2ª proyección principios 2 proyectar estudio de todos los componentes neumáticos
Preparándose para una Auditoría Integrada¡gina 13 de 41 COSO 2013: Componentes, Principios y...
Transcript of Preparándose para una Auditoría Integrada¡gina 13 de 41 COSO 2013: Componentes, Principios y...
Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera
Externa
Ing. José Luis Mauro Vera, CISA
Manager | Advisory
Página 2 de 41
CIGR S A
Página 3 de 41
Expectativas de la presentación
Rol ¿Qué se pueden llevar de esta presentación?
0% Auditoría /
Estudiante
• Conceptos de Control Interno, Auditoría y Auditoría Integrada
• Conceptos de COSO, COBIT 5.
• Auditoría basada en Riesgos
• Involucramiento de especialistas de TI en Auditoría Financiera
Auditor Interno
/ Externo
• Conceptos de COSO 2013 y relación con COBIT 5
• Objetivos de Auditoría Integrada y aplicabilidad
• Relación con Gobierno Corporativo y potencial crecimiento
• Metodología de auditoría basada en estándares del PCAOB
100% TI
• No todo es “que el sistema ande” o “cumplir con los plazos”
• Hay que ver “cómo se cumplen con los plazos” o “que TI asegure al
negocio proveer información confiable”.
• Este tipo de auditorías revisa efectividad del Control Interno.
• Requiere planificación, coordinación y fijación de expectativas.
• No todo es “culpa de TI”
Gerencias
usuarias /
Dirección
• Aplicabilidad ¿Cómo estamos parados respecto a exigencias de
Auditoría Interna?
• ¿Qué rol juega en el Control Interno de TI? Responsabilidades
compartidas
• Marcos de Referencia y Estándares que ayudan
Preparándose para una Auditoría Integrada
Página 4 de 41
Resumen Ejecutivo
► ¿Qué es una Auditoría Integrada?
► ¿Qué es el Control Interno?
► ¿Qué entidades están sujetos a este tipo
de auditorías?
► ¿Por qué se involucra a TI?
► ¿En qué consiste la Auditoría sobre el
Control Interno de TI?
► ¿Qué debería hacer la organización?
¿Qué debería hacer TI?
► ¿Marcos de Referencia, Normas y
Estándares?
Preparándose para una Auditoría Integrada
Página 5 de 41
¿Qué es una Auditoría Integrada?
Preparándose para una Auditoría Integrada
Página 6 de 41
Auditoría Integrada
► Combina pasos de auditoría financiera y operativa.
► Clasificación de tipos de auditoría:
Preparándose para una Auditoría Integrada
► Por alcance:
► Financiera-Contable
► Operativa
► Administrativa
► Especializadas
► Por quién la ejecuta:
► Interna
► Externa
► Típicamente nos referimos a Auditorías Integradas
cuando un auditor externo opina sobre:
► Estados Financieros-Contables
► Efectividad del Sistema de Control Interno sobre los reportes
financieros
Página 7 de 41
Entregables
► Auditoría Financiera:
► Auditoría Integrada:
Preparándose para una Auditoría Integrada
Dictamen (opinión) de
Auditoría Financiera
Dictamen (opinión) de
Auditoría Financiera
Evaluación sobre la
efectividad del
Sistema de Control
Interno sobre los
reportes financieros
Carta a la Dirección:
Hallazgos y
Recomendaciones de
control interno
Carta a la Dirección:
Hallazgos y
Recomendaciones
control interno
Página 8 de 41
¿Qué es el Control Interno?
Preparándose para una Auditoría Integrada
Página 9 de 41
¿Qué es el Control Interno?
► El Control Interno es un proceso, afectado
por la Dirección, Gerencia, y el resto del
personal, diseñado para proveer un
aseguramiento razonable de que los
objetivos de la organización se van a
cumplir.
► Tipos de objetivos:
► Operaciones (efectividad y eficiencia en el
desempeño, y protección de activos ante
posibles pérdidas)
► Reporte (confianza, oportunidad, transparencia)
► Cumplimiento (leyes y regulaciones aplicables)
Preparándose para una Auditoría Integrada
Página 10 de 41
¿Qué es COSO?
► COSO es un Framework desarrollado por el Committee of
Sponsoring Organizations of the Treadway Commission.
► Liberado originalmente en 1992. Hay una actualización de
2013.
► Para diseñar, implementar y conducir el Control Interno
dentro de una organización
► Para evaluar la efectividad del Control Interno dentro de
una organización
► COBIT 5 hace referencia a COSO en sus distintos
componentes (ver white paper: “Relating the COSO
Internal Control Integrated Framework and COBIT”)
Preparándose para una Auditoría Integrada
Página 11 de 41
Relating the COSO Internal Control Integrated Framework and COBIT
Preparándose para una Auditoría Integrada
Página 12 de 41
COSO 2013 - Cubo
► Objetivos:
► Operaciones
► Reporte
► Cumplimiento
► Componentes:
► Ambiente de Control
► Valoración de Riesgos
► Actividades de Control
► Información y Comunicación
► Actividades de Monitoreo
► Estructura de la entidad:
► Entidad
► División
► Unidad Operacional
► Función
Preparándose para una Auditoría Integrada
Página 13 de 41
COSO 2013: Componentes, Principios y Ptos. de Foco
Componentes del Control Interno (5)
Principios (17)
Puntos de Foco (87)
Preparándose para una Auditoría Integrada
► Ambiente de Control
► Valoración de
Riesgos
► Actividades de
Control
► Información y
Comunicación
► Actividades de
Monitoreo
► 5 para Ambiente de
Control
► 4 para Valoración de
Riesgos
► 3 para Actividades de
Control
► 3 para Información y
Comunicación
► 2 para Monitoreo
► 87 puntos de foco
distribuidos entre los
17 principios
► Su aplicabilidad
depende del tipo de
organización
Página 14 de 41
COSO 2013 - Principios
Preparándose para una Auditoría Integrada
Prin
cip
ios
de
l marc
o
de
refe
ren
cia
1. Ambiente de Control
2. Valoración de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Monitoreo
1. Demostrar compromiso con la integridad y valores éticos.
2. Independencia entre la Gerencia y el Directorio, y ejercicio de la responsabilidad por la supervisión por parte el mismo.
3. Establecer la estructura, autoridad y responsabilidad en el cumplimiento de objetivos, por parte de la Gerencia y Directorio.
4. Atraer, desarrollar y retener individuos competentes.
5. Hacer que los individuos respondan por sus responsabilidades
6. Especificar objetivos claros, que permitan identificar los riesgos.
7. Identificar riesgos de la Entidad, y valoración de los mismos
8. Considerar el potencial de fraude en la valoración de riesgos.
9. Identificar y valorar cambios significativos que impacten en el Sistema de Control Interno.
10.Seleccionar y desarrollar actividades de control.
11. Seleccionar y desarrollar Controles Generales sobre las TI
12.Desplegar controles a través de políticas y procedimientos.
13.Obtener o generar información Relevante que de soporte a los controles internos.
14. Comunicar internamente información, objetivos y responsabilidades sobre el Control Interno.
15. Comunicar externamente respecto a asuntos que afectan al control interno.
16.Seleccionar, desarrollar y llevar a cabo evaluaciones de Control Interno.
17. Evaluar y comunicar deficiencias de Control Interno.
Página 15 de 41
COSO 2013 – Ejemplo de Puntos de Foco
Puntos de Foco
► Determinar dependencia entre el uso de Tecnología en los procesos
de negocio y los Controles Generales de TI:
► Establecer actividades de control relevantes sobre la infraestructura
de Tecnología
► Establecer actividades de control relevantes sobre el proceso de
Gestión de Seguridad
► Establecer actividades de control relevantes sobre los procesos de
Adquisición, Desarrollo y Mantenimiento de Tecnología
Preparándose para una Auditoría Integrada
Componente 3:
Actividades de Control
Principio 11:
La organización selecciona y desarrolla actividades de controles generales sobre la tecnología para
soportar el logro de los objetivos.
Página 16 de 41
COSO - ¿Cuándo el Sistema de Control Interno es Efectivo?
► Un Sistema de Control Interno Efectivo
reduce a un nivel aceptable el riesgo de no
cumplir con los objetivos de la organización
► Requiere que:
► Cada uno de los 5 componentes y 17 principios
relevantes estén presentes y funcionando
► Los 5 componentes estén operando en conjunto
y de manera integrada.
Preparándose para una Auditoría Integrada
Página 17 de 41
¿Qué entidades están sujetas a este tipo de auditorías?
Preparándose para una Auditoría Integrada
Página 18 de 41
Empresas que requieren evaluación del Control Interno
► Empresas multinacionales:
► Empresas listadas en la NYSE (US SEC)
► Empresas listadas en Bolsas de Valores, donde se
requiere este tipo de auditorías.
► Filial que es “material” para la casa matriz, siendo ésta
SEC.
► Empresas cuyo país de origen requiera efectuar este
tipo de informes.
► Los mercados de valores requieren de mayores
garantías respecto a la información que reportan las
empresas que cotizan valores (ej: Ley Sarbanes-
Oxley que creo la PCAOB “Public Company
Accounting Oversight Board”)
► El Auditing Standard Nº5 de PCAOB establece cómo
hacer una auditoría sobre el Control Interno en marco
de una Auditoría Integrada.
Preparándose para una Auditoría Integrada
Página 19 de 41 Preparándose para una Auditoría Integrada
Página 20 de 41
Empresas que requieren evaluación del Control Interno (cont.)
► Empresas uruguayas (reguladas por BCU):
► Bancos* (BCU, RNRCSF, Art 521,ap. B)
► Bancos de Inversión* (BCU, RNRCSF, Art 521, ap. B)
► Casas Financieras* (BCU, RNRCSF, Art 521, ap. B)
► Instituciones Financieras Externas* (BCU, RNRCSF, Art 522)
► Cooperativas de Intermediación Financiera* (BCU, RNRCSF,
Art 521, ap. B)
► Administradoras de Grupos de Ahorro Previo (BCU,
RNRCSF, Art 523, ap. B)
► Aseguradoras y Reaseguradoras (BCU, RNSR, Art 138, ap. B)
► AFAPs (BCU, RNCFP, Art. 148, ap. C)
► Bolsas de Valores (BCU, RNMV, Art. 276)
► ¿Y las Emisoras de valores?
* Se requiere de un informe trienal del Sistema de Gestión Integral de Riesgos
Preparándose para una Auditoría Integrada
Página 21 de 41
¿Por qué se involucra a TI?
Preparándose para una Auditoría Integrada
Página 22 de 41
¿Por qué se involucra a TI?
► La información financiera se produce, obtiene,
procesa, almacena, transfiere y protege utilizando
una combinación de TI y de procedimientos
manuales.
► La confiabilidad de la información financiera está
dada por aspectos:
► Controles automatizados (técnicos)
► Controles manuales (personal)
► Controles manuales dependientes de TI (personal y
técnico)
► La efectividad de los controles automatizados y
manuales dependientes de TI se basa en la
efectividad de los Controles Generales de TI.
Preparándose para una Auditoría Integrada
Página 23 de 41
¿Por qué se involucra a TI?
► Opinar sobre el Control Interno incluye a
los procesos de TI relacionados con el
objetivo “información financiera contable”
► Foco en los “Controles Generales de TI”
► Estándares, Normas y Políticas relacionadas con
salvaguardar la información financiera
► Categorías de Controles Generales de TI:
► Administración de Cambios
► Acceso Lógico y Físico
► Otros Controles:
► Respaldos y Recuperación
► Gestión de Problemas e Incidentes
► Gestión de Tareas Programadas (Schedule)
Preparándose para una Auditoría Integrada
Página 24 de 41 Preparándose para una Auditoría Integrada
¿En qué consiste la Auditoría sobre el Control Interno de TI?
Página 25 de 41
¿En qué consiste la Auditoría sobre el Control Interno de TI? ► Auditoría financiera basada en riesgos:
► Riesgo Inherente: riesgo de un proceso, sin considerar controles
qué este tenga.
► Riesgo de Control: riesgo de que los controles no operen
efectivamente
► Riesgo de Detección: riesgo que los procedimientos de auditoría
sean insuficientes (no detecten diferencias “materiales”)
► Riesgo de Auditoría: Es el riesgo de que las conclusiones no estén
correctamente soportadas (aseveraciones equívocas materiales)
Preparándose para una Auditoría Integrada
Riesgo de
Auditoría
Riesgo
Inherente Riesgo de
Control
Riesgo de
Detección
Página 26 de 41
► Auditoría financiera basada en riesgos:
► Riesgo de Control: El auditor debe evaluar el Sistema de
Control Interno, de modo de reducir el riesgo de auditoría.
► Como consecuencia, se podría reducir el alcance de los
procedimientos sustantivos, si el diseño y operación de los
controles son efectivos.
¿En qué consiste la Auditoría sobre el Control Interno de TI?
Preparándose para una Auditoría Integrada
Riesgo de
Auditoría
Riesgo
Inherente Riesgo de
Control
Riesgo de
Detección
Pruebas de
Cumplimiento
Entender el proceso
Procedimientos Sustantivos : Pruebas
analíticas / Pruebas de Detalle
Respuesta
del Auditor
Página 27 de 41
¿En qué consiste la Auditoría sobre el Control Interno de TI?
► Ejemplo (Estándar nº5 de PCAOB):
► Planificación de la auditoría
► Dimensionar (escalar) la auditoría
► Considerar riesgo de fraude
► Considerar usar el trabajo de otros
► Valoración de Riesgo de Control
► Prueba de Controles
► Evaluar deficiencias identificadas
► Cerrar la auditoría (Wrapping-up)
Preparándose para una Auditoría Integrada
Página 28 de 41
¿En qué consiste la Auditoría sobre el Control Interno de TI? ► Ejemplo (Estándar nº5 de PCAOB):
► Valoración de Riesgo de Control:
Preparándose para una Auditoría Integrada
► Cuentas
Significativas
► Aseveraciones
► Clase significativa
de transacciones
► WCGW: Qué puede
fallar? (Riesgos)
► Controles
transaccionales
Página 29 de 41
Valoración del Riesgo de Control Tipos de Controles
Preparándose para una Auditoría Integrada
Manual Automatizado
Manual
dependiente
de TI
Página 30 de 41
Valoración del Riesgo de Control Controles Generales de TI
Preparándose para una Auditoría Integrada
Página 31 de 41
Valoración del Riesgo de Control Controles Generales de TI
► Prueba de Controles:
► 1) Identificación de controles (narrativo)
► Inspeccionar documentación de políticas, procedimientos de control,
matrices de riesgo, etc.
► 2) Recorrido de controles (evaluación del diseño)
► 3) Prueba del control (evaluación de la operativa)
► Determinar la naturaleza, alcance y oportunidad
► Validar la completitud y exactitud de la evidencia.
► 4) Concluir por la efectividad individual de cada control
► 5) Concluir en forma agregada respecto a la efectividad de los
controles en relación a los riesgos
► Evaluar las deficiencias identificadas
Preparándose para una Auditoría Integrada
Página 32 de 41 Preparándose para una Auditoría Integrada
¿Qué debería hacer la organización? ¿Qué debería hacer TI?
Página 33 de 41
► TI no se puede hacer cargo de toda la organización, ni también del Control
Interno.
► Los lineamientos de Control Interno para TI deben “bajar” desde la Dirección
Partes externas
interesadas
Direcció
n
Gere
ncia
de
TI
¿Qué debería hacer la organización?
Preparándose para una Auditoría Integrada
Expectativas y Necesidades de los stakeholders (interesados)
Objetivos/Metas del Negocio
Objetivos/Metas del Negocio para TI
Objetivos de los Procesos de TI
Actividades de Control en los procesos de TI
Gobie
rno C
orp
ora
tivo
Com
ité d
e A
uditorí
a
Gerencia de Procesos de Negocio (usuarios de TI)
Auditoría Interna
Página 34 de 41
¿Qué debería hacer TI? (con relación a la auditoría)
► Entender el alcance de la auditoría (tipo de
auditoría), y sus actores principales.
► Acordar expectativas
► Fijar interlocutores, protocolos de comunicación y
seguimiento de pedidos.
► Incluir a la Auditoría Externa en la planificación
anual de actividades (insume recursos y tiempo)
► Comunicación fluida (relacionada al proyecto de
auditoría)
► Responder ante los hallazgos, de modo de
establecer y acordar planes de acción realistas:
involucrar a todas las partes involucradas.
Preparándose para una Auditoría Integrada
Página 35 de 41
¿Qué debería hacer TI? (para demostrar Control Interno Efectivo)
► Ambiente de Control: “cultura de control”
► Identificar y documentar (formalizar) los procesos
de TI
► Matriz de Riesgos / Controles / Objetivos
► Basarse en Marcos de Referencia, estándares,
normas, buenas prácticas, etc.
► Tener presente que la efectividad del Sistema de
Control Interno no depende sólo de TI.
► Dificultades:
► Debe “vender” la idea a la Dirección.
► Recursos y tiempo limitado
Preparándose para una Auditoría Integrada
Página 36 de 41 Preparándose para una Auditoría Integrada
Marcos de Referencia y Estándares
Página 37 de 41
Marcos de Referencia y Estándares
► Para el Negocio:
► COSO: Orientado al Control Interno
► Normas ISO/IEC 27001, 27002: Seguridad de la
Información; 38500 (Gobierno Corporativo de TI)
► ITIL: Servicios de TI
► COBIT 5: Orientado al Gobierno Empresarial de
TI, Orientado a procesos y hace referencia a los
anteriores y más.
► Para Auditoría:
► Estándares del PCAOB relacionados (Auditoría
Integrada)
► ITAF (ISACA)
► COBIT 5 for Assurance (Enabler)
► Estándares de AICPA
Preparándose para una Auditoría Integrada
Página 38 de 41 Preparándose para una Auditoría Integrada
Resumen
Página 39 de 41
Resumen
► Auditoría Integrada: integra auditoría financiera y operativa, y suele referirse
la combinación de Auditoría Financiera y Opinión sobre la efectividad del
Control Interno.
► Involucra a TI, dado que es quien brinda soporte a los procesos que generan
información financiero-contable.
► Es requerida por entes reguladores nacionales e internacionales, según el
tipo de industria. En Uruguay falta camino por recorrer…
► En el proceso de auditoría basado en riesgos, se debe probar la efectividad
del Control Interno, a efectos de reducir el Riesgo de Control y por ende, el
Riesgo de Auditoría.
► Implementar y adoptar marcos de Gobierno de TI y Control Interno facilitan el
logro de los objetivos de la organización.
► El alcance de la auditoría de TI, no es solo el departamento de TI.
► Requiere planificar tiempos y recursos por parte del auditado.
► COMUNICACIÓN entre las partes interesadas
Preparándose para una Auditoría Integrada
Página 40 de 41
PREGUNTAS
Preparándose para una Auditoría Integrada
Muchas Gracias
Ing. José Luis Mauro Vera, CISA
Manager | Advisory
E-mail: [email protected]
Twitter: @jlmvera
LinkedIn: joseluismaurovera