respuesta

del Auditor

de 41


► Ejemplo (Estándar nº5 de PCAOB):

► Planificación de la auditoría

► Dimensionar (escalar) la auditoría

► Considerar riesgo de fraude

► Considerar usar el trabajo de otros

► Valoración de Riesgo de Control

► Prueba de Controles

► Evaluar deficiencias identificadas

► Cerrar la auditoría (Wrapping-up)


de 41

¿En qué consiste la Auditoría sobre el Control Interno de TI? ► Ejemplo (Estándar nº5 de PCAOB):

► Valoración de Riesgo de Control:


► Cuentas

Significativas

► Aseveraciones

► Clase significativa

de transacciones

► WCGW: Qué puede

fallar? (Riesgos)

► Controles

transaccionales

de 41

Valoración del Riesgo de Control Tipos de Controles


Manual Automatizado

Manual

dependiente

de TI

de 41

Valoración del Riesgo de Control Controles Generales de TI


de 41

Valoración del Riesgo de Control Controles Generales de TI

► Prueba de Controles:

► 1) Identificación de controles (narrativo)

► Inspeccionar documentación de políticas, procedimientos de control,

matrices de riesgo, etc.

► 2) Recorrido de controles (evaluación del diseño)

► 3) Prueba del control (evaluación de la operativa)

► Determinar la naturaleza, alcance y oportunidad

► Validar la completitud y exactitud de la evidencia.

► 4) Concluir por la efectividad individual de cada control

► 5) Concluir en forma agregada respecto a la efectividad de los

controles en relación a los riesgos

► Evaluar las deficiencias identificadas



¿Qué debería hacer la organización? ¿Qué debería hacer TI?

de 41

► TI no se puede hacer cargo de toda la organización, ni también del Control

Interno.

► Los lineamientos de Control Interno para TI deben “bajar” desde la Dirección

Partes externas

interesadas

Direcció

n

Gere

ncia

de

TI

¿Qué debería hacer la organización?


Expectativas y Necesidades de los stakeholders (interesados)

Objetivos/Metas del Negocio

Objetivos/Metas del Negocio para TI

Objetivos de los Procesos de TI

Actividades de Control en los procesos de TI

Gobie

rno C

orp

ora

tivo

Com

ité d

e A

uditorí

a

Gerencia de Procesos de Negocio (usuarios de TI)

Auditoría Interna

de 41

¿Qué debería hacer TI? (con relación a la auditoría)

► Entender el alcance de la auditoría (tipo de

auditoría), y sus actores principales.

► Acordar expectativas

► Fijar interlocutores, protocolos de comunicación y

seguimiento de pedidos.

► Incluir a la Auditoría Externa en la planificación

anual de actividades (insume recursos y tiempo)

► Comunicación fluida (relacionada al proyecto de

auditoría)

► Responder ante los hallazgos, de modo de

establecer y acordar planes de acción realistas:

involucrar a todas las partes involucradas.


de 41

¿Qué debería hacer TI? (para demostrar Control Interno Efectivo)

► Ambiente de Control: “cultura de control”

► Identificar y documentar (formalizar) los procesos

de TI

► Matriz de Riesgos / Controles / Objetivos

► Basarse en Marcos de Referencia, estándares,

normas, buenas prácticas, etc.

► Tener presente que la efectividad del Sistema de

Control Interno no depende sólo de TI.

► Dificultades:

► Debe “vender” la idea a la Dirección.

► Recursos y tiempo limitado



Marcos de Referencia y Estándares

de 41

Marcos de Referencia y Estándares

► Para el Negocio:

► COSO: Orientado al Control Interno

► Normas ISO/IEC 27001, 27002: Seguridad de la

Información; 38500 (Gobierno Corporativo de TI)

► ITIL: Servicios de TI

► COBIT 5: Orientado al Gobierno Empresarial de

TI, Orientado a procesos y hace referencia a los

anteriores y más.

► Para Auditoría:

► Estándares del PCAOB relacionados (Auditoría

Integrada)

► ITAF (ISACA)

► COBIT 5 for Assurance (Enabler)

► Estándares de AICPA



Resumen

de 41

Resumen

► Auditoría Integrada: integra auditoría financiera y operativa, y suele referirse

la combinación de Auditoría Financiera y Opinión sobre la efectividad del

Control Interno.

► Involucra a TI, dado que es quien brinda soporte a los procesos que generan

información financiero-contable.

► Es requerida por entes reguladores nacionales e internacionales, según el

tipo de industria. En Uruguay falta camino por recorrer…

► En el proceso de auditoría basado en riesgos, se debe probar la efectividad

del Control Interno, a efectos de reducir el Riesgo de Control y por ende, el

Riesgo de Auditoría.

► Implementar y adoptar marcos de Gobierno de TI y Control Interno facilitan el

logro de los objetivos de la organización.

► El alcance de la auditoría de TI, no es solo el departamento de TI.

► Requiere planificar tiempos y recursos por parte del auditado.

► COMUNICACIÓN entre las partes interesadas


de 41

PREGUNTAS


Muchas Gracias

Ing. José Luis Mauro Vera, CISA

Manager | Advisory

E-mail: [email protected]

Twitter: @jlmvera

LinkedIn: joseluismaurovera

Preparándose para una Auditoría Integrada¡gina 13 de 41 COSO 2013: Componentes, Principios y...

Documents

Transcript of Preparándose para una Auditoría Integrada¡gina 13 de 41 COSO 2013: Componentes, Principios y...