Sox Norma
Sox Norma
Sox Norma
Agenda
Viernes (7:00 PM 10:00 PM)
1.
Introduccin a Sarbanes Oxley
2.
Aspectos Generales de la Ley Sarbanes Oxley
3.
COSO Aplicado a Sarbanes Oxley
4.
Metodologa de Cumplimiento
5.
Evaluacin de Control Interno a Nivel de Entidad
Sbado (8:00 AM 10:00 AM)
6.
Aseveraciones Financieras y Controles a Nivel de Proceso, Transaccin o
Aplicacin
7.
Teora de Riesgos y Controles
8.
Principios de Recorridos & Pruebas de Cumplimiento
9.
Identificacin y Documentacin de Riesgos y Controles
Sbado (10:00 AM 12:00 AM)
10.
Taller Identificacin & Documentacin de Riesgos y Controles
Sarbanes Oxley
Introduccin
Objetivos
Responsabilizar a la gerencia de la administacin y conducta de sus
empresas
Mejorar el gobierno corporativo
Incrementar la vigilancia y supervisin de las firmas de contabilidad y
auditora
Restaurar la confianza de los mercados de capitales
Sarbanes Oxley
Aspectos Generales
Emisores
1. Estarn sujetos a la ley.
2. Debern establecer Comits de
Auditora.
3. La Junta puede exigir
declaraciones y papeles de trabajo
de auditora relacionados con un
emisor.
4. Los emisores sern responsables
por asociarse con auditores
suspendidos o dados de baja.
5. Los emisores financiarn las
operaciones de la Junta y del
FASB.
6. El emisor no puede contratar a su
auditor para prestar nueve servicios
especficos que no son de
auditora.
7.
Emisores (continuacin)
11. Deben exponer las operaciones
extracontables.
12. Deben conciliar la informacin pro
forma con los PCGA y no deben
omitir informacin que haga
engaosa las exposiciones
contables.
13. No pueden otorgar prstamos a los
directores o funcionarios.
14. Deben exponer las operaciones
que involucren a la gerencia y los
principales accionistas.
Emisores (continuacin)
20. La ley modifica la ley de quiebras
en relacin con las obligaciones por
las violaciones de las leyes de
ttulos.
21. La ley extiende los plazos de
prescripcin para los casos de
defraudaciones que involucren
ttulos valores.
22. La ley crea nuevas protecciones
para empleados de las emisoras
que denuncien ilcitos.
10
Comits de Auditora
1.
2.
3.
4.
5.
6.
7.
8.
11
Directorios / Funcionarios
1. El Directorio debe crear un Comit de
Auditora o asumir esas
responsabilidades.
2. El CEO y el CFO deben certificar los
informes contables.
3. Los funcionarios y directores tienen
prohibido actuar engaosa y
fraudulentamente ante los auditores.
4. CEO / CFO deben devolver las
gratificaciones y ganancias si se
produce un ajuste en resultados
debido a conductas fraudulentas.
5. La SEC puede inhabilitar a
Funcionarios y Directores no
idneos.
6.
7.
8.
12
Firmas de contabilidad
1. Estn sujetas a la supervisin de una
nueva Junta de supervisin contable.
2. Deben inscribirse ante la Junta.
3. Deben presentar informes
regularmente.
4. Deben abonar honorarios a la Junta.
5. Deben cumplir con las normas
profesionales.
6. Deben cumplir con las normas de
control de calidad.
7. Deben someterse a inspecciones de
control de calidad.
13
14
15
16
Los estados contables presentan razonablemente, en todos sus aspectos significativos, la situacin
patrimonial, los resultados de sus operaciones y los flujos de efectivo.
Los cambios significativos en los controles internos que afecten los controles de perodos no sujetos
a la revisin han sido informados en la certificacin, incluidas las acciones correctivas con respecto
a las deficiencias y debilidades significativas
Nota: Las certificaciones individuales mencionadas y los requisitos de exposicin correspondientes
tuvieron distintas fechas de entrada en vigencia a partir del 29 de agosto de 2002.
17
18
19
20
Seccin 404:
Evaluacin Anual
de la Gerencia y
Certificacin del
Auditor
21
Sarbanes Oxley
Aplicacin de COSO & COBIT
Control Interno
Se define como el proceso efectuado por la Alta
Administracin y el resto de una entidad, diseado
con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecucin de objetivos
dentro de las siguientes categoras:
Honestidad y
responsabilidad
Eficacia y eficiencia
en las operaciones
Confiabilidad de
la informacin
financiera
Salvaguardar los
Recursos
Cumplimiento de
las leyes y normas
23
24
Actividades de control
Evaluacin del
funcionamiento del sistema
de control en el tiempo.
Polticas y procedimientos
que aseguran que se
cumplen las directivas de la
direccin.
Combinacin de
evaluaciones puntuales y
recurrentes.
Actividades de direccin y
supervisin.
Actividades de auditora
interna.
Informacin y comunicacin
Se identifica, captura y comunica
la informacin adecuada en forma
oportuna.
Acceso a informacin generada
interna y externamente.
Flujo de informacin que permite
acciones de control exitosas, que
van desde instrucciones
relacionadas con
responsabilidades hasta
resmenes de observaciones de
las acciones de la direccin.
25
Alcance de la prctica
para las secciones 404
y 302 de la ley SO
Em
i
n
co fo isi
nt rm n
ab a d
le ci e
n
ra
O
pe
um
pl
im
ci
on
e
ie
nt
Monitoreo
U
N
I
D
A
D
N
E
G
O
C
Consideraciones de
control interno
cubiertas por la
Seccin 404 de la ley
Sarbanes Oxley
Dato clave
Las principales empresas utilizan el requerimiento de la seccin 404 como
catalizador para revisar su modelo integral de riesgo.
26
27
Sarbanes Oxley
Metodologa de Cumplimiento
reas involucradas
Business Processes
ITGC
30
Metodologa de Cumplimiento
Enfoque:
Alcance
del Proyecto
Preparar Documentacin
y Evaluar Controles
Probar y Monitorear
Controles
Informe
Fases de Evaluacin:
Comprender la
Definicin de
Control
Interno
Organizar un
Equipo de
Proyecto para
Conducir la
Evaluacin
Evaluar el
Control
Interno a
Nivel de
Empresa
Oportunidad:
Comprender y Evaluar
el Control Interno a
Niveles de Proceso,
Transaccin o
Aplicacin
Evaluar la Eficacia
General, Identificar
Asuntos que Necesiten
Mejora, y
Establecer Sistemas de
Monitoreo
Informe de la
Gerencia
sobre
Control
Interno
Desarrollar un proceso de
tiempo.
monitoreo.
Preparar documentacin,
conducir pruebas detalladas y
corregir deficiencias de control
31
Metodologa de Cumplimiento
Documentacin
Flujograma
Narrativa
Matriz de Riesgos y
Controles
Segregacin de Funciones
Resultados Clave
Recorridos
Identificacin y
Evaluacin de
Deficiencias para
Remediacin
Resumen de
Controles Clave
para Pruebas
(Testing)
Documentacin
Disponible para
Revisin y
Aseguramiento de
Calidad
32
Estados
Financieros
Cuentas
Significativas
?
Procesos
Significativos
Tipos:
Implicaciones
en Procesos
Management
Report on
Internal
Control
Flujos de transacciones
Rutinarias
No-rutinarias
Estimacin
Procesos de IT
Procesos de Negocios
Proceso de Cierre de
Estados Financieros
(Aseveracin de
Presentacin y
Revelacin)
Riesgos
Para Cada Aseveracin
Pregunte:
Dnde estn los puntos en el flujo
de transacciones donde pueden
ocurrir errores?
Ejemplo:
Cuentas:
Efectivo o Ctas por
Pagar
Proceso:
Desembolsos
Aseveracin: Valuacin
Cules son los procedimientos
manuales y programados que aseguran
que el monto de un cheque o una
transferencia concuerda con el monto
aprobado para pago?
Controles
Deteccin: Monitorea en
busca de errores
Prevencin: Previene un
error
Quin Ejecuta?
Control Programado?
Identificar el sistema
procesador
Evaluar/
Monitorear
Factores en Evaluacin:
Informe
33
Sarbanes Oxley
Evaluacin de Control Interno a
Nivel de Entidad
Puntos a Considerar
Ambiente de Control
Evaluacin de Riesgos
Informacin y
Comunicacin
Actividades de Control
Monitoreo
35
Entorno de Control
El entorno de control refleja la pauta fijada por la alta gerencia y la actitud general, la conciencia y las acciones de la
junta directiva, la gerencia, los dueos y otros, con respecto a la importancia del control interno y el nfasis puesto
sobre el control en las polticas, procedimientos, mtodos y estructura organizacional de la compaa. Esto es el
fundamento para todos los otros componentes del control interno, que proveen disciplina y estructura
Integridad, valores ticos y comportamiento de los ejecutivos clave
Conciencia de control de la gerencia y estilo operativo
Compromiso de la gerencia a ser competente
Participacin de la junta directiva y/o comit de auditoria en el gobierno (governance) y la vigilancia
Estructura organizacin y asignacin de autoridad y responsabilidades
Polticas y prcticas de recursos humanos
36
Evaluacin de Riesgos
La evaluacin de riesgos es la identificacin y anlisis de riesgos relevantes (tanto internos como externos) al logro
de los objetivos, formando una base para determinar como los riesgos deben ser administrados
Se han establecido y comunicado objetivos a nivel de empresa, incluyendo como estn apoyados por planes
estratgicos y complementados a nivel de proceso / aplicacin. Se ha establecido un proceso de evaluacin
de riesgo, incluyendo la estimacin de la importancia de los riesgos, la evaluacin de la probabilidad de su
ocurrencia, y la determinacin de las acciones necesarias a seguir.
Existen mecanismos para anticipar, identificar y reaccionar a los cambios que pudieran tener un efecto
dramtico y dominante de la empresa (Ej: el comit de administracin de activos/pasivos en una institucin
financiera, el grupo de administracin de riesgos de comercializacin de commodities en una empresa
manufacturera) o que pudiera afectar el logro de los objetivos de la empresa o de niveles de
procesos/aplicaciones.
El departamento de contabilidad tiene procesos establecidos para:
1. Identificar cambios en los principios de contabilidad generalmente aceptados (PCGA) promulgados por los organismos con autoridad
relevantes.
2. Notificar al departamento de contabilidad de cambios en las prcticas de negocio de la compaa que puedan afectar el mtodo los
procesos de registrar transacciones.
3. Identificar cambios significativos en el control interno o el entorno operativo, incluyendo cambios que resulten en nuevas regulaciones o
cambios en estas
37
Informacin y Comunicacin
Los sistemas de informacin y comunicacin apoyan la identificacin, captura e intercambio de informacin en una
forma y oportunidad que permiten a la gerencia y a otro personal apropiado a cumplir con sus responsabilidades.
Informacin
Los sistemas de informacin proveen a la gerencia los reportes necesarios para el desempeo de la empresa
en relacin a los objetivos establecidos, incluyendo informacin interna y externa relevante y proporcionan la
informacin a la gente apropiada con el detalle necesario y a tiempo, para permitirles cumplir con sus
responsabilidades eficaz y eficientemente.
Los sistemas de informacin son desarrollados o revisados en base al plan estratgico que est
interrelacionado con los sistemas de informacin generales de la empresa y responden al logro de los
objetivos a nivel de empresa y a nivel de proceso/aplicaciones.
La gerencia destina los recursos humanos y financieros apropiados para desarrollar los sistemas de
informacin necesarios y asegura y supervisa a los usuarios que participan en el desarrollo (incluyendo
revisiones) y prueba de los programas.
La gerencia a establecido un plan de continuidad del negocio / recuperacin de desastres para todos los
centros primarios de informacin
38
39
Actividades de Control
Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las directrices de la gerencia
sean cumplidas
Existen polticas y procedimientos necesarios con respecto a que cada una de las actividades de la empresa
y los controles sealados por la poltica estn siendo aplicados.
La gerencia tiene objetivos claros en trminos de presupuesto, utilidades y otras metas financieras y de
operacin y estos objetivos estn claramente escritos, y son comunicados a toda la empresa y activamente
monitoreados. Han sido implementados sistemas de planificacin y de reporte para identificar variaciones
en el rendimiento planificado y comunicar estas variaciones al nivel apropiado de la gerencia. El nivel de la
gerencia apropiado investiga las variaciones y toma acciones correctivas apropiadas y oportunas.
Los deberes son lgicamente divididos o segregados (manualmente o a travs de la implementacin de
aplicaciones de tecnologa de informacin (IT) apropiadas) entre diferentes personas para reducir el riesgo
de fraude o de acciones impropias.
40
41
Sarbanes Oxley
Aseveraciones Financieras y
Controles a Nivel de Proceso,
Transaccin y Aplicacin
Estados
Financieros
Cuentas
Significativas
?
Procesos
Significativos
Tipos:
Implicaciones
en Procesos
Management
Report on
Internal
Control
Flujos de transacciones
Rutinarias
No-rutinarias
Estimacin
Procesos de IT
Procesos de Negocios
Proceso de Cierre de
Estados Financieros
(Aseveracin de
Presentacin y
Revelacin)
Riesgos
Para Cada Aseveracin
Pregunte:
Dnde estn los puntos en el flujo
de transacciones donde pueden
ocurrir errores?
Ejemplo:
Cuentas:
Efectivo o Ctas por
Pagar
Proceso:
Desembolsos
Aseveracin: Valuacin
Cules son los procedimientos
manuales y programados que aseguran
que el monto de un cheque o una
transferencia concuerda con el monto
aprobado para pago?
Controles
Deteccin: Monitorea en
busca de errores
Prevencin: Previene un
error
Quin Ejecuta?
Control Programado?
Identificar el sistema
procesador
Evaluar/
Monitorear
Factores en Evaluacin:
Informe
43
Aseveraciones financieras
8 aseveraciones de la gerencia a los estados financieros
Existencia
Balance General
Estado de Resultados
Balance General
Estado de Resultados
Ocurrencia
Valuacin
Un activo o pasivo es registrado al valor apropiado en libros.
Exactitud
Balance General
Estado de Resultados
Balance General
Estado de Resultados
Una transaccin o un evento est registrado en un importe apropiado y el ingreso o gasto est atribuido en el perodo apropiado.
Integridad
Balance General
Estado de Resultados
Derechos y Obligaciones
Estado de Resultados
Estado de Resultados
Balance General
Presentacin y Revelacin
Balance General
Una partida est clasificada, descrita y revelada de conformidad con la estructura de informacin financiera que le es aplicable.
Salvaguardia de Activos
Balance General
Estado de Resultados
44
Cuentas Significativas
El punto de partida para el proceso de identificacin de los
procesos significativos sobre los cuales se aplican los
controles internos es identificar las cuentas significativas a
nivel de revelacin en los rubros o las notas de los estados
financieros consolidados
Cuentas
Significativas
46
Procesos
Significativos
Tipos:
Flujos de transacciones
Rutinarias
No-rutinarias
Estimacin
Procesos de IT
Procesos de Negocios
Proceso de Cierre de Estados
Financieros (Aseveracin de
Presentacin y Revelacin)
47
48
?
Riesgos
Existencia
Balance General
Estado de Resultados
Balance General
Estado de Resultados
Ocurrencia
Valuacin
Un activo o pasivo es registrado al valor apropiado en libros.
Exactitud
Balance General
Estado de Resultados
Balance General
Estado de Resultados
Una transaccin o un evento est registrado en un importe apropiado y el ingreso o gasto est atribuido en el perodo apropiado.
Integridad
Balance General
Estado de Resultados
Derechos y Obligaciones
Estado de Resultados
Estado de Resultados
Balance General
Presentacin y Revelacin
Balance General
Una partida est clasificada, descrita y revelada de conformidad con la estructura de informacin financiera que le es aplicable.
Salvaguardia de Activos
Balance General
Estado de Resultados
50
Riesgos
51
Controles
En este punto, se debe considerar los controles sobre cada proceso
significativo que contemplan los riesgos para las aseveraciones
relevantes. El objetivo es identificar los controles que proporcionan
seguridad razonable de que los errores relativos a cada una de las
aseveraciones relevantes de los estados financieros son prevenidos, o
que cualquier error que ocurra durante el procesamiento son detectados
y corregidos
Controles
52
Controles
53
Pasos Siguientes
La finalizacin de la documentacin del control interno a nivel
de empresa y los controles internos a nivel de proceso,
transaccin o aplicacin proporcionar al equipo a cargo del
proyecto la informacin necesaria para evaluar la eficacia
integral de los controles en la fase final de la metodologa
Management
Report on
Internal
Control
Evaluar/
Monitorear
Informe
Factores en Evaluacin:
Competencia, integridad del personal que
ejecuta el control; grado de supervisin;
alcance de rotacin de empleados
Potencial de abuso (override) de la gerencia
Falta de segregacin de funciones, incluso
dentro de las aplicaciones del computador
Efecto de cambios en controles
Otros riesgos especficos
54
Sarbanes Oxley
Teora de Riesgos y Controles
Tipos de controles
Preventivos
Procedimientos relacionados para prevenir un error o fraude
Aplicados a nivel de transaccin sencilla
Detectivos
Polticas y procedimientos diseados para monitorear el logro de los objetivos
relevantes del proceso, incluyendo la identificacin de errores o fraude.
Aplicados a grupos de transacciones
56
Terminologa de Control
Manual Preventivo
Manual Detectivo
IT Manual Dependiente
Automtico
57
Puntos de Control
Iniciacin
Autorizacin
Registro
Procesos
Reporte
58
Controles Generales de IT
Cambios a Programa Los controles de aplicacin han
operado efectivamente a travs del periodo
Seguridades de Acceso La informacin generada por las
aplicaciones es confiable
Seguridad de Aplicacin
Restriccin a transacciones individuales, parametrizacin, niveles de autorizacin o
acceso a informacin especfica
Unicamente personas y aplicaciones autorizadas tienen acceso a datos y
solamente para ejecutar funciones definidas especficamente
59
60
Tipos de Control
Autorizacin
Configuracin / Control de Mapeo de Cuentas
Reportes de Excepcin
Controles de Interfases
Indicadores de Desempeo
Revisiones Gerenciales
Conciliaciones
Accesos a Sistema
61
Sarbanes Oxley
Principios de Recorridos &
Pruebas de Cumplimiento
Pruebas de Cumplimiento
Naturaleza del Control y Frecuencia de
las Pruebas
Al menos 25
Al menos 25
Al menos 10
A, menos 3
Al menos 2
Probar anualmente
Controles Automticos
63
Sarbanes Oxley
Taller: Identificacin de Riesgos y
Controles