Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Ing. José Luis Mauro Vera, CISA Manager Advisory
CIGR A S Página 2 de 41
Expectativas de la presentación Rol Qué se pueden llevar de esta presentación? 0% Auditoría / Estudiante Conceptos de Control Interno, Auditoría y Auditoría Integrada Conceptos de COSO, COBIT 5. Auditoría basada en Riesgos Involucramiento de especialistas de TI en Auditoría Financiera Auditor Interno / Externo 100% TI Gerencias usuarias / Dirección Conceptos de COSO 2013 y relación con COBIT 5 Objetivos de Auditoría Integrada y aplicabilidad Relación con Gobierno Corporativo y potencial crecimiento Metodología de auditoría basada en estándares del PCAOB No todo es que el sistema ande o cumplir con los plazos Hay que ver cómo se cumplen con los plazos o que TI asegure al negocio proveer información confiable. Este tipo de auditorías revisa efectividad del Control Interno. Requiere planificación, coordinación y fijación de expectativas. No todo es culpa de TI Aplicabilidad Cómo estamos parados respecto a exigencias de Auditoría Interna? Qué rol juega en el Control Interno de TI? Responsabilidades compartidas Marcos de Referencia y Estándares que ayudan Página 3 de 41
Resumen Ejecutivo Qué es una Auditoría Integrada? Qué es el Control Interno? Qué entidades están sujetos a este tipo de auditorías? Por qué se involucra a TI? En qué consiste la Auditoría sobre el Control Interno de TI? Qué debería hacer la organización? Qué debería hacer TI? Marcos de Referencia, Normas y Estándares? Página 4 de 41
Qué es una Auditoría Integrada? Página 5 de 41
Auditoría Integrada Combina pasos de auditoría financiera y operativa. Clasificación de tipos de auditoría: Por alcance: Por quién la ejecuta: Financiera-Contable Interna Operativa Externa Administrativa Especializadas Típicamente nos referimos a Auditorías Integradas cuando un auditor externo opina sobre: Estados Financieros-Contables Efectividad del Sistema de Control Interno sobre los reportes financieros Página 6 de 41
Entregables Auditoría Financiera: Dictamen (opinión) de Auditoría Financiera Carta a la Dirección: Hallazgos y Recomendaciones de control interno Auditoría Integrada: Dictamen (opinión) de Auditoría Financiera Evaluación sobre la efectividad del Sistema de Control Interno sobre los reportes financieros Carta a la Dirección: Hallazgos y Recomendaciones control interno Página 7 de 41
Qué es el Control Interno? Página 8 de 41
Qué es el Control Interno? El Control Interno es un proceso, afectado por la Dirección, Gerencia, y el resto del personal, diseñado para proveer un aseguramiento razonable de que los objetivos de la organización se van a cumplir. Tipos de objetivos: Operaciones (efectividad y eficiencia en el desempeño, y protección de activos ante posibles pérdidas) Reporte (confianza, oportunidad, transparencia) Cumplimiento (leyes y regulaciones aplicables) Página 9 de 41
Qué es COSO? COSO es un Framework desarrollado por el Committee of Sponsoring Organizations of the Treadway Commission. Liberado originalmente en 1992. Hay una actualización de 2013. Para diseñar, implementar y conducir el Control Interno dentro de una organización Para evaluar la efectividad del Control Interno dentro de una organización COBIT 5 hace referencia a COSO en sus distintos componentes (ver white paper: Relating the COSO Internal Control Integrated Framework and COBIT ) Página 10 de 41
Relating the COSO Internal Control Integrated Framework and COBIT Página 11 de 41
COSO 2013 - Cubo Objetivos: Operaciones Reporte Cumplimiento Componentes: Ambiente de Control Valoración de Riesgos Actividades de Control Información y Comunicación Actividades de Monitoreo Estructura de la entidad: Entidad División Unidad Operacional Función Página 12 de 41
COSO 2013: Componentes, Principios y Ptos. de Foco Componentes del Control Interno (5) Principios (17) Puntos de Foco (87) Ambiente de Control Valoración de Riesgos Actividades de Control Información y Comunicación Actividades de Monitoreo 5 para Ambiente de Control 4 para Valoración de Riesgos 3 para Actividades de Control 3 para Información y Comunicación 2 para Monitoreo 87 puntos de foco distribuidos entre los 17 principios Su aplicabilidad depende del tipo de organización Página 13 de 41
COSO 2013 - Principios 1. Ambiente de Control 1. Demostrar compromiso con la integridad y valores éticos. 2. Independencia entre la Gerencia y el Directorio, y ejercicio de la responsabilidad por la supervisión por parte el mismo. 3. Establecer la estructura, autoridad y responsabilidad en el cumplimiento de objetivos, por parte de la Gerencia y Directorio. 4. Atraer, desarrollar y retener individuos competentes. 5. Hacer que los individuos respondan por sus responsabilidades 2. Valoración de Riesgos 3. Actividades de Control 4. Información y Comunicación 5. Monitoreo 6. Especificar objetivos claros, que permitan identificar los riesgos. 7. Identificar riesgos de la Entidad, y valoración de los mismos 8. Considerar el potencial de fraude en la valoración de riesgos. 9. Identificar y valorar cambios significativos que impacten en el Sistema de Control Interno. 10.Seleccionar y desarrollar actividades de control. 11. Seleccionar y desarrollar Controles Generales sobre las TI 12.Desplegar controles a través de políticas y procedimientos. 13.Obtener o generar información Relevante que de soporte a los controles internos. 14. Comunicar internamente información, objetivos y responsabilidades sobre el Control Interno. 15. Comunicar externamente respecto a asuntos que afectan al control interno. 16.Seleccionar, desarrollar y llevar a cabo evaluaciones de Control Interno. 17. Evaluar y comunicar deficiencias de Control Interno. Principios del marco de referencia Página 14 de 41
COSO 2013 Ejemplo de Puntos de Foco Componente 3: Actividades de Control Principio 11: La organización selecciona y desarrolla actividades de controles generales sobre la tecnología para soportar el logro de los objetivos. Puntos de Foco Determinar dependencia entre el uso de Tecnología en los procesos de negocio y los Controles Generales de TI: Establecer actividades de control relevantes sobre la infraestructura de Tecnología Establecer actividades de control relevantes sobre el proceso de Gestión de Seguridad Establecer actividades de control relevantes sobre los procesos de Adquisición, Desarrollo y Mantenimiento de Tecnología Página 15 de 41
COSO - Cuándo el Sistema de Control Interno es Efectivo? Un Sistema de Control Interno Efectivo reduce a un nivel aceptable el riesgo de no cumplir con los objetivos de la organización Requiere que: Cada uno de los 5 componentes y 17 principios relevantes estén presentes y funcionando Los 5 componentes estén operando en conjunto y de manera integrada. Página 16 de 41
Qué entidades están sujetas a este tipo de auditorías? Página 17 de 41
Empresas que requieren evaluación del Control Interno Empresas multinacionales: Empresas listadas en la NYSE (US SEC) Empresas listadas en Bolsas de Valores, donde se requiere este tipo de auditorías. Filial que es material para la casa matriz, siendo ésta SEC. Empresas cuyo país de origen requiera efectuar este tipo de informes. Los mercados de valores requieren de mayores garantías respecto a la información que reportan las empresas que cotizan valores (ej: Ley Sarbanes- Oxley que creo la PCAOB Public Company Accounting Oversight Board ) El Auditing Standard Nº5 de PCAOB establece cómo hacer una auditoría sobre el Control Interno en marco de una Auditoría Integrada. Página 18 de 41
Página 19 de 41
Empresas que requieren evaluación del Control Interno (cont.) Empresas uruguayas (reguladas por BCU): Bancos* (BCU, RNRCSF, Art 521,ap. B) Bancos de Inversión* (BCU, RNRCSF, Art 521, ap. B) Casas Financieras* (BCU, RNRCSF, Art 521, ap. B) Instituciones Financieras Externas* (BCU, RNRCSF, Art 522) Cooperativas de Intermediación Financiera* (BCU, RNRCSF, Art 521, ap. B) Administradoras de Grupos de Ahorro Previo (BCU, RNRCSF, Art 523, ap. B) Aseguradoras y Reaseguradoras (BCU, RNSR, Art 138, ap. B) AFAPs (BCU, RNCFP, Art. 148, ap. C) Bolsas de Valores (BCU, RNMV, Art. 276) Y las Emisoras de valores? * Se requiere de un informe trienal del Sistema de Gestión Integral de Riesgos Página 20 de 41
Por qué se involucra a TI? Página 21 de 41
Por qué se involucra a TI? La información financiera se produce, obtiene, procesa, almacena, transfiere y protege utilizando una combinación de TI y de procedimientos manuales. La confiabilidad de la información financiera está dada por aspectos: Controles automatizados (técnicos) Controles manuales (personal) Controles manuales dependientes de TI (personal y técnico) La efectividad de los controles automatizados y manuales dependientes de TI se basa en la efectividad de los Controles Generales de TI. Página 22 de 41
Por qué se involucra a TI? Opinar sobre el Control Interno incluye a los procesos de TI relacionados con el objetivo información financiera contable Foco en los Controles Generales de TI Estándares, Normas y Políticas relacionadas con salvaguardar la información financiera Categorías de Controles Generales de TI: Administración de Cambios Acceso Lógico y Físico Otros Controles: Respaldos y Recuperación Gestión de Problemas e Incidentes Gestión de Tareas Programadas (Schedule) Página 23 de 41
En qué consiste la Auditoría sobre el Control Interno de TI? Página 24 de 41
En qué consiste la Auditoría sobre el Control Interno de TI? Auditoría financiera basada en riesgos: Riesgo de Auditoría Riesgo Inherente Riesgo de Control Riesgo de Detección Riesgo Inherente: riesgo de un proceso, sin considerar controles qué este tenga. Riesgo de Control: riesgo de que los controles no operen efectivamente Riesgo de Detección: riesgo que los procedimientos de auditoría sean insuficientes (no detecten diferencias materiales ) Riesgo de Auditoría: Es el riesgo de que las conclusiones no estén correctamente soportadas (aseveraciones equívocas materiales) Página 25 de 41
En qué consiste la Auditoría sobre el Control Interno de TI? Auditoría financiera basada en riesgos: Riesgo de Auditoría Riesgo Inherente Riesgo de Control Riesgo de Detección Entender el proceso Respuesta del Auditor Pruebas de Cumplimiento Procedimientos Sustantivos : Pruebas analíticas / Pruebas de Detalle Riesgo de Control: El auditor debe evaluar el Sistema de Control Interno, de modo de reducir el riesgo de auditoría. Como consecuencia, se podría reducir el alcance de los procedimientos sustantivos, si el diseño y operación de los controles son efectivos. Página 26 de 41
En qué consiste la Auditoría sobre el Control Interno de TI? Ejemplo (Estándar nº5 de PCAOB): Planificación de la auditoría Dimensionar (escalar) la auditoría Considerar riesgo de fraude Considerar usar el trabajo de otros Valoración de Riesgo de Control Prueba de Controles Evaluar deficiencias identificadas Cerrar la auditoría (Wrapping-up) Página 27 de 41
En qué consiste la Auditoría sobre el Control Interno de TI? Ejemplo (Estándar nº5 de PCAOB): Valoración de Riesgo de Control: Cuentas Significativas Aseveraciones Clase significativa de transacciones WCGW: Qué puede fallar? (Riesgos) Controles transaccionales Página 28 de 41
Valoración del Riesgo de Control Tipos de Controles Manual dependiente de TI Manual Automatizado Página 29 de 41
Valoración del Riesgo de Control Controles Generales de TI Página 30 de 41
Valoración del Riesgo de Control Controles Generales de TI Prueba de Controles: 1) Identificación de controles (narrativo) Inspeccionar documentación de políticas, procedimientos de control, matrices de riesgo, etc. 2) Recorrido de controles (evaluación del diseño) 3) Prueba del control (evaluación de la operativa) Determinar la naturaleza, alcance y oportunidad Validar la completitud y exactitud de la evidencia. 4) Concluir por la efectividad individual de cada control 5) Concluir en forma agregada respecto a la efectividad de los controles en relación a los riesgos Evaluar las deficiencias identificadas Página 31 de 41
Qué debería hacer la organización? Qué debería hacer TI? Página 32 de 41
Gerencia de TI Comité de Auditoría Dirección Gobierno Corporativo Qué debería hacer la organización? TI no se puede hacer cargo de toda la organización, ni también del Control Interno. Expectativas y Necesidades de los stakeholders (interesados) Partes externas interesadas Objetivos/Metas del Negocio Objetivos/Metas del Negocio para TI Objetivos de los Procesos de TI Actividades de Control en los procesos de TI Gerencia de Procesos de Negocio (usuarios de TI) Auditoría Interna Los lineamientos de Control Interno para TI deben bajar desde la Dirección Página 33 de 41
Qué debería hacer TI? (con relación a la auditoría) Entender el alcance de la auditoría (tipo de auditoría), y sus actores principales. Acordar expectativas Fijar interlocutores, protocolos de comunicación y seguimiento de pedidos. Incluir a la Auditoría Externa en la planificación anual de actividades (insume recursos y tiempo) Comunicación fluida (relacionada al proyecto de auditoría) Responder ante los hallazgos, de modo de establecer y acordar planes de acción realistas: involucrar a todas las partes involucradas. Página 34 de 41
Qué debería hacer TI? (para demostrar Control Interno Efectivo) Ambiente de Control: cultura de control Identificar y documentar (formalizar) los procesos de TI Matriz de Riesgos / Controles / Objetivos Basarse en Marcos de Referencia, estándares, normas, buenas prácticas, etc. Tener presente que la efectividad del Sistema de Control Interno no depende sólo de TI. Dificultades: Debe vender la idea a la Dirección. Recursos y tiempo limitado Página 35 de 41
Marcos de Referencia y Estándares Página 36 de 41
Marcos de Referencia y Estándares Para el Negocio: COSO: Orientado al Control Interno Normas ISO/IEC 27001, 27002: Seguridad de la Información; 38500 (Gobierno Corporativo de TI) ITIL: Servicios de TI COBIT 5: Orientado al Gobierno Empresarial de TI, Orientado a procesos y hace referencia a los anteriores y más. Para Auditoría: Estándares del PCAOB relacionados (Auditoría Integrada) ITAF (ISACA) COBIT 5 for Assurance (Enabler) Estándares de AICPA Página 37 de 41
Resumen Página 38 de 41
Resumen Auditoría Integrada: integra auditoría financiera y operativa, y suele referirse la combinación de Auditoría Financiera y Opinión sobre la efectividad del Control Interno. Involucra a TI, dado que es quien brinda soporte a los procesos que generan información financiero-contable. Es requerida por entes reguladores nacionales e internacionales, según el tipo de industria. En Uruguay falta camino por recorrer En el proceso de auditoría basado en riesgos, se debe probar la efectividad del Control Interno, a efectos de reducir el Riesgo de Control y por ende, el Riesgo de Auditoría. Implementar y adoptar marcos de Gobierno de TI y Control Interno facilitan el logro de los objetivos de la organización. El alcance de la auditoría de TI, no es solo el departamento de TI. Requiere planificar tiempos y recursos por parte del auditado. COMUNICACIÓN entre las partes interesadas Página 39 de 41
PREGUNTAS Página 40 de 41
Muchas Gracias Ing. José Luis Mauro Vera, CISA Manager Advisory E-mail: jose-luis.vera@uy.ey.com Twitter: @jlmvera LinkedIn: joseluismaurovera