Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Ing. José Luis Mauro Vera, CISA Manager | Advisory A CIGR Página 2 de 41 S Expectativas de la presentación Rol ¿Qué se pueden llevar de esta presentación? 0% Auditoría / Estudiante • • • • Conceptos de Control Interno, Auditoría y Auditoría Integrada Conceptos de COSO, COBIT 5. Auditoría basada en Riesgos Involucramiento de especialistas de TI en Auditoría Financiera Auditor Interno / Externo • • • • Conceptos de COSO 2013 y relación con COBIT 5 Objetivos de Auditoría Integrada y aplicabilidad Relación con Gobierno Corporativo y potencial crecimiento Metodología de auditoría basada en estándares del PCAOB 100% TI Gerencias usuarias / Dirección Página 3 de 41 • No todo es “que el sistema ande” o “cumplir con los plazos” • Hay que ver “cómo se cumplen con los plazos” o “que TI asegure al negocio proveer información confiable”. • Este tipo de auditorías revisa efectividad del Control Interno. • Requiere planificación, coordinación y fijación de expectativas. • No todo es “culpa de TI” • Aplicabilidad ¿Cómo estamos parados respecto a exigencias de Auditoría Interna? • ¿Qué rol juega en el Control Interno de TI? Responsabilidades compartidas • Marcos de Referencia y Estándares que ayudan Preparándose para una Auditoría Integrada Resumen Ejecutivo ► ► ► ► ► ► ► Página 4 de 41 ¿Qué es una Auditoría Integrada? ¿Qué es el Control Interno? ¿Qué entidades están sujetos a este tipo de auditorías? ¿Por qué se involucra a TI? ¿En qué consiste la Auditoría sobre el Control Interno de TI? ¿Qué debería hacer la organización? ¿Qué debería hacer TI? ¿Marcos de Referencia, Normas y Estándares? Preparándose para una Auditoría Integrada ¿Qué es una Auditoría Integrada? Página 5 de 41 Preparándose para una Auditoría Integrada Auditoría Integrada ► ► Combina pasos de auditoría financiera y operativa. Clasificación de tipos de auditoría: ► Por alcance: ► ► ► ► ► ► Financiera-Contable Operativa Administrativa Especializadas Por quién la ejecuta: ► ► Interna Externa Típicamente nos referimos a Auditorías Integradas cuando un auditor externo opina sobre: ► ► Estados Financieros-Contables Efectividad del Sistema de Control Interno sobre los reportes financieros Página 6 de 41 Preparándose para una Auditoría Integrada Entregables ► Auditoría Financiera: Dictamen (opinión) de Auditoría Financiera ► Carta a la Dirección: Hallazgos y Recomendaciones de control interno Auditoría Integrada: Dictamen (opinión) de Auditoría Financiera Página 7 de 41 Evaluación sobre la efectividad del Sistema de Control Interno sobre los reportes financieros Preparándose para una Auditoría Integrada Carta a la Dirección: Hallazgos y Recomendaciones control interno ¿Qué es el Control Interno? Página 8 de 41 Preparándose para una Auditoría Integrada ¿Qué es el Control Interno? ► ► El Control Interno es un proceso, afectado por la Dirección, Gerencia, y el resto del personal, diseñado para proveer un aseguramiento razonable de que los objetivos de la organización se van a cumplir. Tipos de objetivos: ► ► ► Página 9 de 41 Operaciones (efectividad y eficiencia en el desempeño, y protección de activos ante posibles pérdidas) Reporte (confianza, oportunidad, transparencia) Cumplimiento (leyes y regulaciones aplicables) Preparándose para una Auditoría Integrada ¿Qué es COSO? ► ► ► ► ► COSO es un Framework desarrollado por el Committee of Sponsoring Organizations of the Treadway Commission. Liberado originalmente en 1992. Hay una actualización de 2013. Para diseñar, implementar y conducir el Control Interno dentro de una organización Para evaluar la efectividad del Control Interno dentro de una organización COBIT 5 hace referencia a COSO en sus distintos componentes (ver white paper: “Relating the COSO Internal Control Integrated Framework and COBIT”) Página 10 de 41 Preparándose para una Auditoría Integrada Relating the COSO Internal Control Integrated Framework and COBIT Página 11 de 41 Preparándose para una Auditoría Integrada COSO 2013 - Cubo ► Objetivos: ► ► ► ► Componentes: ► ► ► ► ► ► Operaciones Reporte Cumplimiento Ambiente de Control Valoración de Riesgos Actividades de Control Información y Comunicación Actividades de Monitoreo Estructura de la entidad: ► ► ► ► Entidad División Unidad Operacional Función Página 12 de 41 Preparándose para una Auditoría Integrada COSO 2013: Componentes, Principios y Ptos. de Foco Componentes del Control Interno (5) ► ► ► ► ► Principios (17) Ambiente de Control Valoración de Riesgos Actividades de Control Información y Comunicación Actividades de Monitoreo Página 13 de 41 ► ► ► ► ► 5 para Ambiente de Control 4 para Valoración de Riesgos 3 para Actividades de Control 3 para Información y Comunicación 2 para Monitoreo Preparándose para una Auditoría Integrada Puntos de Foco (87) ► ► 87 puntos de foco distribuidos entre los 17 principios Su aplicabilidad depende del tipo de organización COSO 2013 - Principios 1. Ambiente de Control 6. 7. 8. 9. Especificar objetivos claros, que permitan identificar los riesgos. Identificar riesgos de la Entidad, y valoración de los mismos Considerar el potencial de fraude en la valoración de riesgos. Identificar y valorar cambios significativos que impacten en el Sistema de Control Interno. 3. Actividades de Control 10. Seleccionar y desarrollar actividades de control. 11. Seleccionar y desarrollar Controles Generales sobre las TI 12. Desplegar controles a través de políticas y procedimientos. 4. Información y Comunicación 13. Obtener o generar información Relevante que de soporte a los controles internos. 14. Comunicar internamente información, objetivos y responsabilidades sobre el Control Interno. 15. Comunicar externamente respecto a asuntos que afectan al control interno. 5. Monitoreo 16. Seleccionar, desarrollar y llevar a cabo evaluaciones de Control Interno. 17. Evaluar y comunicar deficiencias de Control Interno. Página 14 de 41 Preparándose para una Auditoría Integrada Principios del marco de referencia 2. Valoración de Riesgos 1. Demostrar compromiso con la integridad y valores éticos. 2. Independencia entre la Gerencia y el Directorio, y ejercicio de la responsabilidad por la supervisión por parte el mismo. 3. Establecer la estructura, autoridad y responsabilidad en el cumplimiento de objetivos, por parte de la Gerencia y Directorio. 4. Atraer, desarrollar y retener individuos competentes. 5. Hacer que los individuos respondan por sus responsabilidades COSO 2013 – Ejemplo de Puntos de Foco Componente 3: Actividades de Control Principio 11: La organización selecciona y desarrolla actividades de controles generales sobre la tecnología para soportar el logro de los objetivos. Puntos de Foco ► Determinar dependencia entre el uso de Tecnología en los procesos de negocio y los Controles Generales de TI: ► Establecer actividades de control relevantes sobre la infraestructura de Tecnología ► Establecer actividades de control relevantes sobre el proceso de Gestión de Seguridad ► Establecer actividades de control relevantes sobre los procesos de Adquisición, Desarrollo y Mantenimiento de Tecnología Página 15 de 41 Preparándose para una Auditoría Integrada COSO - ¿Cuándo el Sistema de Control Interno es Efectivo? ► Un Sistema de Control Interno Efectivo reduce a un nivel aceptable el riesgo de no cumplir con los objetivos de la organización ► Requiere que: ► ► Página 16 de 41 Cada uno de los 5 componentes y 17 principios relevantes estén presentes y funcionando Los 5 componentes estén operando en conjunto y de manera integrada. Preparándose para una Auditoría Integrada ¿Qué entidades están sujetas a este tipo de auditorías? Página 17 de 41 Preparándose para una Auditoría Integrada Empresas que requieren evaluación del Control Interno ► Empresas multinacionales: ► ► ► ► ► ► Página 18 de 41 Empresas listadas en la NYSE (US SEC) Empresas listadas en Bolsas de Valores, donde se requiere este tipo de auditorías. Filial que es “material” para la casa matriz, siendo ésta SEC. Empresas cuyo país de origen requiera efectuar este tipo de informes. Los mercados de valores requieren de mayores garantías respecto a la información que reportan las empresas que cotizan valores (ej: Ley SarbanesOxley que creo la PCAOB “Public Company Accounting Oversight Board”) El Auditing Standard Nº5 de PCAOB establece cómo hacer una auditoría sobre el Control Interno en marco de una Auditoría Integrada. Preparándose para una Auditoría Integrada Página 19 de 41 Preparándose para una Auditoría Integrada Empresas que requieren evaluación del Control Interno (cont.) ► Empresas uruguayas (reguladas por BCU): ► ► ► ► ► Bancos* (BCU, RNRCSF, Art 521,ap. B) Bancos de Inversión* (BCU, RNRCSF, Art 521, ap. B) Casas Financieras* (BCU, RNRCSF, Art 521, ap. B) Instituciones Financieras Externas* (BCU, RNRCSF, Art 522) Cooperativas de Intermediación Financiera* (BCU, RNRCSF, Art 521, ap. B) ► Administradoras de Grupos de Ahorro Previo (BCU, RNRCSF, Art 523, ap. B) ► ► ► ► Aseguradoras y Reaseguradoras AFAPs (BCU, RNCFP, Art. 148, ap. C) Bolsas de Valores (BCU, RNMV, Art. 276) (BCU, RNSR, Art 138, ap. B) ¿Y las Emisoras de valores? * Se requiere de un informe trienal del Sistema de Gestión Integral de Riesgos Página 20 de 41 Preparándose para una Auditoría Integrada ¿Por qué se involucra a TI? Página 21 de 41 Preparándose para una Auditoría Integrada ¿Por qué se involucra a TI? ► ► La información financiera se produce, obtiene, procesa, almacena, transfiere y protege utilizando una combinación de TI y de procedimientos manuales. La confiabilidad de la información financiera está dada por aspectos: ► ► ► ► Página 22 de 41 Controles automatizados (técnicos) Controles manuales (personal) Controles manuales dependientes de TI (personal y técnico) La efectividad de los controles automatizados y manuales dependientes de TI se basa en la efectividad de los Controles Generales de TI. Preparándose para una Auditoría Integrada ¿Por qué se involucra a TI? ► ► Opinar sobre el Control Interno incluye a los procesos de TI relacionados con el objetivo “información financiera contable” Foco en los “Controles Generales de TI” ► ► Estándares, Normas y Políticas relacionadas con salvaguardar la información financiera Categorías de Controles Generales de TI: ► ► ► Administración de Cambios Acceso Lógico y Físico Otros Controles: ► ► ► Página 23 de 41 Respaldos y Recuperación Gestión de Problemas e Incidentes Gestión de Tareas Programadas (Schedule) Preparándose para una Auditoría Integrada ¿En qué consiste la Auditoría sobre el Control Interno de TI? Página 24 de 41 Preparándose para una Auditoría Integrada ¿En qué consiste la Auditoría sobre el Control Interno de TI? ► Auditoría financiera basada en riesgos: Riesgo de Auditoría ► ► ► ► Riesgo Inherente Riesgo de Control Riesgo de Detección Riesgo Inherente: riesgo de un proceso, sin considerar controles qué este tenga. Riesgo de Control: riesgo de que los controles no operen efectivamente Riesgo de Detección: riesgo que los procedimientos de auditoría sean insuficientes (no detecten diferencias “materiales”) Riesgo de Auditoría: Es el riesgo de que las conclusiones no estén correctamente soportadas (aseveraciones equívocas materiales) Página 25 de 41 Preparándose para una Auditoría Integrada ¿En qué consiste la Auditoría sobre el Control Interno de TI? ► Auditoría financiera basada en riesgos: Riesgo de Auditoría Riesgo Inherente Riesgo de Control Riesgo de Detección Entender el proceso Respuesta del Auditor Pruebas de Cumplimiento Procedimientos Sustantivos : Pruebas analíticas / Pruebas de Detalle ► ► Riesgo de Control: El auditor debe evaluar el Sistema de Control Interno, de modo de reducir el riesgo de auditoría. Como consecuencia, se podría reducir el alcance de los procedimientos sustantivos, si el diseño y operación de los controles son efectivos. Página 26 de 41 Preparándose para una Auditoría Integrada ¿En qué consiste la Auditoría sobre el Control Interno de TI? ► Ejemplo (Estándar nº5 de PCAOB): ► ► ► ► ► ► ► ► Planificación de la auditoría Dimensionar (escalar) la auditoría Considerar riesgo de fraude Considerar usar el trabajo de otros Valoración de Riesgo de Control Prueba de Controles Evaluar deficiencias identificadas Cerrar la auditoría (Wrapping-up) Página 27 de 41 Preparándose para una Auditoría Integrada ¿En qué consiste la Auditoría sobre el Control Interno de TI? ► Ejemplo (Estándar nº5 de PCAOB): ► Valoración de Riesgo de Control: Página 28 de 41 Preparándose para una Auditoría Integrada ► Cuentas Significativas ► Aseveraciones ► Clase significativa de transacciones ► WCGW: Qué puede fallar? (Riesgos) ► Controles transaccionales Valoración del Riesgo de Control Tipos de Controles Manual dependiente de TI Manual Página 29 de 41 Automatizado Preparándose para una Auditoría Integrada Valoración del Riesgo de Control Controles Generales de TI Página 30 de 41 Preparándose para una Auditoría Integrada Valoración del Riesgo de Control Controles Generales de TI ► Prueba de Controles: ► 1) Identificación de controles (narrativo) ► ► ► 2) Recorrido de controles (evaluación del diseño) 3) Prueba del control (evaluación de la operativa) ► ► ► ► ► Inspeccionar documentación de políticas, procedimientos de control, matrices de riesgo, etc. Determinar la naturaleza, alcance y oportunidad Validar la completitud y exactitud de la evidencia. 4) Concluir por la efectividad individual de cada control 5) Concluir en forma agregada respecto a la efectividad de los controles en relación a los riesgos Evaluar las deficiencias identificadas Página 31 de 41 Preparándose para una Auditoría Integrada ¿Qué debería hacer la organización? ¿Qué debería hacer TI? Página 32 de 41 Preparándose para una Auditoría Integrada ¿Qué debería hacer la organización? TI no se puede hacer cargo de toda la organización, ni también del Control Interno. Partes externas interesadas Objetivos/Metas del Negocio Objetivos/Metas del Negocio para TI Objetivos de los Procesos de TI Actividades de Control en los procesos de TI Gerencia de Procesos de Negocio (usuarios de TI) Gobierno Corporativo Gerencia de TI Dirección Expectativas y Necesidades de los stakeholders (interesados) Comité de Auditoría ► Auditoría Interna ► Los lineamientos de Control Interno para TI deben “bajar” desde la Dirección Página 33 de 41 Preparándose para una Auditoría Integrada ¿Qué debería hacer TI? (con relación a la auditoría) ► ► ► ► ► ► Página 34 de 41 Entender el alcance de la auditoría (tipo de auditoría), y sus actores principales. Acordar expectativas Fijar interlocutores, protocolos de comunicación y seguimiento de pedidos. Incluir a la Auditoría Externa en la planificación anual de actividades (insume recursos y tiempo) Comunicación fluida (relacionada al proyecto de auditoría) Responder ante los hallazgos, de modo de establecer y acordar planes de acción realistas: involucrar a todas las partes involucradas. Preparándose para una Auditoría Integrada ¿Qué debería hacer TI? (para demostrar Control Interno Efectivo) ► ► ► ► ► ► Ambiente de Control: “cultura de control” Identificar y documentar (formalizar) los procesos de TI Matriz de Riesgos / Controles / Objetivos Basarse en Marcos de Referencia, estándares, normas, buenas prácticas, etc. Tener presente que la efectividad del Sistema de Control Interno no depende sólo de TI. Dificultades: ► ► Página 35 de 41 Debe “vender” la idea a la Dirección. Recursos y tiempo limitado Preparándose para una Auditoría Integrada Marcos de Referencia y Estándares Página 36 de 41 Preparándose para una Auditoría Integrada Marcos de Referencia y Estándares ► Para el Negocio: ► ► ► ► ► Para Auditoría: ► ► ► ► Página 37 de 41 COSO: Orientado al Control Interno Normas ISO/IEC 27001, 27002: Seguridad de la Información; 38500 (Gobierno Corporativo de TI) ITIL: Servicios de TI COBIT 5: Orientado al Gobierno Empresarial de TI, Orientado a procesos y hace referencia a los anteriores y más. Estándares del PCAOB relacionados (Auditoría Integrada) ITAF (ISACA) COBIT 5 for Assurance (Enabler) Estándares de AICPA Preparándose para una Auditoría Integrada Resumen Página 38 de 41 Preparándose para una Auditoría Integrada Resumen ► ► ► ► ► ► ► ► Auditoría Integrada: integra auditoría financiera y operativa, y suele referirse la combinación de Auditoría Financiera y Opinión sobre la efectividad del Control Interno. Involucra a TI, dado que es quien brinda soporte a los procesos que generan información financiero-contable. Es requerida por entes reguladores nacionales e internacionales, según el tipo de industria. En Uruguay falta camino por recorrer… En el proceso de auditoría basado en riesgos, se debe probar la efectividad del Control Interno, a efectos de reducir el Riesgo de Control y por ende, el Riesgo de Auditoría. Implementar y adoptar marcos de Gobierno de TI y Control Interno facilitan el logro de los objetivos de la organización. El alcance de la auditoría de TI, no es solo el departamento de TI. Requiere planificar tiempos y recursos por parte del auditado. COMUNICACIÓN entre las partes interesadas Página 39 de 41 Preparándose para una Auditoría Integrada PREGUNTAS Página 40 de 41 Preparándose para una Auditoría Integrada Muchas Gracias Ing. José Luis Mauro Vera, CISA Manager | Advisory E-mail: [email protected] Twitter: @jlmvera LinkedIn: joseluismaurovera
© Copyright 2024