Preparándose para una

Auditoría Integrada
 Auditoría de TI dentro de una Auditoría Financiera
Externa

Ing. José Luis Mauro Vera,

Vera, CISA
Manager | Advisory
 A
CIGR S

Página 2 de 41
Expectativas de la presentación
Rol ¿Qué se pueden llevar de esta presentación?

• Conceptos de Control Interno, Auditoría y Auditoría Integrada

0% Auditoría / • Conceptos de COSO, COBIT 5.
Estudiante •  Auditoría basada
basada en Riesgos
Riesgos
• Involucramiento de especialistas de TI en Auditoría Financiera

• Conceptos de COSO 2013 y relación con COBIT 5

Auditor Interno • Objetivos de Auditoría Integrada y aplicabilidad
 / Externo • Relación con Gobierno Corporativo y potencial crecimiento
• Metodología de auditoría basada en estándares del PCAOB

• No todo es “que el sistema ande” o “cumplir

“ cumplir con los plazos”
• Hay que ver “cómo se cumplen con los plazos” o “que  TI asegure al
negocio proveer información confiable”.
100% TI
• Este tipo de auditorías revisa efectividad del Control Interno.
• Requiere planificación, coordinación y fijación de expectativas.
• No todo es “culpa de TI”
•  Aplicabilidad ¿Cómo estamos parados respecto a exigencias de
Gerencias  Auditoría Interna?
Interna?
usuarias / • ¿Qué rol juega en el Control Interno de TI? Responsabilidades
Dirección compartidas
• Marcos de Referencia y Estándares que ayudan

Página 3 de 41 Preparándose para una Auditoría Integrada

Resumen Ejecutivo

► ¿Qué es una Auditoría

Auditoría Integrada?
► ¿Qué es el Control Interno?
► ¿Qué entidades están sujetos a este tipo
de auditorías?
► ¿Por qué se involucra a TI?
► ¿En qué consiste la Auditoría sobre el
Control Interno de TI?
► ¿Qué debería hacer la organización?
¿Qué debería hacer TI?
► ¿Marcos de Referencia, Normas y
Estándares?

Página 4 de 41 Preparándose para una Auditoría Integrada

 ¿Qué es una Auditoría Integrada?

Página 5 de 41 Preparándose para una Auditoría Integrada

Auditoría Integrada

► Combina pasos de auditoría financiera y operativa.

► Clasificación de tipos de auditoría:
► Por alcance: ► Por quién la ejecuta:
► Financiera-Contable ► Interna
► Operativa ► Externa
►  Administrativa
► Especializadas

► Típicamente nos referimos a Auditorías Integradas

cuando un auditor externo opina sobre:
► Estados Financieros-Contables
► Efectividad del Sistema de Control Interno sobre los reportes
financieros

Página 6 de 41 Preparándose para una Auditoría Integrada

Entregables

►  Auditoría Financiera:
Dictamen (opinión) de Carta a la Dirección:
 Auditoría Financiera Hallazgos y
Recomendaciones de
control interno

►  Auditoría Integrada:
Dictamen (opinión) de Evaluación sobre la Carta a la Dirección:
 Auditoría Financiera efectividad del Hallazgos y
Sistema de Control Recomendaciones
Interno sobre los control interno
reportes financieros

Página 7 de 41 Preparándose para una Auditoría Integrada

¿Qué es el Control Interno?

► El Control Interno es un proceso, afectado

por la Dirección, Gerencia, y el resto del
personal, diseñado para proveer un
aseguramiento razonable de que los
objetivos de la organización se van a
cumplir.
► Tipos de objetivos:
► Operaciones (efectividad y eficiencia en el
desempeño, y protección de activos ante
posibles pérdidas)
► Reporte (confianza, oportunidad, transparencia)
► Cumplimiento (leyes y regulaciones aplicables)

Página 9 de 41 Preparándose para una Auditoría Integrada

¿Qué es COSO?

► COSO es un Framework  desarrollado por el Committee of

Sponsoring Organizations of the Treadway Commission.
► Liberado originalmente en 1992. Hay una actualización de
2013.
► Para diseñar, implementar y conducir el Control Interno
dentro de una organización
► Para evaluar la efectividad del Control Interno dentro de
una organización
► COBIT 5 hace referencia a COSO en sus distintos
componentes (ver white paper: “Relating the COSO
Internal Control Integrated Framework and COBIT”)

Página 10 de 41 Preparándose para una Auditoría Integrada

R elating the C OS O Internal C ontrol
Integ rated Framework and C OB IT 

Página 11 de 41 Preparándose para una Auditoría Integrada

COSO 2013 - Cubo

► Objetivos:
► Operaciones
► Reporte
► Cumplimiento
► Componentes:
►  Ambiente de Control
► Valoración de Riesgos
►  Actividades de Control
► Información y Comunicación
►  Actividades de Monitoreo
► Estructura de la entidad:
► Entidad
► División
► Unidad Operacional
► Función

Página 12 de 41 Preparándose para una Auditoría Integrada

COSO 2013: Componentes,
Principios y Ptos. de Foco

Componentes Principios Puntos de

del Control (17) Foco (87)
Interno (5)
►  Ambiente de Control ► 5 para Ambiente de
Control ► 87 puntos de foco
► Valoración de distribuidos entre los
Riesgos ► 4 para Valoración de 17 principios
►  Actividades de Riesgos
► Su aplicabilidad
Control ► 3 para Actividades de depende del tipo de
► Información y Control organización
Comunicación ► 3 para Información y
►  Actividades de Comunicación
Monitoreo ► 2 para Monitoreo

Página 13 de 41 Preparándose para una Auditoría Integrada

COSO 2013 - Principios
1. Demostrar compromiso con la integridad y valores éticos.
2. Independencia entre la Gerencia y el Directorio, y ejercicio de la
responsabilidad por la supervisión por parte el mismo.
1. Ambiente de 3. Establecer la estructura, autoridad y responsabilidad en el
Control cumplimiento de objetivos, por parte de la Gerencia y Directorio.
4. Atraer, desarrollar y retener individuos competentes.
5. Hacer que los individuos respondan por sus responsabilidades
6. Especificar objetivos claros, que permitan identificar los riesgos.
7. Identificar riesgos de la Entidad, y valoración de los mismos P 
r 
i  
2. Valoración de 8. Considerar el potencial de fraude en la valoración de riesgos. n
 d   c
Riesgos  e  p i  
9. Identificar y valorar cambios significativos que impacten en el Sistema r  i  
de Control Interno.  e  o
f  
 e  s
r   d 
 e
10.Seleccionar y desarrollar actividades de control. n  e
3. Actividades de  c l  
Control
11. Seleccionar y desarrollar Controles Generales sobre las TI i   m
 a  a
12.Desplegar controles a través de políticas y procedimientos. r 
 c
 o
13.Obtener o generar información Relevante que de soporte a los
controles internos.
4. Información y 14. Comunicar internamente información, objetivos y
Comunicación responsabilidades sobre el Control Interno.
15. Comunicar externamente respecto a asuntos que afectan al control
interno.
16.Seleccionar, desarrollar y llevar a cabo evaluaciones de Control
5. Monitoreo Interno.
17. Evaluar y comunicar deficiencias de Control Interno.

Página 14 de 41 Preparándose para una Auditoría Integrada

Resumen

►  Auditoría Integrada: integra auditoría financiera y operativa, y suele referirse

la combinación de Auditoría Financiera y Opinión sobre la efectividad del
Control Interno.
► Involucra a TI, dado que es quien brinda soporte a los procesos que generan
información financiero-contable.
► Es requerida por entes reguladores nacionales e internacionales, según el
tipo de industria. En Uruguay falta camino por recorrer…
► En el proceso de auditoría basado en riesgos, se debe probar la efectiv idad
del Control Interno, a efectos de reducir el Riesgo de Control y por ende, el
Riesgo de Auditoría.
► Implementar y adoptar marcos de Gobierno de TI y Control Interno facilitan el
logro de los objetivos de la organización.
► El alcance de la auditoría de TI, no es solo el departamento de TI.
► Requiere planificar tiempos y recursos por parte del auditado.
► COMUNICACIÓN entre las partes interesadas

Página 39 de 41 Preparándose para una Auditoría Integrada

 PREGUNTAS

Página 40 de 41 Preparándose para una Auditoría Integrada

Muchas Gracias
Ing. José Luis Mauro Vera, CISA
Manager | Advisory

E-mail: jose-luis.vera@uy.ey.com
Twitter: @jlmvera
LinkedIn: joseluismaurovera