Preparándose para una

Auditoría Integrada
Auditoría de TI dentro de una Auditoría Financiera
Externa

Ing. José Luis Mauro Vera, CISA

Manager | Advisory
 A
CIGR S

Página 2 de 41
Expectativas de la presentación
Rol ¿Qué se pueden llevar de esta presentación?

• Conceptos de Control Interno, Auditoría y Auditoría Integrada

0% Auditoría / • Conceptos de COSO, COBIT 5.
Estudiante • Auditoría basada en Riesgos
• Involucramiento de especialistas de TI en Auditoría Financiera

• Conceptos de COSO 2013 y relación con COBIT 5

Auditor Interno • Objetivos de Auditoría Integrada y aplicabilidad
/ Externo • Relación con Gobierno Corporativo y potencial crecimiento
• Metodología de auditoría basada en estándares del PCAOB

• No todo es “que el sistema ande” o “cumplir con los plazos”

• Hay que ver “cómo se cumplen con los plazos” o “que TI asegure al
negocio proveer información confiable”.
100% TI
• Este tipo de auditorías revisa efectividad del Control Interno.
• Requiere planificación, coordinación y fijación de expectativas.
• No todo es “culpa de TI”
• Aplicabilidad ¿Cómo estamos parados respecto a exigencias de
Gerencias Auditoría Interna?
usuarias / • ¿Qué rol juega en el Control Interno de TI? Responsabilidades
Dirección compartidas
• Marcos de Referencia y Estándares que ayudan

Página 3 de 41 Preparándose para una Auditoría Integrada

Resumen Ejecutivo

► ¿Qué es una Auditoría Integrada?

► ¿Qué es el Control Interno?
► ¿Qué entidades están sujetos a este tipo
de auditorías?
► ¿Por qué se involucra a TI?
► ¿En qué consiste la Auditoría sobre el
Control Interno de TI?
► ¿Qué debería hacer la organización?
¿Qué debería hacer TI?
► ¿Marcos de Referencia, Normas y
Estándares?

Página 4 de 41 Preparándose para una Auditoría Integrada

 ¿Qué es una Auditoría Integrada?

Página 5 de 41 Preparándose para una Auditoría Integrada

Auditoría Integrada

► Combina pasos de auditoría financiera y operativa.

► Clasificación de tipos de auditoría:
► Por alcance: ► Por quién la ejecuta:
► Financiera-Contable ► Interna
► Operativa ► Externa
► Administrativa
► Especializadas

► Típicamente nos referimos a Auditorías Integradas

cuando un auditor externo opina sobre:
► Estados Financieros-Contables
► Efectividad del Sistema de Control Interno sobre los reportes
financieros

Página 6 de 41 Preparándose para una Auditoría Integrada

Entregables

► Auditoría Financiera:
Dictamen (opinión) de Carta a la Dirección:
Auditoría Financiera Hallazgos y
Recomendaciones de
control interno

► Auditoría Integrada:
Dictamen (opinión) de Evaluación sobre la Carta a la Dirección:
Auditoría Financiera efectividad del Hallazgos y
Sistema de Control Recomendaciones
Interno sobre los control interno
reportes financieros

Página 7 de 41 Preparándose para una Auditoría Integrada

 ¿Qué es el Control Interno?

Página 8 de 41 Preparándose para una Auditoría Integrada

¿Qué es el Control Interno?

► El Control Interno es un proceso, afectado

por la Dirección, Gerencia, y el resto del
personal, diseñado para proveer un
aseguramiento razonable de que los
objetivos de la organización se van a
cumplir.
► Tipos de objetivos:
► Operaciones (efectividad y eficiencia en el
desempeño, y protección de activos ante
posibles pérdidas)
► Reporte (confianza, oportunidad, transparencia)
► Cumplimiento (leyes y regulaciones aplicables)

Página 9 de 41 Preparándose para una Auditoría Integrada

¿Qué es COSO?

► COSO es un Framework desarrollado por el Committee of

Sponsoring Organizations of the Treadway Commission.
► Liberado originalmente en 1992. Hay una actualización de
2013.
► Para diseñar, implementar y conducir el Control Interno
dentro de una organización
► Para evaluar la efectividad del Control Interno dentro de
una organización
► COBIT 5 hace referencia a COSO en sus distintos
componentes (ver white paper: “Relating the COSO
Internal Control Integrated Framework and COBIT”)
Página 10 de 41 Preparándose para una Auditoría Integrada
Relating the COSO Internal Control
Integrated Framework and COBIT

Página 11 de 41 Preparándose para una Auditoría Integrada

COSO 2013 - Cubo

► Objetivos:
► Operaciones
► Reporte
► Cumplimiento
► Componentes:
► Ambiente de Control
► Valoración de Riesgos
► Actividades de Control
► Información y Comunicación
► Actividades de Monitoreo
► Estructura de la entidad:
► Entidad
► División
► Unidad Operacional
► Función

Página 12 de 41 Preparándose para una Auditoría Integrada

COSO 2013: Componentes,
Principios y Ptos. de Foco

Componentes
Principios Puntos de
del Control
(17) Foco (87)
Interno (5)
► Ambiente de Control ► 5 para Ambiente de
► 87 puntos de foco
► Valoración de Control
distribuidos entre los
Riesgos ► 4 para Valoración de 17 principios
► Actividades de Riesgos
► Su aplicabilidad
Control ► 3 para Actividades de depende del tipo de
► Información y Control organización
Comunicación ► 3 para Información y
► Actividades de Comunicación
Monitoreo ► 2 para Monitoreo

Página 13 de 41 Preparándose para una Auditoría Integrada

COSO 2013 - Principios
1. Demostrar compromiso con la integridad y valores éticos.
2. Independencia entre la Gerencia y el Directorio, y ejercicio de la
responsabilidad por la supervisión por parte el mismo.
1. Ambiente de 3. Establecer la estructura, autoridad y responsabilidad en el
Control cumplimiento de objetivos, por parte de la Gerencia y Directorio.
4. Atraer, desarrollar y retener individuos competentes.
5. Hacer que los individuos respondan por sus responsabilidades
6. Especificar objetivos claros, que permitan identificar los riesgos.
7. Identificar riesgos de la Entidad, y valoración de los mismos

Principios del marco

2. Valoración de 8. Considerar el potencial de fraude en la valoración de riesgos.
Riesgos

de referencia
9. Identificar y valorar cambios significativos que impacten en el Sistema
de Control Interno.
10. Seleccionar y desarrollar actividades de control.
3. Actividades de
11. Seleccionar y desarrollar Controles Generales sobre las TI
Control
12. Desplegar controles a través de políticas y procedimientos.
13. Obtener o generar información Relevante que de soporte a los
controles internos.
4. Información y 14. Comunicar internamente información, objetivos y
Comunicación responsabilidades sobre el Control Interno.
15. Comunicar externamente respecto a asuntos que afectan al control
interno.
16. Seleccionar, desarrollar y llevar a cabo evaluaciones de Control
5. Monitoreo Interno.
17. Evaluar y comunicar deficiencias de Control Interno.

Página 14 de 41 Preparándose para una Auditoría Integrada

COSO 2013 – Ejemplo de
Puntos de Foco
Principio 11:
Componente 3:
La organización selecciona y desarrolla actividades
Actividades de
de controles generales sobre la tecnología para
Control
soportar el logro de los objetivos.

Puntos de Foco
► Determinar dependencia entre el uso de Tecnología en los procesos
de negocio y los Controles Generales de TI:
► Establecer actividades de control relevantes sobre la infraestructura
de Tecnología
► Establecer actividades de control relevantes sobre el proceso de
Gestión de Seguridad
► Establecer actividades de control relevantes sobre los procesos de
Adquisición, Desarrollo y Mantenimiento de Tecnología

Página 15 de 41 Preparándose para una Auditoría Integrada

COSO - ¿Cuándo el Sistema de
Control Interno es Efectivo?
► Un Sistema de Control Interno Efectivo
reduce a un nivel aceptable el riesgo de no
cumplir con los objetivos de la organización

► Requiere que:
► Cada uno de los 5 componentes y 17 principios
relevantes estén presentes y funcionando
► Los 5 componentes estén operando en conjunto
y de manera integrada.

Página 16 de 41 Preparándose para una Auditoría Integrada

¿Qué entidades están sujetas a
este tipo de auditorías?

Página 17 de 41 Preparándose para una Auditoría Integrada

Empresas que requieren evaluación
del Control Interno
► Empresas multinacionales:
► Empresas listadas en la NYSE (US SEC)
► Empresas listadas en Bolsas de Valores, donde se
requiere este tipo de auditorías.
► Filial que es “material” para la casa matriz, siendo ésta
SEC.
► Empresas cuyo país de origen requiera efectuar este
tipo de informes.
► Los mercados de valores requieren de mayores
garantías respecto a la información que reportan las
empresas que cotizan valores (ej: Ley Sarbanes-
Oxley que creo la PCAOB “Public Company
Accounting Oversight Board”)
► El Auditing Standard Nº5 de PCAOB establece cómo
hacer una auditoría sobre el Control Interno en marco
de una Auditoría Integrada.

Página 18 de 41 Preparándose para una Auditoría Integrada

Página 19 de 41 Preparándose para una Auditoría Integrada
Empresas que requieren evaluación
del Control Interno (cont.)
► Empresas uruguayas (reguladas por BCU):
► Bancos* (BCU, RNRCSF, Art 521,ap. B)
► Bancos de Inversión* (BCU, RNRCSF, Art 521, ap. B)
► Casas Financieras* (BCU, RNRCSF, Art 521, ap. B)
► Instituciones Financieras Externas* (BCU, RNRCSF, Art 522)
► Cooperativas de Intermediación Financiera* (BCU, RNRCSF,
Art 521, ap. B)

► Administradoras de Grupos de Ahorro Previo (BCU,

RNRCSF, Art 523, ap. B)

► Aseguradoras y Reaseguradoras (BCU, RNSR, Art 138, ap. B)

► AFAPs (BCU, RNCFP, Art. 148, ap. C)

► Bolsas de Valores (BCU, RNMV, Art. 276)
► ¿Y las Emisoras de valores?

* Se requiere de un informe trienal del Sistema de Gestión Integral de Riesgos

Página 20 de 41 Preparándose para una Auditoría Integrada

 ¿Por qué se involucra a TI?

Página 21 de 41 Preparándose para una Auditoría Integrada

¿Por qué se involucra a TI?
► La información financiera se produce, obtiene,
procesa, almacena, transfiere y protege utilizando
una combinación de TI y de procedimientos
manuales.
► La confiabilidad de la información financiera está
dada por aspectos:
► Controles automatizados (técnicos)
► Controles manuales (personal)
► Controles manuales dependientes de TI (personal y
técnico)
► La efectividad de los controles automatizados y
manuales dependientes de TI se basa en la
efectividad de los Controles Generales de TI.

Página 22 de 41 Preparándose para una Auditoría Integrada

¿Por qué se involucra a TI?

► Opinar sobre el Control Interno incluye a

los procesos de TI relacionados con el
objetivo “información financiera contable”
► Foco en los “Controles Generales de TI”
► Estándares, Normas y Políticas relacionadas con
salvaguardar la información financiera
► Categorías de Controles Generales de TI:
► Administración de Cambios
► Acceso Lógico y Físico
► Otros Controles:
► Respaldos y Recuperación
► Gestión de Problemas e Incidentes
► Gestión de Tareas Programadas (Schedule)

Página 23 de 41 Preparándose para una Auditoría Integrada

 ¿En qué consiste la Auditoría sobre el
Control Interno de TI?

Página 24 de 41 Preparándose para una Auditoría Integrada

¿En qué consiste la Auditoría sobre
el Control Interno de TI?
► Auditoría financiera basada en riesgos:

Riesgo de Riesgo Riesgo de Riesgo de

Auditoría Inherente Control Detección

► Riesgo Inherente: riesgo de un proceso, sin considerar controles

qué este tenga.
► Riesgo de Control: riesgo de que los controles no operen
efectivamente
► Riesgo de Detección: riesgo que los procedimientos de auditoría
sean insuficientes (no detecten diferencias “materiales”)

► Riesgo de Auditoría: Es el riesgo de que las conclusiones no estén

correctamente soportadas (aseveraciones equívocas materiales)

Página 25 de 41 Preparándose para una Auditoría Integrada

¿En qué consiste la Auditoría sobre
el Control Interno de TI?
► Auditoría financiera basada en riesgos:

Riesgo de Riesgo Riesgo de Riesgo de

Auditoría Inherente Control Detección

Entender el proceso

Respuesta Pruebas de
del Auditor Cumplimiento

Procedimientos Sustantivos : Pruebas

analíticas / Pruebas de Detalle

► Riesgo de Control: El auditor debe evaluar el Sistema de

Control Interno, de modo de reducir el riesgo de auditoría.
► Como consecuencia, se podría reducir el alcance de los
procedimientos sustantivos, si el diseño y operación de los
controles son efectivos.
Página 26 de 41 Preparándose para una Auditoría Integrada
¿En qué consiste la Auditoría sobre
el Control Interno de TI?

► Ejemplo (Estándar nº5 de PCAOB):

► Planificación de la auditoría
► Dimensionar (escalar) la auditoría
► Considerar riesgo de fraude
► Considerar usar el trabajo de otros
► Valoración de Riesgo de Control
► Prueba de Controles
► Evaluar deficiencias identificadas
► Cerrar la auditoría (Wrapping-up)

Página 27 de 41 Preparándose para una Auditoría Integrada

¿En qué consiste la Auditoría sobre
el Control Interno de TI?
► Ejemplo (Estándar nº5 de PCAOB):
► Valoración de Riesgo de Control:

► Cuentas
Significativas

► Aseveraciones

► Clase significativa
de transacciones

► WCGW: Qué puede

fallar? (Riesgos)

► Controles
transaccionales

Página 28 de 41 Preparándose para una Auditoría Integrada

Valoración del Riesgo de Control
Tipos de Controles

Manual
dependiente
de TI

Manual Automatizado

Página 29 de 41 Preparándose para una Auditoría Integrada

Valoración del Riesgo de Control
Controles Generales de TI

Página 30 de 41 Preparándose para una Auditoría Integrada

Valoración del Riesgo de Control
Controles Generales de TI
► Prueba de Controles:
► 1) Identificación de controles (narrativo)
► Inspeccionar documentación de políticas, procedimientos de control,
matrices de riesgo, etc.
► 2) Recorrido de controles (evaluación del diseño)
► 3) Prueba del control (evaluación de la operativa)
► Determinar la naturaleza, alcance y oportunidad
► Validar la completitud y exactitud de la evidencia.
► 4) Concluir por la efectividad individual de cada control
► 5) Concluir en forma agregada respecto a la efectividad de los
controles en relación a los riesgos
► Evaluar las deficiencias identificadas

Página 31 de 41 Preparándose para una Auditoría Integrada

 ¿Qué debería hacer la organización?
¿Qué debería hacer TI?

Página 32 de 41 Preparándose para una Auditoría Integrada

¿Qué debería hacer la
organización?
► TI no se puede hacer cargo de toda la organización, ni también del Control
Interno.
Expectativas y Necesidades de Partes externas
los stakeholders (interesados) interesadas
Dirección

Objetivos/Metas del Negocio

Gobierno Corporativo
Objetivos/Metas del Negocio para
TI

Comité de Auditoría
Gerencia de

Objetivos de los Procesos de TI

TI

Actividades de Control en los

procesos de TI

Gerencia de Procesos de Negocio (usuarios de TI)

Auditoría Interna

► Los lineamientos de Control Interno para TI deben “bajar” desde la Dirección

Página 33 de 41 Preparándose para una Auditoría Integrada
¿Qué debería hacer TI?
(con relación a la auditoría)
► Entender el alcance de la auditoría (tipo de
auditoría), y sus actores principales.
► Acordar expectativas
► Fijar interlocutores, protocolos de comunicación y
seguimiento de pedidos.
► Incluir a la Auditoría Externa en la planificación
anual de actividades (insume recursos y tiempo)
► Comunicación fluida (relacionada al proyecto de
auditoría)
► Responder ante los hallazgos, de modo de
establecer y acordar planes de acción realistas:
involucrar a todas las partes involucradas.

Página 34 de 41 Preparándose para una Auditoría Integrada

¿Qué debería hacer TI? (para
demostrar Control Interno Efectivo)
► Ambiente de Control: “cultura de control”
► Identificar y documentar (formalizar) los procesos
de TI
► Matriz de Riesgos / Controles / Objetivos
► Basarse en Marcos de Referencia, estándares,
normas, buenas prácticas, etc.
► Tener presente que la efectividad del Sistema de
Control Interno no depende sólo de TI.
► Dificultades:
► Debe “vender” la idea a la Dirección.
► Recursos y tiempo limitado

Página 35 de 41 Preparándose para una Auditoría Integrada

 Marcos de Referencia y Estándares

Página 36 de 41 Preparándose para una Auditoría Integrada

Marcos de Referencia y Estándares

► Para el Negocio:
► COSO: Orientado al Control Interno
► Normas ISO/IEC 27001, 27002: Seguridad de la
Información; 38500 (Gobierno Corporativo de TI)
► ITIL: Servicios de TI
► COBIT 5: Orientado al Gobierno Empresarial de
TI, Orientado a procesos y hace referencia a los
anteriores y más.
► Para Auditoría:
► Estándares del PCAOB relacionados (Auditoría
Integrada)
► ITAF (ISACA)
► COBIT 5 for Assurance (Enabler)
► Estándares de AICPA
Página 37 de 41 Preparándose para una Auditoría Integrada
 Resumen

Página 38 de 41 Preparándose para una Auditoría Integrada

Resumen

► Auditoría Integrada: integra auditoría financiera y operativa, y suele referirse

la combinación de Auditoría Financiera y Opinión sobre la efectividad del
Control Interno.
► Involucra a TI, dado que es quien brinda soporte a los procesos que generan
información financiero-contable.
► Es requerida por entes reguladores nacionales e internacionales, según el
tipo de industria. En Uruguay falta camino por recorrer…
► En el proceso de auditoría basado en riesgos, se debe probar la efectividad
del Control Interno, a efectos de reducir el Riesgo de Control y por ende, el
Riesgo de Auditoría.
► Implementar y adoptar marcos de Gobierno de TI y Control Interno facilitan el
logro de los objetivos de la organización.
► El alcance de la auditoría de TI, no es solo el departamento de TI.
► Requiere planificar tiempos y recursos por parte del auditado.
► COMUNICACIÓN entre las partes interesadas

Página 39 de 41 Preparándose para una Auditoría Integrada

 PREGUNTAS

Página 40 de 41 Preparándose para una Auditoría Integrada

Muchas Gracias
Ing. José Luis Mauro Vera, CISA
Manager | Advisory

E-mail: jose-luis.vera@uy.ey.com
Twitter: @jlmvera
LinkedIn: joseluismaurovera