PROPUESTA. Alcance del Trabajo Nuestro entendimiento respecto de las necesidades en este trabajo,...

PROPUESTA

Alcance del TrabajoNuestro entendimiento respecto de las necesidades en este trabajo, puede resumirse de la siguiente manera:

La presente labor propone Relevar, Documentar, Diseñar y Testear los procesos de las compañía con el fin de cumplimentar con los requerimientos SOX

Los procesos ha relevar ya han sido definidas por el cliente y seran informadas al Estudio Harteneck – Quian & Asociados con antelacion

Se efectuará el proceso de relevamiento, documentación, diseño y Tests de acuerdo con lo expuesto en el Anexo A. Llevarán a cabo dicho proceso un grupo de especialistas en la materia compuesto por 4 miembros, Coordinador del Proyecto Sox y Socio Gerente del Estudio Hartneck Quian & Asociados

Alcance del Trabajo

El alcance final del trabajo se circunscribe a la redacción de :Informe de Actividades de Control InternoInforme de Debilidades de Control de los Procesos

Al promediar las tareas emitiremos un “Informe de Avance” para que conozcan el grado de desarrollo del proyecto y los issues detectados hasta ese momento.

La ejecución de las tareas se efectuará en base a las prácticas profesionales usuales en esta materia.

Para satisfacer los requerimientos de la presente cotización tuvimos en cuenta el tiempo estimado de la realización de las tareas,

El alcance final del trabajo se circunscribe a la redacción de :Informe de Actividades de Control InternoInforme de Debilidades de Control de los Procesos

Al promediar las tareas emitiremos un “Informe de Avance” para que conozcan el grado de desarrollo del proyecto y los issues detectados hasta ese momento.

La ejecución de las tareas se efectuará en base a las prácticas profesionales usuales en esta materia.

Para satisfacer los requerimientos de la presente cotización tuvimos en cuenta el tiempo estimado de la realización de las tareas,

ANEXO A

Etapas Clave del Proyecto

Scoping

Relevamiento Diseño y

Documentac. de los

Controles

WalkthroughPlan de

Remediación

Testeo de la efectividad de los Controles

CERTIFICACIÓN

11 22 33 44 55

Estrategia de Cumplimiento

ANÁLISIS DE RIESGOS

No

Identificación de controles existentes

Controlesconfiables

?

Controlesdocumentados

?

Sí Sí

NoDocumentación de Controles

Testeo de la eficacia de los Controles

Descripción de:•las acciones a tomar;•el/los responsables;•fechas límites;•observaciones

PLANES DE REMEDIACIÓN

Conclusiones acerca del SistemaPermite la detección de futuras

deficiencias en los controles

Evaluación final de la Entidad

- Riesgos;- Controles;- Referencias a Planes de Remediación

Evaluación Final del Proceso

ControlIneficaz

Control Eficaz

Definición del Alcance (Scoping)

11

Scoping

CU

EN

TA

S S

IGN

IFIC

AT

IVA

SC

UE

NT

AS

SIG

NIF

ICA

TIV

AS

Identificación de las Cuentas Significativas y Revelaciones Identificación de las localidades individualmente importantes y otras localidades para el testing

Identificación de los Procesos/ Subprocesos/ Transacciones significativas Identificación de aplicaciones y sistemas

Identificación de Cuentas: Factores a Considerar11

Scoping

El grado con que la cuenta es afectada por estimaciones donde se involucra el juicio profesional.

El monto del saldo de la cuenta

Dificultad en determinar en saldo de la cuenta debido a la naturaleza de la misma.

Posibilidad de que el saldo de la cuenta o grupo de cuentas contenga declaraciones falsas, errores, omisiones o manipulaciones así como pérdidas o fraudes.

Volumen de transacciones procesadas en dicha cuenta.

Facilidad de cambio de la cuenta de un trimestre a otro, así como cambios en las características de la cuenta.

Identificación de Procesos Significativos

11

Scoping

ProcesosProcesos de Negociode NegocioProcesosProcesos de Negociode Negocio

• Conjunto organizado y estructurado de actividades definidas con el objetivo de alcanzar un resultado deseado. Todo proceso posee límites (inicio y fin) e “input” y “output”.

SubprocesosSubprocesosSubprocesosSubprocesos• Grupo de actividades relacionadas a una operación/ control.

ActividadesActividadesActividadesActividades

• Operacionales: Actividades ejecutadas con el objetivo de dar secuencia al flujo del proceso.

• De Control: Son actividades ejecutadas para asegurar el adecuado cumplimiento de las normas establecidas.

• Ambas pueden ser: Rutinarias, No rutinariaso De Estimación

CU

EN

TA

S S

IGN

IFIC

AT

IVA

SC

UE

NT

AS

SIG

NIF

ICA

TIV

AS

Etapas Clave22

Relevamiento, Diseño y Documen. de Controles

Relevamiento Detallado

Documentación de Procesos

Matriz de Riesgos Controles

• Qué?• Quien?• Cómo?

• Procedimiento• Flowchart

• Evaluación de Diseño de los controles• Plan de Remediación

Relevamiento de Procesos (Detallado)

22


2. Estudiar la “Guidance” que fue diseñada como soporte para el cumplimiento SOX.

3. Relevar y comprender los Procesos Actuales de la Compañía.4. Verificar los procedimientos documentados y si su redacción

es convincente con los objetivos de control definidos por la corporación.

5. En caso de existir alguna deficiencia en la documentación del procedimiento, redactar correctamente el proceso requerido.

6. En caso de no existir procedimiento documentado, crear el mismo.

1. Tomar conocimiento de las Prácticas vigentes en la Corporación (Current Practice) y ver su correlación con lasPolíticas de Control (Guidance).

OPERACIONESFINANCIERAS

PAGO A PROVEEDORES

COMPRASALMACENESPROVEEDOR

PAGO A PROVEEDORES

Doc. emitidoCant. Ejempl.Tipo Soporte

QuéCómo/

FrecuenciaSector

Pago a Proveedores

Recepción y Control de Documentación

-Recibe FC Proveedor-Recibe Solicitud/ Orden de Compra-Recibe Informe de Recepción y Remito conformado de Alamcenes-Controla y cruza la documentación

Pago a Proveedores

Ingreso FC al sistema

-Ingreso FC al sistema

Pago a Proveedores

Confección Orden de Pago

-Confecciona la Orden de Pago propuesta

Orden de Pago:- Orig: Cliente- Duplicad: Op. Fcieras.- Triplicado: Pago a Proveedores

Operaciones Financieras

Emisión de Cheque

-Controla documentación remitida en el Legajod e Pagos-Genera OP-Emite Cheque por sistema-Firma OPCancela docum. c/ sello "PAGADO"

Cheque

NO

SI

1

Es correcta?

OCFC

1

IR

NPR

Cheque

4

2

1

3

Ref.

2

3

4X

X

B

A

OP

Documentación Documentación de Procesosde Procesos

Documentación Documentación de Procesosde Procesos

22


Documentación de Procesos

Se refiere a las características que aplican a los Se refiere a las características que aplican a los riesgos y controles examinados dentro de una riesgos y controles examinados dentro de una localidad. En esta instancia se analizará las localidad. En esta instancia se analizará las características actuales del control dentro del características actuales del control dentro del procedimiento.procedimiento.

Ante debilidades de control se deben Ante debilidades de control se deben proponer acciones necesarias para fortalecer proponer acciones necesarias para fortalecer los controles o bien crearlos (si los controles o bien crearlos (si estuviesen ausentes), con el fin estuviesen ausentes), con el fin de mitigar un riesgo.de mitigar un riesgo.

Plan de Plan de RemediacióRemediació

nn

Plan de Plan de RemediacióRemediació

nn

Evaluación Evaluación del Diseño del Diseño

de los de los ControlesControles

Evaluación Evaluación del Diseño del Diseño

de los de los ControlesControles

22


Matriz de Riesgos y Controles

Objetivo de Control:Objetivo de Control: En este se explica claramente, cual es el En este se explica claramente, cual es el objetivo que se desea alcanzar al implementar el control.objetivo que se desea alcanzar al implementar el control.

Riesgo:Riesgo: Describe el riesgo en el que se incurriría, en el caso de NO Describe el riesgo en el que se incurriría, en el caso de NO alcanzar el objetivo de control.alcanzar el objetivo de control.

Impacto:Impacto: Es una cuantificación del posible impacto en los Estados Es una cuantificación del posible impacto en los Estados Financieros en caso de NO alcanzar el objetivo de control (es una Financieros en caso de NO alcanzar el objetivo de control (es una combinación de la consecuencia financiera que produciría y la combinación de la consecuencia financiera que produciría y la probabilidad de ocurrencia), se clasifica en: Alto, Medio y Bajo.probabilidad de ocurrencia), se clasifica en: Alto, Medio y Bajo.

Matriz de Riesgos y Controles:Evaluación del Diseño de los Controles 22


Son aquellas premisas fundamentales sobre los procesos, con el objetivo de garantizar la integridad, exactitud, oportunidad y confiabilidad de la información.



Por qué debemos identificar los OBJETIVOS DE CONTROLOBJETIVOS DE CONTROL?

Para identificar puntos donde es necesario implementar controles;

Para ayudar a identificar todos los riesgos relevantes de errores o fraudes y los controles que pueden minimizar o extinguir la ocurrencia de estos;

Para ayudar a formular preguntas adicionales que precisan ser realizadas para que podamos identificar los controles apropiados.



Por qué debemos considerar los RIESGOSRIESGOS?

Identificando los propósitos u objetivos del proceso;

Identificando los puntos dentro de los flujos de transacciones donde pueden ocurrir fallas;

Reflejando todo el flujo de transacciones.

Matriz de Riesgos y Controles:Evaluación del Diseño de los Controles

22


Cómo podemos identificar los RIESGOSRIESGOS?

Aseveración de los Estados Financieros:Aseveración de los Estados Financieros: Se refiere a las afirmaciones que se intentan Se refiere a las afirmaciones que se intentan probar mediante el objetivo de control, y que se hallan amenazadas por un riesgo. Se probar mediante el objetivo de control, y que se hallan amenazadas por un riesgo. Se clasifican en: Integridad, Existencia, Exposición, Derechos y Obligaciones, Valuación, clasifican en: Integridad, Existencia, Exposición, Derechos y Obligaciones, Valuación, Oportunidad.Oportunidad.

Objetivos COSO:Objetivos COSO: Son los Objetivos del Control Inerno según el enfoque COSO: Son los Objetivos del Control Inerno según el enfoque COSO:

1.1. Eficacia y eficiencia en las operaciones (E). Eficacia y eficiencia en las operaciones (E). 2.2. Confiabilidad de la información financiera (F),Confiabilidad de la información financiera (F),3.3. Cumplimiento de las leyes y normas aplicables (C)Cumplimiento de las leyes y normas aplicables (C)

Actividades de Control:Actividades de Control: Nombre de la actividad de control. Nombre de la actividad de control.

Descripción de la Actividad de Control:Descripción de la Actividad de Control: Se describe en forma sintética las principales Se describe en forma sintética las principales características que se espera cumpla dicha actividad de control (como se desconoce con características que se espera cumpla dicha actividad de control (como se desconoce con exactitud el funcionamiento en cada proceso, se pueden incorporar ejemplos que sirvan exactitud el funcionamiento en cada proceso, se pueden incorporar ejemplos que sirvan de guía).de guía).

Evaluación del Diseño de los Controles

AseveraciónObjetivos

COSOActividad de

ControlDescripción de la Actividad

de Control


22


22



Cómo identificamos las ASEVERACIONES?

Existencia: Una afirmación que un activo o pasivo existe en un período determinado.

Ocurrencia: Una afirmación que una transacción o evento, realmente ocurre dentro de un período.

Integridad: Una afirmación que no existen activos, pasivos, transacciones o eventos no registrados.

22


Matriz de Riesgos y Controles:Evaluación del Diseño de los ControlesCómo identificamos las ASEVERACIONES?

Valuación o Medición: Una afirmación que un activo o pasivo, transacción o evento son registrados por el valor o monto correcto dentro del período que corresponda.

Derechos y Obligaciones: Una afirmación que un activo o un pasivo pertenece a la Compañía dentro de un período.

Presentación y Revelación: Una afirmación que un item es apropiadamente clasificado, descrito y divulgado en los Estados Financieros.

• El control es un mecanismo manual, automático o semi-automático, que minimiza o elimina la posibilidad de ocurrencia de riesgos del negocio. Asimismo, garantiza con un nivel razonable de seguridad, que los siguientes objetivos (COSO) sean cumplimentados:

− Desempeño y eficiencia de las operaciones.− Confiabilidad de los Estados Financieros.− Cumplimiento con las leyes y regulaciones aplicables.


22


Por qué debemos considerar las ACTIVIDADES DE CONTROL?


22


Qué tipos de CONTROLES existen?

Tipos de Tipos de Actividades Actividades de de ControlesControles

Revisiones de Alto Nivel – Monitoreo de indicadores, Balanced Scorecard.

Gerenciamiento de Actividades – Relativos al desempeño de la Gerencia.

Procesamiento de Información – Comparar, revisar, conciliar, autorizar y aprobar transacciones.

Controles Físicos – Equipamientos, stocks, propiedades, disponibilidades, etc.

Segregación de Funciones – División de tareas entre los diferentes puestos de la compañía para reducir los riesgos de errores o actividades inadecuadas.

Descripción del control: Descripción del control: Se refiere a la forma en la que se realiza el control en el Se refiere a la forma en la que se realiza el control en el organismo. Es muy aceptable transcribir el control de acuerdo al narrativo del procedimiento organismo. Es muy aceptable transcribir el control de acuerdo al narrativo del procedimiento (si el mismo está bien redactado).(si el mismo está bien redactado).

Referencia documental: Referencia documental: Se colocará el código con el cual se identifica este control dentro Se colocará el código con el cual se identifica este control dentro del diagrama de flujo del proceso, o bien una referencia al procedimiento narrativo donde se del diagrama de flujo del proceso, o bien una referencia al procedimiento narrativo donde se describe el control.describe el control.

Evidencia:Evidencia: Existen 2 campos a completar: Existen 2 campos a completar:

(a) Si existe o no evidencia de que se realice el control.(a) Si existe o no evidencia de que se realice el control.

(b) En caso afirmativo, describir (b) En caso afirmativo, describir las evidencias que se conservan como respaldo del las evidencias que se conservan como respaldo del control. Se espera además que el consultor guarde en sus papeles de trabajo dicha control. Se espera además que el consultor guarde en sus papeles de trabajo dicha evidencia.evidencia.


22


- Resguardo de la información: Como se encuentra resguardada la información? Existe documentación física o formularios preestablecidos?- Firma (Sign-Off): La documentación de respaldo se encuentra adecuadamente revisada y autorizada? Existe evidencia de dicha revisión? (identificación de la persona que Confeccionó/ Revisó/ Autorizó)- Seguridad física/ electrónica de la Información: En el caso de documentación física, dónde se encuentra archivado el respaldo documental? Posee un orden preestablecido (detallar)?

Matriz de Riesgos y Controles:Evaluación del Diseño de los ControlesQué documentación es suficiente como EVIDENCIA DEL CONTROL? 22


- Acceso a la información: El acceso a la documentación del control (física o electrónica) se encuentra restringida al personal no autorizado? Qué personas poseen acceso a dicha información? Existen claves/ passwords para tener acceso a la información? Existen usuarios compartidos?- Tiempo de Resguardo: Por cuanto tiempo se resguarda la documentación de respaldo (física o electrónica)?


Qué documentación es suficiente como EVIDENCIA DEL CONTROL?

22


Automatizado:Automatizado: Existen 5 campos a completar: Existen 5 campos a completar:

(a) S(a) Si son o no realizados por un sistema de computos (sin intervención humana y en i son o no realizados por un sistema de computos (sin intervención humana y en base a parámetros pre establecidos)base a parámetros pre establecidos)

(b) La plataforma sobre la cual opera el control (Ejemplo: Oracle)(b) La plataforma sobre la cual opera el control (Ejemplo: Oracle)

(c) La aplicación sobre la cual opera el control (Ejemplo: SAP R3)(c) La aplicación sobre la cual opera el control (Ejemplo: SAP R3)

(d) Si son o no parametrizables(d) Si son o no parametrizables

(e) La localización física de las controles.(e) La localización física de las controles.

22



Realizado por:Realizado por: Se refiere a la periodicidad con la que se realiza el control. Se debe aclarar si Se refiere a la periodicidad con la que se realiza el control. Se debe aclarar si se realiza en un momento determinado por intervalos establecidos (por Frecuencia) o bien si se realiza en un momento determinado por intervalos establecidos (por Frecuencia) o bien si se realiza dependiendo de la ocurrencia de un determinado hecho (por Evento). se realiza dependiendo de la ocurrencia de un determinado hecho (por Evento).

Si es Si es por Frecuencia:por Frecuencia: Indicar la frecuencia con la que se realiza: Anual, Semestral, Indicar la frecuencia con la que se realiza: Anual, Semestral, Trimestral, Mensual, Diario, Varias veces al día. Trimestral, Mensual, Diario, Varias veces al día.

Si es Si es por Evento:por Evento: Describir el / los eventos, de los cuales depende la realización del control. Describir el / los eventos, de los cuales depende la realización del control.

A partir de aquí indicaremos las A partir de aquí indicaremos las características del controlcaracterísticas del control..

Función:Función: En esta casilla debemos especificar, el puesto y nombre del dueño del proceso y En esta casilla debemos especificar, el puesto y nombre del dueño del proceso y del dueño del control.del dueño del control.

Propietario del proceso: se refiere a la persona responsable por el procesoPropietario del proceso: se refiere a la persona responsable por el proceso

Propietario del control: se refiere a la persona responsable del cumplimiento del controlPropietario del control: se refiere a la persona responsable del cumplimiento del control


22


Relevancia del Control: Relevancia del Control: Colocar solamente Colocar solamente (C) (C) si es “Control Clave” (si el control –en el supuesto si es “Control Clave” (si el control –en el supuesto de funcionar de manera eficaz- es util para mantener bajo control un riesgo significativo). de funcionar de manera eficaz- es util para mantener bajo control un riesgo significativo).

Tipo de Control:Tipo de Control: se colocará si es Detectivo (D) o Preventivo (P). Se debe distinguir si el control se se colocará si es Detectivo (D) o Preventivo (P). Se debe distinguir si el control se realiza para detectar errores, omisiones o irregularidades, o bien se realiza con para prevenir la realiza para detectar errores, omisiones o irregularidades, o bien se realiza con para prevenir la ocurrencia de dichos problemas.ocurrencia de dichos problemas.

Naturaleza del Control:Naturaleza del Control: Indicar si se trata de: Indicar si se trata de: Autorización / Comparación / Conciliación / Otro Autorización / Comparación / Conciliación / Otro (indicar). (indicar).

Falla del ControlFalla del Control: : Deficiencias determinadas en la evaluación del control internoDeficiencias determinadas en la evaluación del control interno

Calificación del Control:Calificación del Control: Analizando el objetivo que tiene el control se evaluará si su diseño: (C): Analizando el objetivo que tiene el control se evaluará si su diseño: (C): CUMPLE / (CP): CUMPLE PARCIALMENTE / (NC): NO CUMPLE / (NA): NO APLICA.CUMPLE / (CP): CUMPLE PARCIALMENTE / (NC): NO CUMPLE / (NA): NO APLICA.

Será Testeado?:Será Testeado?: Haciendo una evaluación del impacto del control, en estados financieros, se Haciendo una evaluación del impacto del control, en estados financieros, se determinará si se harán pruebas de efectividad de los controles.determinará si se harán pruebas de efectividad de los controles.


22


Descripción de la Actividad de Control

(“TO BE”)

Descripción de la Actividad de Control

(“TO BE”)

Descripción del Funcionamiento del Control

(Funcionamiento Actual)

Descripción del Funcionamiento del Control

(Funcionamiento Actual)

Marco de referenciaMarco de referencia Características actuales del Características actuales del controlcontrol

Deficiencias determinadas Deficiencias determinadas en la evaluación del control en la evaluación del control

internointerno


22


FALLAS DE CONTROLFALLAS DE CONTROL

Cómo se determina unaFALLA DE CONTROL?

WalkthroughAspectos Generales

33

Walkthrough

1. El propósito del Walkthrough es realizar un recorrido de cadaproceso, desde el punto en que se inician hasta el final del proceso de registro, para confirmar:a) La comprensión de los procedimientos de

procesamiento, b) Evaluar la efectividad del diseño de los controlesc) La corrección de la información obtenida acerca de

los controles relevantes de prevención y/o detección en el proceso, y

d) Que estos controles en efecto han sido puestos en operación.

2. A través del Walkthrough se trata de corroborar la información obtenida en varios puntos del proceso, solicitando al personal que describa su comprensión del procesamiento anterior y posterior o de las actividades de control, y que demuestre lo que ellos hacen, por medio de:a) Entrevistas con el personal de la compañíab) Utilizar los mismos documentos/ sistemas que la compañíac) Descripciones/ demostraciones de las actividades

desarrolladas por el personald) Seguimiento de cuestionarios (indagación de la naturaleza

del control)- Cómo detectaría la existencia de un error?- Qué tipos de errores se encuentran?- Como se procede en caso de detectar un error?

33

Walkthrough

WalkthroughAspectos Generales

Plan de RemediaciónAspectos Generales

44

Plan de Remediación

1. Determinación de acciones correctivas para aquellos procesos que requieran la implementación de nuevos controles, o rediseño/ mejora de controles existentes.

2. Acciones a tomar en función de las debilidades detectadas en las etapas de relevamiento y walkthrough.

3. Definición del/ los responsable/s. 4. Determinación de fechas límites para la implementación del

“Action Item" (Plan de remediación). 5. Documentación resultados esperados vs. obtenidos6. Desarrollo/ Implementación de nuevos aplicativos7. Identificación de nuevos planes de Remediación

PROPUESTA. Alcance del Trabajo Nuestro entendimiento respecto de las necesidades en este trabajo,...

Documents

Transcript of PROPUESTA. Alcance del Trabajo Nuestro entendimiento respecto de las necesidades en este trabajo,...