Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Sox Norma

Descargar como pps, pdf o txt
Descargar como pps, pdf o txt
Está en la página 1de 64

Ley Sarbanes Oxley

Agregando Valor a travs de la Transparencia

Agenda
Viernes (7:00 PM 10:00 PM)
1.
Introduccin a Sarbanes Oxley
2.
Aspectos Generales de la Ley Sarbanes Oxley
3.
COSO Aplicado a Sarbanes Oxley
4.
Metodologa de Cumplimiento
5.
Evaluacin de Control Interno a Nivel de Entidad
Sbado (8:00 AM 10:00 AM)
6.
Aseveraciones Financieras y Controles a Nivel de Proceso, Transaccin o
Aplicacin
7.
Teora de Riesgos y Controles
8.
Principios de Recorridos & Pruebas de Cumplimiento
9.
Identificacin y Documentacin de Riesgos y Controles
Sbado (10:00 AM 12:00 AM)
10.
Taller Identificacin & Documentacin de Riesgos y Controles

Sarbanes Oxley
Introduccin

Ley Sarbanes Oxley


Porqu Sarbanes Oxley?
Enron shock!
WorldCom action!!
Reestablecer la confianza de los
Inversionistas
Aumentar la transparencia

Ley Sarbanes Oxley


Nuevas regulaciones legales / criminales relacionadas con la
conducta corporativa.
Nuevo ente de control contable en los Estados Unidos (Public
Company Accounting Oversight Board)
Reformas mandatorias relacionadas con el gobierno corporativo
Fortalece el rol e independencia de los comits de auditora
Nuevas restricciones de independencia para el auditor
Crea nuevos requerimientos de reporte financiero para los
emisores

Objetivos
Responsabilizar a la gerencia de la administacin y conducta de sus
empresas
Mejorar el gobierno corporativo
Incrementar la vigilancia y supervisin de las firmas de contabilidad y
auditora
Restaurar la confianza de los mercados de capitales

Sarbanes Oxley
Aspectos Generales

Emisores
1. Estarn sujetos a la ley.
2. Debern establecer Comits de
Auditora.
3. La Junta puede exigir
declaraciones y papeles de trabajo
de auditora relacionados con un
emisor.
4. Los emisores sern responsables
por asociarse con auditores
suspendidos o dados de baja.
5. Los emisores financiarn las
operaciones de la Junta y del
FASB.
6. El emisor no puede contratar a su
auditor para prestar nueve servicios
especficos que no son de
auditora.

7.

El comit de auditora del emisor


debe pre-aprobar todos los
servicios de auditora y otros
servicios.
8. Los emisores deben comunicar la
aprobacin de servicios que no son
de auditora.
9. Los emisores deben esperar un
ao antes de contratar a un
integrante del equipo de auditora
para que se desempee como
CEO, CFO, CAO o equivalente.
10. Los emisores deben financiar
adecuadamente a los Comits de
Auditora.

Emisores (continuacin)
11. Deben exponer las operaciones
extracontables.
12. Deben conciliar la informacin pro
forma con los PCGA y no deben
omitir informacin que haga
engaosa las exposiciones
contables.
13. No pueden otorgar prstamos a los
directores o funcionarios.
14. Deben exponer las operaciones
que involucren a la gerencia y los
principales accionistas.

15. Deben confeccionar informes


anuales de control interno.
16. Deben exponer si han adoptado
cdigos de tica para sus altos
funcionarios.
17. Deben comunicar la existencia de
un experto financiero en el Comit
de Auditora.
18. Deben publicar informacin sobre
cambios significativos en tiempo
real.
19. La ley crea nueva sanciones
penales por obstruccin de justicia
debido a la destruccin de
documentos.

Emisores (continuacin)
20. La ley modifica la ley de quiebras
en relacin con las obligaciones por
las violaciones de las leyes de
ttulos.
21. La ley extiende los plazos de
prescripcin para los casos de
defraudaciones que involucren
ttulos valores.
22. La ley crea nuevas protecciones
para empleados de las emisoras
que denuncien ilcitos.

23. La ley crea nuevas sanciones


penales por defraudar a los
accionistas de empresas que hacen
oferta pblica de sus acciones.
24. La ley incrementa las sanciones
para los delitos de guante blanco.

10

Comits de Auditora
1.
2.
3.
4.
5.

Pre-aprueba todos los servicios que


no son de auditora.
Tiene la capacidad de delegar la
facultad de pre-aprobacin.
Recibe informes peridicos del
auditor sobre los tratamientos
contables.
Es responsable de supervisar al
auditor.
Es independiente del emisor.

6.
7.
8.

Establece procedimientos para


quejas y denuncias.
Tiene la facultad de contratar
asesores.
Recibe informes de los abogados
de la sociedad por las violaciones
significativas a las leyes de ttulos
valores, o el incumplimiento de
deberes fiduciarios.

11

Directorios / Funcionarios
1. El Directorio debe crear un Comit de
Auditora o asumir esas
responsabilidades.
2. El CEO y el CFO deben certificar los
informes contables.
3. Los funcionarios y directores tienen
prohibido actuar engaosa y
fraudulentamente ante los auditores.
4. CEO / CFO deben devolver las
gratificaciones y ganancias si se
produce un ajuste en resultados
debido a conductas fraudulentas.
5. La SEC puede inhabilitar a
Funcionarios y Directores no
idneos.

6.

7.

8.

Los funcionarios y directores no


pueden negociar durante los
perodos de veda relacionados con
pensiones.
El CEO y Gerente de Legales
deben recibir informes de los
abogados con pruebas sobre toda
violacin significativa de las leyes
de ttulos o el incumplimiento de
deberes fiduciarios.
La ley da a la SEC capacidad para
congelar transitoriamente la
remuneracin de los Funcionarios
Societarios.

12

Firmas de contabilidad
1. Estn sujetas a la supervisin de una
nueva Junta de supervisin contable.
2. Deben inscribirse ante la Junta.
3. Deben presentar informes
regularmente.
4. Deben abonar honorarios a la Junta.
5. Deben cumplir con las normas
profesionales.
6. Deben cumplir con las normas de
control de calidad.
7. Deben someterse a inspecciones de
control de calidad.

8. Las reglamentaciones de la Junta


son aplicables a las firmas
extranjeras.
9. Obtener el consentimiento de las
firmas extranjeras ante los pedidos
de la Junta cuando una firma local
se base en la opinin de esas firmas
extranjeras.
10. Investigaciones y acciones
disciplinarias.
11. Pedidos de presentacin de
testimonios y documentos.
12. Sanciones de la Junta, incluida la
suspensin.

13

Firmas de contabilidad (continuacin)


13. Investigacin penal estadual y federal
si lo solicita la Junta.
14. Sanciones por falta de supervisin.
15. Los integrantes del equipo de auditora
deben esperar un ao antes de
aceptar empleo como CEO, CFO,
CAO o equivalente en un cliente de
auditora.
16. Sanciones penales por la destruccin
de los registros societarios de la
auditora.
17. Extensin de los plazos de
prescripcin para casos de
defraudaciones con ttulos valores.

18. Deben conservar documentos.


19. Deben someter las auditoras a la
revisin de un segundo socio.
20. Deben rotar a los socios de auditora
cada cinco aos.
21. Deben cumplir con las normas de
prueba de los controles internos
emitidas por la Junta.
22. Deben certificar las declaraciones
de la Gerencia sobre controles
internos.
23. Dejar de ofrecer servicios que no son
de auditora a los clientes de auditora
que hacen oferta pblica.

14

Firmas de contabilidad (continuacin)


24. Obtener la pre-aprobacin del Comit de Auditora por los servicios.
25. Informar regularmente a los Comits de Auditora sobre los tratamientos
contables.
26. Responden ante el Comit de Auditora, no ante la Gerencia.

15

Procedimientos de control interno para la emisin de


informacin financiera - Secciones 302 y 404
Seccin 302
Exige que el CEO y el CFO certifiquen trimestral y anualmente la efectividad de los
controles y procedimientos de exposicin, que incluyen los controles internos para
un adecuado reporte de la informacin contable
Aplicable a perodos que terminen despus del 29 de agosto de 2002
Seccin 404
Exige que la sociedad documente y evale la efectividad de los controles y
procedimientos internos para un adecuado reporte de informacin contable.
Exige que el auditor externo certifique las afirmaciones de la gerencia incluidas en
el informe.
Aplicable a cierres de ejercicios fiscales Noviembre, 2004 o Abril, 2005,
dependiendo de tipo de emisor

16

Seccin 302 Requisitos


Seccin 302 El CEO/CFO deben certificar trimestral y anualmente que:

El informe presentado a la SEC ha sido revisado.

El informe no contiene manifestaciones no veraces ni omite hechos significativos, necesarios para


que los estados contables no sean engaosos.

Los estados contables presentan razonablemente, en todos sus aspectos significativos, la situacin
patrimonial, los resultados de sus operaciones y los flujos de efectivo.

Es responsable y ha diseado, establecido, y mantenido Controles y Procedimientos de


Exposicin (C&PE), as como que ha evaluado e informado sobre la efectividad de los
controles y procedimientos, dentro de los 90 das de la fecha de presentacin del informe.

Se informaron al comit de auditora y a los auditores las deficiencias y debilidades significativas de


los controles internos, as como todo fraude (significativo o no) que involucre a alguna persona con
un rol significativo en el control interno.

Los cambios significativos en los controles internos que afecten los controles de perodos no sujetos
a la revisin han sido informados en la certificacin, incluidas las acciones correctivas con respecto
a las deficiencias y debilidades significativas
Nota: Las certificaciones individuales mencionadas y los requisitos de exposicin correspondientes
tuvieron distintas fechas de entrada en vigencia a partir del 29 de agosto de 2002.

17

Seccin 404 Requisitos de emisin de


informacin contable
Seccin 404 La gerencia debe evaluar los controles internos en
forma anual
Manifestacin sobre la responsabilidad de la gerencia de establecer y mantener una
estructura de control interno y procedimientos adecuados para la emisin de informacin
contable.
Manifestacin identificando el marco de referencia usado para evaluar la efectividad del
sistema de control interno de reporte financiero
La gerencia debe evaluar la efectividad de la estructura y procedimientos de control interno
al cierre del ejercicio ms reciente.
Manifestacin de que la Firma que ha auditado los estados financieros, ha emitido a su vez
un informe sobre la evaluacin del control interno efectuada por la Gerencia de la emisora
Opinin del auditor externo

18

Seccin 404 Requisito de auditora externa


El auditor debe realizar pruebas sobre la estructura de control
para confirmar su entendimiento de la efectividad de esa
estructura.
El objetivo de los procedimientos de certificacin de los
auditores es brindar una opinin acerca de la integridad y
exactitud de las afirmaciones de la gerencia, relacionadas con
la efectividad de la estructura y procedimientos de control
interno del emisor a cada fecha de emisin de informacin
contable.

19

Interseccin de las secciones 302 y 404


El punto en comn es obtener una conclusin sobre la efectividad de la
estructura de control interno.
La gerencia y los auditores deben acordar una definicin de efectividad
La gerencia y los auditores deben acordar una definicin de
significatividad
La gerencia y los auditores deben acordar los controles y procedimientos
clave que deben ser efectivos para cumplir los objetivos de emisin de
informacin contable.
Los procedimientos clave de control interno evaluados por los auditores
en virtud de la seccin 404 deben ser los mismos procedimientos
revisados por el CEO/CFO en virtud de la seccin 302.

20

Cmo se relacionan las secciones 302 y 404 con el


marco general de riesgo?
Seccin 302:
Certificacin
Trimestral de la
Gerencia

Marco general de riesgo


Controles y
Procedimientos
Controles
internos sobre
la emisin de
informacin
contable
de Exposicin

Seccin 404:
Evaluacin Anual
de la Gerencia y
Certificacin del
Auditor
21

Sarbanes Oxley
Aplicacin de COSO & COBIT

Control Interno
Se define como el proceso efectuado por la Alta
Administracin y el resto de una entidad, diseado
con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecucin de objetivos
dentro de las siguientes categoras:

Honestidad y
responsabilidad

Eficacia y eficiencia
en las operaciones

Confiabilidad de
la informacin
financiera
Salvaguardar los
Recursos
Cumplimiento de
las leyes y normas

23

Marco de control interno


Aunque la Ley no da una definicin de control interno, la adoptada por
COSO ha sido aceptada por el gobierno de Estados Unidos y sus
dependencias, ha sido incorporada a las normas de auditora
estadounidenses (AU 319) y es un marco integrado, generalmente
aceptado, de la infraestructura de control.
Se define Control Interno como el proceso, realizado por el directorio y la
gerencia de una sociedad, diseado para dar un grado de seguridad
razonable acerca del cumplimiento de los objetivos de negocio en las
siguientes categoras:
Efectividad y eficiencia de las operaciones
Confiabilidad en la emisin de la informacin contable
Cumplimiento con las leyes, normas y regulaciones aplicables
COSO identifica cinco componentes de control que deben implementarse e
integrarse para asegurar el cumplimiento de cada uno de los objetivos.
COSO es un marco integrado para control interno que, cuando se implementa, brinda
una base para establecer una estructura de control que cumple con los requisitos de la
Seccin 302.

24

Marco de control COSO


Monitoreo

Actividades de control

Evaluacin del
funcionamiento del sistema
de control en el tiempo.

Polticas y procedimientos
que aseguran que se
cumplen las directivas de la
direccin.

Combinacin de
evaluaciones puntuales y
recurrentes.
Actividades de direccin y
supervisin.
Actividades de auditora
interna.
Informacin y comunicacin
Se identifica, captura y comunica
la informacin adecuada en forma
oportuna.
Acceso a informacin generada
interna y externamente.
Flujo de informacin que permite
acciones de control exitosas, que
van desde instrucciones
relacionadas con
responsabilidades hasta
resmenes de observaciones de
las acciones de la direccin.

Ambiente general de control


Fija las pautas de la organizacin
que ejercen influencia sobre la
conciencia de la gente.
Los factores incluyen integridad,
valores ticos, competencia,
autoridad, responsabilidad.
Base de los dems componentes
de control.

Los cinco componentes deben


implementarse para lograr un control
efectivo.

Rango de actividades que


incluyen aprobaciones,
autorizaciones,
verificaciones,
recomendaciones,
revisiones de desempeo,
salvaguarda de activos y
segregacin de funciones.
Evaluacin de riesgos
La evaluacin de riesgos es
la identificacin y anlisis de
los riesgos significativos
para lograr los objetivos del
ente y formar la base para
determinar las actividades
de control.

25

Alcance de la prctica
para las secciones 404
y 302 de la ley SO

Em
i
n
co fo isi
nt rm n
ab a d
le ci e
n

ra
O
pe

um

pl

im

ci
on
e

ie
nt

Cul es el alcance de control para las secciones 302 y


404?
F
U
N
Evaluacin de riesgos
C
I
O
Actividades de
N
control
E
Informacin y comunicaciones
S
Ambiente general de control

Monitoreo

U
N
I
D
A
D
N
E
G
O
C

Consideraciones de
control interno
cubiertas por la
Seccin 404 de la ley
Sarbanes Oxley

I Diagrama basado en las normas de auditora del


AICPA AU319,
o
Definicin de control interno (Prrafo .13)

Dato clave
Las principales empresas utilizan el requerimiento de la seccin 404 como
catalizador para revisar su modelo integral de riesgo.

26

Control Interno sobre Emisin de Informacin


Contable
La regla final de la Seccin 404 define el Control
Interno sobre Emisin de Informacin Contable como
el proceso diseado por, o bajo supervisin de, el
Ejecutivo Mximo y el Ejecutivo Financiero Principal,
efectivizado por el Directorio, la Gerencia y otro
personal, con el fin de brindar una seguridad
razonable sobre la confiabilidad de la informacin
contable y financiera, incluyendo los estados
financieros preparados de acuerdo con principios de
contabilidad generalmente aceptados.

27

Control Interno sobre Emisin de Informacin


Contable Marco de Referencia
La regla final de la seccin 404 establece que la
evaluacin que hace la Gerencia debe asentarse en
un marco de referencia apropiado y universalmente
reconocido
La SEC reconoce que COSO cumple con los
requerimientos de la regla final (en US sera el nico)
pero no es obligatorio
El reporte COCO (Canad) y el reporte Turnbull (UK)
son tambin marcos de referencia que cubren los
requerimientos de la norma
28

Sarbanes Oxley
Metodologa de Cumplimiento

reas involucradas

Entity Level Assessment

Business Processes

ITGC

30

Metodologa de Cumplimiento
Enfoque:
Alcance
del Proyecto

Preparar Documentacin
y Evaluar Controles

Probar y Monitorear
Controles

Informe

Fases de Evaluacin:
Comprender la
Definicin de
Control
Interno

Organizar un
Equipo de
Proyecto para
Conducir la
Evaluacin

Evaluar el
Control
Interno a
Nivel de
Empresa

Seleccionar un equipo Comenzar la


La definicin en el
Informe de COSO es apropiado y establecer evaluacin
reglas de
el mejor punto de
considerando el
partida para la
procedimiento.
control interno a nivel
evaluacin.
de empresa.

Oportunidad:

Organizar proceso, equipo,


oportunidad del proyecto

Comprender y Evaluar
el Control Interno a
Niveles de Proceso,
Transaccin o
Aplicacin

Evaluar la Eficacia
General, Identificar
Asuntos que Necesiten
Mejora, y
Establecer Sistemas de
Monitoreo

Informe de la
Gerencia
sobre
Control
Interno

Este es un proceso de documentacin El paso final es hacer una


integral y comprensin de los flujos de evaluacin general basada en
transacciones y controles
los resultados.
relacionados que demanda mucho

Desarrollar un proceso de
tiempo.
monitoreo.

Preparar documentacin,
conducir pruebas detalladas y
corregir deficiencias de control

Examen por el Auditor de


las Aseveraciones de la
Gerencia

31

Metodologa de Cumplimiento
Documentacin

Evaluacin del Diseo de los Controles:


Se han identificado todos los riesgos relevantes?

Flujograma

Se han identificado todos los controles relevantes?


Los controles identificados cubren los riesgos?

Narrativa
Matriz de Riesgos y
Controles

Hay alguna deficiencia en los controles?


Cules de los controles son clave?
Estn diseados efectivamente los controles? Los controles establecidos son efectivos para
mitigar los riesgos?
Contamos con controles robustos?Podemos confiar en ellos?.
La documentacin describe con precisin los procesos, los riesgos y los controles asociados?.

Segregacin de Funciones
Resultados Clave

Recorridos

Identificacin y
Evaluacin de
Deficiencias para
Remediacin

Resumen de
Controles Clave
para Pruebas
(Testing)

Documentacin
Disponible para
Revisin y
Aseguramiento de
Calidad

32

Controles a Nivel de Proceso, Transaccin o Aplicacin


Documentacin bajo la Sarbanes-Oxley Act Section 404
Cuentas Seleccionadas se Basan en:
Errores de importancia*
Tamao y composicin
Susceptibilidad a manipulacin o prdida
Alto volumen de transacciones
Complejidad de transacciones
Implicaciones Subjetividad para determinar saldo de cuentas
Financieras Naturaleza de la cuenta
2003
Financial
Statements

Estados
Financieros

Cuentas
Significativas

?
Procesos
Significativos
Tipos:

Implicaciones
en Procesos

Riesgos Inherente Aseveraciones


y de Negocios de Estados
Financieros
Clave
de la Gerencia
Existencia (B/S) u
Ocurrencia (I/S)
Integridad
Valuacin (B/S) o
Medicin (I/S)
Derechos y
Obligaciones (B/S)

Management
Report on
Internal
Control

Flujos de transacciones
Rutinarias
No-rutinarias
Estimacin
Procesos de IT
Procesos de Negocios
Proceso de Cierre de
Estados Financieros
(Aseveracin de
Presentacin y
Revelacin)

Riesgos
Para Cada Aseveracin
Pregunte:
Dnde estn los puntos en el flujo
de transacciones donde pueden
ocurrir errores?
Ejemplo:
Cuentas:
Efectivo o Ctas por
Pagar
Proceso:
Desembolsos
Aseveracin: Valuacin
Cules son los procedimientos
manuales y programados que aseguran
que el monto de un cheque o una
transferencia concuerda con el monto
aprobado para pago?

Controles
Deteccin: Monitorea en
busca de errores
Prevencin: Previene un
error
Quin Ejecuta?
Control Programado?
Identificar el sistema
procesador

Evaluar/
Monitorear
Factores en Evaluacin:

Informe

Competencia, integridad del


personal que ejecuta el
control; grado de supervisin;
alcance de rotacin de
empleados
Potencial de abuso (override)
de la gerencia
Falta de segregacin de
funciones, incluso dentro de
las aplicaciones del
computador
Efecto de cambios en
controles
Otros riesgos especficos

33

Sarbanes Oxley
Evaluacin de Control Interno a
Nivel de Entidad

Evaluacin de Control Interno a Nivel de Entidad


Area

Puntos a Considerar

Ambiente de Control

Integridad, valores ticos y comportamiento de los ejecutivos clave


Conciencia de control de la gerencia y estilo operativo
Compromiso de la gerencia a ser competente
Participacin de la junta directiva y/o comit de auditoria en el gobierno
Estructura organizacional, autoridad y responsabilidad
Polticas y prcticas de Recursos Humanos

Evaluacin de Riesgos

Informacin y
Comunicacin

Actividades de Control

Monitoreo

Proceso de Evaluacin de Riesgo


Mecanismos para anticipar, identificar y reaccionar ante hechos
significativos
Polticas y Procedimientos para identificar cambios en los PCGA,
prcticas de negocio y control interno
Reportes de desempeo adecuados
Conectados con la estrategia de negocio
Compromiso de la organizacin para desarrollar, probar y supervisar la
operacin de los sistemas de IT y de sus controles relacionados.
Planes de continuidad de negocio / prevencin de desastres para IT
Existencia de polticas y procedimientos
Objetivos financieros claros con las respectivas actividades de supervisin
Segregacin de funciones
Comparaciones peridicas de libros versus real
Adecuada salvaguarda de documentos, registros y activos
Controles de Acceso

Evaluaciones peridicas de control interno


Implementacin de recomendaciones de mejoramiento
Funciones de auditora interna efectivas para supervisin

35

Entorno de Control
El entorno de control refleja la pauta fijada por la alta gerencia y la actitud general, la conciencia y las acciones de la
junta directiva, la gerencia, los dueos y otros, con respecto a la importancia del control interno y el nfasis puesto
sobre el control en las polticas, procedimientos, mtodos y estructura organizacional de la compaa. Esto es el
fundamento para todos los otros componentes del control interno, que proveen disciplina y estructura
Integridad, valores ticos y comportamiento de los ejecutivos clave
Conciencia de control de la gerencia y estilo operativo
Compromiso de la gerencia a ser competente
Participacin de la junta directiva y/o comit de auditoria en el gobierno (governance) y la vigilancia
Estructura organizacin y asignacin de autoridad y responsabilidades
Polticas y prcticas de recursos humanos

36

Evaluacin de Riesgos
La evaluacin de riesgos es la identificacin y anlisis de riesgos relevantes (tanto internos como externos) al logro
de los objetivos, formando una base para determinar como los riesgos deben ser administrados
Se han establecido y comunicado objetivos a nivel de empresa, incluyendo como estn apoyados por planes
estratgicos y complementados a nivel de proceso / aplicacin. Se ha establecido un proceso de evaluacin
de riesgo, incluyendo la estimacin de la importancia de los riesgos, la evaluacin de la probabilidad de su
ocurrencia, y la determinacin de las acciones necesarias a seguir.
Existen mecanismos para anticipar, identificar y reaccionar a los cambios que pudieran tener un efecto
dramtico y dominante de la empresa (Ej: el comit de administracin de activos/pasivos en una institucin
financiera, el grupo de administracin de riesgos de comercializacin de commodities en una empresa
manufacturera) o que pudiera afectar el logro de los objetivos de la empresa o de niveles de
procesos/aplicaciones.
El departamento de contabilidad tiene procesos establecidos para:
1. Identificar cambios en los principios de contabilidad generalmente aceptados (PCGA) promulgados por los organismos con autoridad
relevantes.
2. Notificar al departamento de contabilidad de cambios en las prcticas de negocio de la compaa que puedan afectar el mtodo los
procesos de registrar transacciones.
3. Identificar cambios significativos en el control interno o el entorno operativo, incluyendo cambios que resulten en nuevas regulaciones o
cambios en estas

37

Informacin y Comunicacin
Los sistemas de informacin y comunicacin apoyan la identificacin, captura e intercambio de informacin en una
forma y oportunidad que permiten a la gerencia y a otro personal apropiado a cumplir con sus responsabilidades.
Informacin
Los sistemas de informacin proveen a la gerencia los reportes necesarios para el desempeo de la empresa
en relacin a los objetivos establecidos, incluyendo informacin interna y externa relevante y proporcionan la
informacin a la gente apropiada con el detalle necesario y a tiempo, para permitirles cumplir con sus
responsabilidades eficaz y eficientemente.
Los sistemas de informacin son desarrollados o revisados en base al plan estratgico que est
interrelacionado con los sistemas de informacin generales de la empresa y responden al logro de los
objetivos a nivel de empresa y a nivel de proceso/aplicaciones.
La gerencia destina los recursos humanos y financieros apropiados para desarrollar los sistemas de
informacin necesarios y asegura y supervisa a los usuarios que participan en el desarrollo (incluyendo
revisiones) y prueba de los programas.
La gerencia a establecido un plan de continuidad del negocio / recuperacin de desastres para todos los
centros primarios de informacin

38

Informacin y Comunicacin (continuacin)


Los sistemas de informacin y comunicacin apoyan la identificacin, captura e intercambio de informacin en una
forma y oportunidad que permiten a la gerencia y a otro personal apropiado a cumplir con sus responsabilidades.
Comunicacin
La gerencia comunica los deberes y responsabilidades de control de los empleados de una manera eficaz y
ha establecido canales de comunicacin para que la gente reporte situaciones que se sospeche son
impropias.
Existe una adecuada comunicacin a travs de la organizacin que permite a la gente cumplir con su
responsabilidad eficazmente y la gerencia toma acciones de seguimiento oportuna y apropiadamente sobre
las comunicaciones recibidas de clientes, proveedores, reguladores u otras partes externas.

39

Actividades de Control
Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las directrices de la gerencia
sean cumplidas
Existen polticas y procedimientos necesarios con respecto a que cada una de las actividades de la empresa
y los controles sealados por la poltica estn siendo aplicados.
La gerencia tiene objetivos claros en trminos de presupuesto, utilidades y otras metas financieras y de
operacin y estos objetivos estn claramente escritos, y son comunicados a toda la empresa y activamente
monitoreados. Han sido implementados sistemas de planificacin y de reporte para identificar variaciones
en el rendimiento planificado y comunicar estas variaciones al nivel apropiado de la gerencia. El nivel de la
gerencia apropiado investiga las variaciones y toma acciones correctivas apropiadas y oportunas.
Los deberes son lgicamente divididos o segregados (manualmente o a travs de la implementacin de
aplicaciones de tecnologa de informacin (IT) apropiadas) entre diferentes personas para reducir el riesgo
de fraude o de acciones impropias.

40

Actividades de Control (continuacin)


Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las directrices de la gerencia
sean cumplidas
Se realizan comparaciones peridicas de montos registrados en el sistema de contabilidad con activos
fsicos. Existen adecuados resguardos para prevenir acceso no autorizado o la destruccin de documentos,
registros y activos.
Se han establecido polticas para controlar el acceso a programas y archivos de datos. Se usa software de
seguridad de acceso, software de sistema operativo y/o software de aplicaciones para controlar el acceso a
programas de datos. Existe una funcin de seguridad de informacin y es responsable de monitorear el
cumplimiento de las polticas y procedimientos de seguridad de informacin

41

Sarbanes Oxley
Aseveraciones Financieras y
Controles a Nivel de Proceso,
Transaccin y Aplicacin

Controles a Nivel de Proceso, Transaccin o Aplicacin


Documentacin bajo la Sarbanes-Oxley Act Section 404
Cuentas Seleccionadas se Basan en:
Errores de importancia*
Tamao y composicin
Susceptibilidad a manipulacin o prdida
Alto volumen de transacciones
Complejidad de transacciones
Implicaciones Subjetividad para determinar saldo de cuentas
Financieras Naturaleza de la cuenta
2003
Financial
Statements

Estados
Financieros

Cuentas
Significativas

?
Procesos
Significativos
Tipos:

Implicaciones
en Procesos

Riesgos Inherente Aseveraciones


y de Negocios de Estados
Financieros
Clave
de la Gerencia
Existencia (B/S) u
Ocurrencia (I/S)
Integridad
Valuacin (B/S) o
Medicin (I/S)
Derechos y
Obligaciones (B/S)

Management
Report on
Internal
Control

Flujos de transacciones
Rutinarias
No-rutinarias
Estimacin
Procesos de IT
Procesos de Negocios
Proceso de Cierre de
Estados Financieros
(Aseveracin de
Presentacin y
Revelacin)

Riesgos
Para Cada Aseveracin
Pregunte:
Dnde estn los puntos en el flujo
de transacciones donde pueden
ocurrir errores?
Ejemplo:
Cuentas:
Efectivo o Ctas por
Pagar
Proceso:
Desembolsos
Aseveracin: Valuacin
Cules son los procedimientos
manuales y programados que aseguran
que el monto de un cheque o una
transferencia concuerda con el monto
aprobado para pago?

Controles
Deteccin: Monitorea en
busca de errores
Prevencin: Previene un
error
Quin Ejecuta?
Control Programado?
Identificar el sistema
procesador

Evaluar/
Monitorear
Factores en Evaluacin:

Informe

Competencia, integridad del


personal que ejecuta el
control; grado de supervisin;
alcance de rotacin de
empleados
Potencial de abuso (override)
de la gerencia
Falta de segregacin de
funciones, incluso dentro de
las aplicaciones del
computador
Efecto de cambios en
controles
Otros riesgos especficos

43

Aseveraciones financieras
8 aseveraciones de la gerencia a los estados financieros

Existencia

Balance General

Estado de Resultados

Balance General

Estado de Resultados

Existe un activo o un pasivo en una fecha determinada.

Ocurrencia

Una transaccin o evento realmente tuvo lugar durante el periodo.

Valuacin
Un activo o pasivo es registrado al valor apropiado en libros.

Exactitud

Balance General

Estado de Resultados

Balance General

Estado de Resultados

Una transaccin o un evento est registrado en un importe apropiado y el ingreso o gasto est atribuido en el perodo apropiado.

Integridad

Balance General

Estado de Resultados

No hay activos, pasivos, transacciones o eventos no registrados, ni partidas no reveladas.

Derechos y Obligaciones

Estado de Resultados

Estado de Resultados

Balance General

Un activo o un pasivo pertenece a la compaa en una fecha determinada.

Presentacin y Revelacin

Balance General

Una partida est clasificada, descrita y revelada de conformidad con la estructura de informacin financiera que le es aplicable.

Salvaguardia de Activos

Balance General

Estado de Resultados

La compaa tiene procesos y controles para razonablemente prevenir y detectar fraudes.

44

Cuentas Significativas
El punto de partida para el proceso de identificacin de los
procesos significativos sobre los cuales se aplican los
controles internos es identificar las cuentas significativas a
nivel de revelacin en los rubros o las notas de los estados
financieros consolidados

Cuentas
Significativas

Cuentas Seleccionadas se Basan en:


Errores de importancia*
Tamao y composicin
Susceptibilidad a manipulacin o prdida
Alto volumen de transacciones
Complejidad de transacciones
Subjetividad para determinar saldo de cuentas
Naturaleza de la cuenta
45

Cuentas Significativas (continuacin)

46

Clases Mayores de Transacciones y Procesos Relacionados


Despus de identificar las cuentas significativas, se deber identificar las clases mayores de
transacciones, los procesos significativos y las actividades contables y controles relacionados
que afectan esas cuentas. Los procesos significativos y las actividades contables relacionadas
son aquellos que estn involucrados en el procesos de las clases mayores de transacciones (Ej.:
Ventas, Compras) que afectan cuentas o grupos de cuentas significativas. Las actividades
contables tambin incluyen actividades para desarrollar y registrar estimaciones contables clave
o para completar el proceso de cierre de estados financieros al fin de cada perodo contable

Procesos
Significativos

Tipos:
Flujos de transacciones
Rutinarias
No-rutinarias
Estimacin
Procesos de IT
Procesos de Negocios
Proceso de Cierre de Estados
Financieros (Aseveracin de
Presentacin y Revelacin)
47

Clases Mayores de Transacciones y Procesos Relacionados

48

Riesgos Que puede fallar


Considerar los tipos de errores que puedan ocurrir a nivel de procesos, transaccin o aplicacin
es un paso clave para asegurar que se enfoca apropiadamente aquellos controles relevantes
que estn diseados eficazmente para prevenir y detectar errores de importancia o fraude. Se
necesita determinar el nivel de detalle adecuado con base en los riesgos de informacin
financiera relacionados con cada procesos significativo que est siendo evaluado, y su relativa
importancia para los estados financieros en general (errores relativamente pequeos en
procesos globales de la empresa podran tener efectos potenciales graves, mientras errores
potenciales mayores en procesos aislados o menos significativos pueden o no tener los mismos
efectos).

?
Riesgos

Para Cada Aseveracin Pregunte:


Dnde estn los puntos en el flujo de transacciones donde pueden ocurrir
errores?
Ejemplo:
Cuentas: Efectivo o Cuentas por Pagar
Proceso: Desembolsos
Aseveracin: Valuacin
Cules son los procedimientos manuales y programados que aseguran
que el monto de un cheque o una transferencia concuerda con el monto
aprobado para pago?
49

Riesgos en Aseveraciones financieras


8 aseveraciones de la gerencia a los estados financieros

Existencia

Balance General

Estado de Resultados

Balance General

Estado de Resultados

Existe un activo o un pasivo en una fecha determinada.

Ocurrencia

Una transaccin o evento realmente tuvo lugar durante el periodo.

Valuacin
Un activo o pasivo es registrado al valor apropiado en libros.

Exactitud

Balance General

Estado de Resultados

Balance General

Estado de Resultados

Una transaccin o un evento est registrado en un importe apropiado y el ingreso o gasto est atribuido en el perodo apropiado.

Integridad

Balance General

Estado de Resultados

No hay activos, pasivos, transacciones o eventos no registrados, ni partidas no reveladas.

Derechos y Obligaciones

Estado de Resultados

Estado de Resultados

Balance General

Un activo o un pasivo pertenece a la compaa en una fecha determinada.

Presentacin y Revelacin

Balance General

Una partida est clasificada, descrita y revelada de conformidad con la estructura de informacin financiera que le es aplicable.

Salvaguardia de Activos

Balance General

Estado de Resultados

La compaa tiene procesos y controles para razonablemente prevenir y detectar fraudes.

50

Riesgos

51

Controles
En este punto, se debe considerar los controles sobre cada proceso
significativo que contemplan los riesgos para las aseveraciones
relevantes. El objetivo es identificar los controles que proporcionan
seguridad razonable de que los errores relativos a cada una de las
aseveraciones relevantes de los estados financieros son prevenidos, o
que cualquier error que ocurra durante el procesamiento son detectados
y corregidos

Controles

Deteccin: Monitorea en busca de errores


Prevencin: Previene un error
Quin Ejecuta?
Control Programado?
Identificar el sistema procesador

52

Controles

53

Pasos Siguientes
La finalizacin de la documentacin del control interno a nivel
de empresa y los controles internos a nivel de proceso,
transaccin o aplicacin proporcionar al equipo a cargo del
proyecto la informacin necesaria para evaluar la eficacia
integral de los controles en la fase final de la metodologa
Management
Report on
Internal
Control

Evaluar/
Monitorear

Informe

Factores en Evaluacin:
Competencia, integridad del personal que
ejecuta el control; grado de supervisin;
alcance de rotacin de empleados
Potencial de abuso (override) de la gerencia
Falta de segregacin de funciones, incluso
dentro de las aplicaciones del computador
Efecto de cambios en controles
Otros riesgos especficos
54

Sarbanes Oxley
Teora de Riesgos y Controles

Tipos de controles
Preventivos
Procedimientos relacionados para prevenir un error o fraude
Aplicados a nivel de transaccin sencilla

Detectivos
Polticas y procedimientos diseados para monitorear el logro de los objetivos
relevantes del proceso, incluyendo la identificacin de errores o fraude.
Aplicados a grupos de transacciones

56

Terminologa de Control
Manual Preventivo
Manual Detectivo
IT Manual Dependiente
Automtico

57

Puntos de Control
Iniciacin
Autorizacin
Registro
Procesos
Reporte

58

Controles Generales de IT
Cambios a Programa Los controles de aplicacin han
operado efectivamente a travs del periodo
Seguridades de Acceso La informacin generada por las
aplicaciones es confiable
Seguridad de Aplicacin
Restriccin a transacciones individuales, parametrizacin, niveles de autorizacin o
acceso a informacin especfica
Unicamente personas y aplicaciones autorizadas tienen acceso a datos y
solamente para ejecutar funciones definidas especficamente

59

Otros conceptos de Control


Segregacin de funciones y fraude
Polticas y procedimientos relacionados con::
Niveles de autorizacin
Salvaguarda de activos
Responsabilidad sobre activos (accountability)

60

Tipos de Control
Autorizacin
Configuracin / Control de Mapeo de Cuentas
Reportes de Excepcin
Controles de Interfases
Indicadores de Desempeo
Revisiones Gerenciales
Conciliaciones
Accesos a Sistema

61

Sarbanes Oxley
Principios de Recorridos &
Pruebas de Cumplimiento

Pruebas de Cumplimiento
Naturaleza del Control y Frecuencia de
las Pruebas

Nmero Mnimo de tems a Revisar

Control Manual, Mltiples Veces al Da

Al menos 25

Control Manual, Diario

Al menos 25

Control Manual, Frecuentemente pero menor a diario

25% de las ocurrencias al menos 25

Control Manual, Semanalmente

Al menos 10

Control Manual, Mensualmente

A, menos 3

Control Manual, Trimestral

Al menos 2

Control Manual, Anual

Probar anualmente

Controles Automticos

Probar una vez cada control automtico por cada tipo de


transaccin si est soportada por controles generales
efectivos de IT (Previamente Probados), De otro manera
probar al menos 25

63

Sarbanes Oxley
Taller: Identificacin de Riesgos y
Controles

También podría gustarte