Sox Norma
-
Upload
carlosvalg20072170 -
Category
Documents
-
view
215 -
download
0
description
Transcript of Sox Norma
Ley Sarbanes OxleyAgregando Valor a través de la Transparencia
2
Agenda
Viernes (7:00 PM – 10:00 PM)1. Introducción a Sarbanes Oxley2. Aspectos Generales de la Ley Sarbanes Oxley3. COSO – Aplicado a Sarbanes Oxley4. Metodología de Cumplimiento5. Evaluación de Control Interno a Nivel de Entidad
Sábado (8:00 AM – 10:00 AM)6. Aseveraciones Financieras y Controles a Nivel de Proceso, Transacción o
Aplicación7. Teoría de Riesgos y Controles8. Principios de Recorridos & Pruebas de Cumplimiento9. Identificación y Documentación de Riesgos y Controles
Sábado (10:00 AM – 12:00 AM)10. Taller – Identificación & Documentación de Riesgos y Controles
Sarbanes OxleyIntroducción
4
Ley Sarbanes Oxley
• Porqué Sarbanes Oxley?– Enron – shock!– WorldCom – action!!– Reestablecer la confianza de los
Inversionistas– Aumentar la transparencia
5
Ley Sarbanes Oxley
Nuevas regulaciones legales / criminales relacionadas con la conducta corporativa.
Nuevo ente de control contable en los Estados Unidos (Public Company Accounting Oversight Board)
Reformas mandatorias relacionadas con el gobierno corporativo
Fortalece el rol e independencia de los comités de auditoría
Nuevas restricciones de independencia para el auditor
Crea nuevos requerimientos de reporte financiero para los emisores
6
Objetivos
Responsabilizar a la gerencia de la administación y conducta de sus empresas
Mejorar el gobierno corporativo
Incrementar la vigilancia y supervisión de las firmas de contabilidad y auditoría
Restaurar la confianza de los mercados de capitales
Sarbanes OxleyAspectos Generales
8
Emisores
1. Estarán sujetos a la ley.2. Deberán establecer Comités de
Auditoría. 3. La Junta puede exigir
declaraciones y papeles de trabajo de auditoría relacionados con un emisor.
4. Los emisores serán responsables por asociarse con auditores suspendidos o dados de baja.
5. Los emisores financiarán las operaciones de la Junta y del FASB.
6. El emisor no puede contratar a su auditor para prestar nueve servicios específicos que no son de auditoría.
7. El comité de auditoría del emisor debe pre-aprobar todos los servicios de auditoría y otros servicios.
8. Los emisores deben comunicar la aprobación de servicios que no son de auditoría.
9. Los emisores deben esperar un año antes de contratar a un integrante del equipo de auditoría para que se desempeñe como CEO, CFO, CAO o equivalente.
10. Los emisores deben financiar adecuadamente a los Comités de Auditoría.
9
Emisores (continuación)
11. Deben exponer las operaciones extracontables.
12. Deben conciliar la información pro forma con los PCGA y no deben omitir información que haga engañosa las exposiciones contables.
13. No pueden otorgar préstamos a los directores o funcionarios.
14. Deben exponer las operaciones que involucren a la gerencia y los principales accionistas.
15. Deben confeccionar informes anuales de control interno.
16. Deben exponer si han adoptado códigos de ética para sus altos funcionarios.
17. Deben comunicar la existencia de un “experto financiero” en el Comité de Auditoría.
18. Deben publicar información sobre “cambios significativos” en tiempo real.
19. La ley crea nueva sanciones penales por obstrucción de justicia debido a la destrucción de documentos.
10
Emisores (continuación)
20. La ley modifica la ley de quiebras en relación con las obligaciones por las violaciones de las leyes de títulos.
21. La ley extiende los plazos de prescripción para los casos de defraudaciones que involucren títulos valores.
22. La ley crea nuevas protecciones para empleados de las emisoras que denuncien ilícitos.
23. La ley crea nuevas sanciones penales por defraudar a los accionistas de empresas que hacen oferta pública de sus acciones.
24. La ley incrementa las sanciones para los delitos de “guante blanco”.
11
Comités de Auditoría
1. Pre-aprueba todos los servicios que no son de auditoría.
2. Tiene la capacidad de delegar la facultad de pre-aprobación.
3. Recibe informes periódicos del auditor sobre los tratamientos contables.
4. Es responsable de supervisar al auditor.
5. Es independiente del emisor.
6. Establece procedimientos para quejas y denuncias.
7. Tiene la facultad de contratar asesores.
8. Recibe informes de los abogados de la sociedad por las violaciones significativas a las leyes de títulos valores, o el incumplimiento de deberes fiduciarios.
12
Directorios / Funcionarios
1. El Directorio debe crear un Comité de Auditoría o asumir esas responsabilidades.
2. El CEO y el CFO deben certificar los informes contables.
3. Los funcionarios y directores tienen prohibido actuar engañosa y fraudulentamente ante los auditores.
4. CEO / CFO deben devolver las gratificaciones y ganancias si se produce un ajuste en resultados debido a conductas fraudulentas.
5. La SEC puede inhabilitar a Funcionarios y Directores “no idóneos”.
6. Los funcionarios y directores no pueden negociar durante los períodos de veda relacionados con pensiones.
7. El CEO y Gerente de Legales deben recibir informes de los abogados con pruebas sobre toda violación significativa de las leyes de títulos o el incumplimiento de deberes fiduciarios.
8. La ley da a la SEC capacidad para congelar transitoriamente la remuneración de los Funcionarios Societarios.
13
Firmas de contabilidad
1. Están sujetas a la supervisión de una nueva Junta de supervisión contable.
2. Deben inscribirse ante la Junta.3. Deben presentar informes
regularmente.4. Deben abonar honorarios a la Junta.5. Deben cumplir con las normas
profesionales.6. Deben cumplir con las normas de
control de calidad.7. Deben someterse a inspecciones de
control de calidad.
8. Las reglamentaciones de la Junta son aplicables a las firmas extranjeras.
9. Obtener el consentimiento de las firmas extranjeras ante los pedidos de la Junta cuando una firma local se base en la opinión de esas firmas extranjeras.
10. Investigaciones y acciones disciplinarias.
11. Pedidos de presentación de testimonios y documentos.
12. Sanciones de la Junta, incluida la suspensión.
14
Firmas de contabilidad (continuación)
13. Investigación penal estadual y federal si lo solicita la Junta.
14. Sanciones por falta de supervisión.15. Los integrantes del equipo de auditoría
deben esperar un año antes de aceptar empleo como CEO, CFO, CAO o equivalente en un cliente de auditoría.
16. Sanciones penales por la destrucción de los registros societarios de la auditoría.
17. Extensión de los plazos de prescripción para casos de defraudaciones con títulos valores.
18. Deben conservar documentos.19. Deben someter las auditorías a la
revisión de un segundo socio.20. Deben rotar a los socios de auditoría
cada cinco años.21. Deben cumplir con las normas de
prueba de los controles internos emitidas por la Junta.
22. Deben certificar las declaraciones de la Gerencia sobre controles internos.
23. Dejar de ofrecer servicios que no son de auditoría a los clientes de auditoría que hacen oferta pública.
15
Firmas de contabilidad (continuación)
24. Obtener la pre-aprobación del Comité de Auditoría por los servicios.25. Informar regularmente a los Comités de Auditoría sobre los tratamientos
contables.26. Responden ante el Comité de Auditoría, no ante la Gerencia.
16
Procedimientos de control interno para la emisión de información financiera - Secciones 302 y 404
• Sección 302– Exige que el CEO y el CFO certifiquen trimestral y anualmente la efectividad de los
controles y procedimientos de exposición, que incluyen los controles internos para un adecuado reporte de la información contable
– Aplicable a períodos que terminen después del 29 de agosto de 2002
• Sección 404– Exige que la sociedad documente y evalúe la efectividad de los controles y
procedimientos internos para un adecuado reporte de información contable.– Exige que el auditor externo certifique las afirmaciones de la gerencia incluidas en
el informe.– Aplicable a cierres de ejercicios fiscales Noviembre, 2004 o Abril, 2005,
dependiendo de tipo de emisor
17
Sección 302 – El CEO/CFO deben certificar trimestral y anualmente que:• El informe presentado a la SEC ha sido revisado.• El informe no contiene manifestaciones no veraces ni omite hechos significativos, necesarios para
que los estados contables no sean engañosos.• Los estados contables presentan razonablemente, en todos sus aspectos significativos, la situación
patrimonial, los resultados de sus operaciones y los flujos de efectivo.• Es responsable y ha diseñado, establecido, y mantenido Controles y Procedimientos de
Exposición (“C&PE”), así como que ha evaluado e informado sobre la efectividad de los controles y procedimientos, dentro de los 90 días de la fecha de presentación del informe.
• Se informaron al comité de auditoría y a los auditores las deficiencias y debilidades significativas de los controles internos, así como todo fraude (significativo o no) que involucre a alguna persona con un rol significativo en el control interno.
• Los cambios significativos en los controles internos que afecten los controles de períodos no sujetos a la revisión han sido informados en la certificación, incluidas las acciones correctivas con respecto a las deficiencias y debilidades significativas
Nota: Las certificaciones individuales mencionadas y los requisitos de exposición correspondientes tuvieron distintas fechas de entrada en vigencia a partir del 29 de agosto de 2002.
Sección 302 – Requisitos
18
Sección 404 – La gerencia debe evaluar los controles internos en forma anual
Manifestación sobre la responsabilidad de la gerencia de establecer y mantener una estructura de control interno y procedimientos adecuados para la emisión de información contable.
Manifestación identificando el marco de referencia usado para evaluar la efectividad del sistema de control interno de reporte financiero
La gerencia debe evaluar la efectividad de la estructura y procedimientos de control interno al cierre del ejercicio más reciente.
Manifestación de que la Firma que ha auditado los estados financieros, ha emitido a su vez un informe sobre la evaluación del control interno efectuada por la Gerencia de la emisora
Opinión del auditor externo
Sección 404 – Requisitos de emisión de información contable
19
– El auditor debe realizar pruebas sobre la estructura de control para confirmar su entendimiento de la efectividad de esa estructura.
El objetivo de los procedimientos de certificación de los auditores es brindar una opinión acerca de la integridad y exactitud de las afirmaciones de la gerencia, relacionadas con la efectividad de la estructura y procedimientos de control interno del emisor a cada fecha de emisión de información contable.
Sección 404 – Requisito de auditoría externa
20
El punto en común es obtener una conclusión sobre la efectividad de la estructura de control interno. La gerencia y los auditores deben acordar una definición de
“efectividad”
La gerencia y los auditores deben acordar una definición de significatividad
La gerencia y los auditores deben acordar los controles y procedimientos clave que deben ser efectivos para cumplir los objetivos de emisión de información contable.
Los procedimientos clave de control interno evaluados por los auditores en virtud de la sección 404 deben ser los mismos procedimientos revisados por el CEO/CFO en virtud de la sección 302.
Intersección de las secciones 302 y 404Intersección de las secciones 302 y 404
21
Marco general de riesgo
Controles y Procedimientos
de Exposición
Controles internos sobre la emisión de información
contable
¿Cómo se relacionan las secciones 302 y 404 con el marco general de riesgo?
Sección 302:“Certificación” Trimestral de la
Gerencia
Sección 302:“Certificación” Trimestral de la
Gerencia
Sección 404:“Evaluación” Anual
de la Gerencia y Certificación del
Auditor
Sección 404:“Evaluación” Anual
de la Gerencia y Certificación del
Auditor
Sarbanes OxleyAplicación de COSO & COBIT
23
Control Interno
Se define como el proceso efectuado por la Alta Administración y el resto de una entidad, diseñado
con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos
dentro de las siguientes categorías:
Se define como el proceso efectuado por la Alta Administración y el resto de una entidad, diseñado
con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos
dentro de las siguientes categorías:
Honestidad y responsabilidad
Honestidad y responsabilidad
Eficacia y eficiencia en las operaciones
Eficacia y eficiencia en las operaciones Confiabilidad de
la informaciónfinanciera
Confiabilidad de la información
financieraSalvaguardar los
RecursosSalvaguardar los
Recursos
Cumplimiento de las leyes y normasCumplimiento de
las leyes y normas
24
Aunque la Ley no da una definición de control interno, la adoptada por COSO ha sido aceptada por el gobierno de Estados Unidos y sus dependencias, ha sido incorporada a las normas de auditoría estadounidenses (AU 319) y es un marco integrado, generalmente aceptado, de la infraestructura de control.
Se define Control Interno como el proceso, realizado por el directorio y la gerencia de una sociedad, diseñado para dar un grado de seguridad razonable acerca del cumplimiento de los objetivos de negocio en las siguientes categorías:
• Efectividad y eficiencia de las operaciones
• Confiabilidad en la emisión de la información contable
• Cumplimiento con las leyes, normas y regulaciones aplicables
COSO es un marco integrado para control interno que, cuando se implementa, brinda una base para establecer una estructura de control que cumple con los requisitos de la
Sección 302.
COSO identifica cinco componentes de control que deben implementarse e integrarse para asegurar el cumplimiento de cada uno de los objetivos.
Marco de control interno
25
Actividades de control
• Políticas y procedimientos que aseguran que se cumplen las directivas de la dirección.
• Rango de actividades que incluyen aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de desempeño, salvaguarda de activos y segregación de funciones.
Monitoreo
• Evaluación del funcionamiento del sistema de control en el tiempo.
• Combinación de evaluaciones puntuales y recurrentes.
• Actividades de dirección y supervisión.
• Actividades de auditoría interna. Ambiente general de control
• Fija las pautas de la organización que ejercen influencia sobre la conciencia de la gente.
• Los factores incluyen integridad, valores éticos, competencia, autoridad, responsabilidad.
• Base de los demás componentes de control.
Información y comunicación
• Se identifica, captura y comunica la información adecuada en forma oportuna.
• Acceso a información generada interna y externamente.
• Flujo de información que permite acciones de control exitosas, que van desde instrucciones relacionadas con responsabilidades hasta resúmenes de observaciones de las acciones de la dirección.
Evaluación de riesgos
• La evaluación de riesgos es la identificación y análisis de los riesgos significativos para lograr los objetivos del ente y formar la base para determinar las actividades de control.
Los cinco componentes deben implementarse para lograr un control
efectivo.
Marco de control COSO
26
Consideraciones de control interno cubiertas por la Sección 404 de la ley Sarbanes Oxley
¿Cuál es el alcance de control para las secciones 302 y 404?
Diagrama basado en las normas de auditoría del AICPA AU319,
Definición de control interno (Párrafo .13)
Cumpl
imie
nto
Opera
cion
es
Emisi
ón d
e
info
rmac
ión
cont
able
FUNCIONES
UNIDAD-NEGOC Io
Ambiente general de control
Evaluación de riesgos
Actividades de control
Información y comunicaciones
Monitoreo
Alcance de la práctica para las secciones 404 y 302 de la ley SO
Dato clave• Las principales empresas utilizan el requerimiento de la sección 404 como
catalizador para revisar su modelo integral de riesgo.
27
Control Interno sobre Emisión de Información Contable
• La regla final de la Sección 404 define el “Control Interno sobre Emisión de Información Contable” como el proceso diseñado por, o bajo supervisión de, el Ejecutivo Máximo y el Ejecutivo Financiero Principal, efectivizado por el Directorio, la Gerencia y otro personal, con el fin de brindar una seguridad razonable sobre la confiabilidad de la información contable y financiera, incluyendo los estados financieros preparados de acuerdo con principios de contabilidad generalmente aceptados.
28
Control Interno sobre Emisión de Información Contable – Marco de Referencia
• La regla final de la sección 404 establece que la evaluación que hace la Gerencia debe asentarse en un marco de referencia apropiado y universalmente reconocido
• La SEC reconoce que COSO cumple con los requerimientos de la regla final (en US sería el único) pero no es obligatorio
• El reporte COCO (Canadá) y el reporte Turnbull (UK) son también marcos de referencia que cubren los requerimientos de la norma
Sarbanes OxleyMetodología de Cumplimiento
30
Áreas involucradas
Business Processes ITGC
Entity Level Assessment
31
Metodología de Cumplimiento
InformeProbar y Monitorear Controles
Preparar Documentación y Evaluar Controles
Alcance del Proyecto
Fases de Evaluación:
Informe de laGerenciasobreControlInterno
Evaluar la Eficacia General, Identificar Asuntos que Necesiten Mejora, y Establecer Sistemas de Monitoreo
Comprender y Evaluar el Control Interno a Niveles de Proceso, Transacción o Aplicación
Evaluar el Control Interno a Nivel de Empresa
Organizar un Equipo de Proyecto para Conducir la Evaluación
Comprender la Definición de Control Interno
Organizar proceso, equipo, oportunidad del proyecto
Organizar proceso, equipo, oportunidad del proyecto
Oportunidad:
Enfoque:
• La definición en el Informe de COSO es el mejor punto de partida para la evaluación.
• Seleccionar un equipo apropiado y establecer reglas de procedimiento.
• Comenzar la evaluación considerando el control interno a nivel de empresa.
• Este es un proceso de documentación integral y comprensión de los flujos de transacciones y controles relacionados que demanda mucho tiempo.
• El paso final es hacer una evaluación general basada en los resultados.
• Desarrollar un proceso de monitoreo.
Preparar documentación, conducir pruebas detalladas y corregir deficiencias de control
Examen por el Auditor delas Aseveraciones de la
Gerencia
32
Metodología de Cumplimiento
Flujograma
Narrativa
Matriz de Riesgos y Controles
Segregación de Funciones
Recorridos
Evaluación del Diseño de los Controles:
•¿Se han identificado todos los riesgos relevantes?
•¿Se han identificado todos los controles relevantes?
•¿Los controles identificados cubren los riesgos?
•¿Hay alguna deficiencia en los controles?
•¿Cuáles de los controles son clave?
•¿Están diseñados efectivamente los controles? ¿Los controles establecidos son efectivos para mitigar los riesgos?
•¿Contamos con controles robustos?¿Podemos confiar en ellos?.
•La documentación describe con precisión los procesos, los riesgos y los controles asociados?.
Identificación y Evaluación de
Deficiencias para Remediación
Resultados Clave
Resumen de Controles Clave
para Pruebas (Testing)
Documentación Disponible para
Revisión y Aseguramiento de
Calidad
Documentación
33
Controles a Nivel de Proceso, Transacción o Aplicación
CuentasSignificativas
Aseveracionesde Estados Financierosde la Gerencia
?Riesgos ControlesProcesos
Significativos
Riesgos Inherentey de Negocios
Clave
2003
FinancialStatements
EstadosFinancieros
Documentación bajo la Sarbanes-Oxley Act Section 404
Management
Report on
Internal
Control
Informe
ImplicacionesFinancieras
Cuentas Seleccionadas se Basan en:• Errores de importancia*• Tamaño y composición• Susceptibilidad a manipulación o pérdida• Alto volumen de transacciones• Complejidad de transacciones• Subjetividad para determinar saldo de cuentas• Naturaleza de la cuenta
• Existencia (B/S) u Ocurrencia (I/S)
• Integridad• Valuación (B/S) o
Medición (I/S)• Derechos y
Obligaciones (B/S)
Tipos:• Flujos de transacciones
• Rutinarias• No-rutinarias• Estimación
• Procesos de IT• Procesos de Negocios• Proceso de Cierre de
Estados Financieros (Aseveración de Presentación y Revelación)
Para Cada Aseveración Pregunte:
• Dónde están los puntos en el flujo de transacciones donde pueden ocurrir errores?
• Ejemplo: Cuentas: Efectivo o Ctas por PagarProceso: DesembolsosAseveración: ValuaciónCuáles son los procedimientos manuales y programados que aseguran que el monto de un cheque o una transferencia concuerda con el monto aprobado para pago?
Factores en Evaluación:• Competencia, integridad del
personal que ejecuta el control; grado de supervisión; alcance de rotación de empleados
• Potencial de abuso (override) de la gerencia
• Falta de segregación de funciones, incluso dentro de las aplicaciones del computador
• Efecto de cambios en controles
• Otros riesgos específicos
Detección: Monitorea en busca de errores
Prevención: Previene un error
Quién Ejecuta?
Control Programado?• Identificar el sistema
procesador
Evaluar/Monitorear
Implicacionesen Procesos
Sarbanes OxleyEvaluación de Control Interno a Nivel de Entidad
35
Evaluación de Control Interno a Nivel de EntidadPuntos a Considerar
Evaluaciones periódicas de control interno Implementación de recomendaciones de mejoramiento Funciones de auditoría interna efectivas para supervisión
Existencia de políticas y procedimientos Objetivos financieros claros con las respectivas actividades de supervisión Segregación de funciones Comparaciones periódicas de libros versus real Adecuada salvaguarda de documentos, registros y activos Controles de Acceso
Reportes de desempeño adecuados Conectados con la estrategia de negocio Compromiso de la organización para desarrollar, probar y supervisar la
operación de los sistemas de IT y de sus controles relacionados. Planes de continuidad de negocio / prevención de desastres para IT
Proceso de Evaluación de Riesgo Mecanismos para anticipar, identificar y reaccionar ante hechos
significativos Políticas y Procedimientos para identificar cambios en los PCGA,
prácticas de negocio y control interno
Integridad, valores éticos y comportamiento de los ejecutivos clave Conciencia de control de la gerencia y estilo operativo Compromiso de la gerencia a ser competente Participación de la junta directiva y/o comité de auditoria en el gobierno Estructura organizacional, autoridad y responsabilidad Políticas y prácticas de Recursos Humanos
Area
Ambiente de ControlAmbiente de Control
Evaluación de RiesgosEvaluación de Riesgos
Información y ComunicaciónInformación y Comunicación
Actividades de ControlActividades de Control
MonitoreoMonitoreo
36
Entorno de Control
El entorno de control refleja la pauta fijada por la alta gerencia y la actitud general, la conciencia y las acciones de la junta directiva, la gerencia, los dueños y otros, con respecto a la importancia del control interno y el énfasis puesto sobre el control en las políticas, procedimientos, métodos y estructura organizacional de la compañía. Esto es el fundamento para todos los otros componentes del control interno, que proveen disciplina y estructura
• Integridad, valores éticos y comportamiento de los ejecutivos clave
• Conciencia de control de la gerencia y estilo operativo
• Compromiso de la gerencia a ser competente
• Participación de la junta directiva y/o comité de auditoria en el gobierno (governance) y la vigilancia
• Estructura organización y asignación de autoridad y responsabilidades
• Políticas y prácticas de recursos humanos
37
Evaluación de Riesgos
La evaluación de riesgos es la identificación y análisis de riesgos relevantes (tanto internos como externos) al logro de los objetivos, formando una base para determinar como los riesgos deben ser administrados
• Se han establecido y comunicado objetivos a nivel de empresa, incluyendo como están apoyados por planes estratégicos y complementados a nivel de proceso / aplicación. Se ha establecido un proceso de evaluación de riesgo, incluyendo la estimación de la importancia de los riesgos, la evaluación de la probabilidad de su ocurrencia, y la determinación de las acciones necesarias a seguir.
• Existen mecanismos para anticipar, identificar y reaccionar a los cambios que pudieran tener un efecto dramático y dominante de la empresa (Ej: el comité de administración de activos/pasivos en una institución financiera, el grupo de administración de riesgos de comercialización de “commodities” en una empresa manufacturera) o que pudiera afectar el logro de los objetivos de la empresa o de niveles de procesos/aplicaciones.
• El departamento de contabilidad tiene procesos establecidos para: 1. Identificar cambios en los principios de contabilidad generalmente aceptados (PCGA) promulgados por los organismos con autoridad
relevantes.2. Notificar al departamento de contabilidad de cambios en las prácticas de negocio de la compañía que puedan afectar el método ó los
procesos de registrar transacciones.3. Identificar cambios significativos en el control interno o el entorno operativo, incluyendo cambios que resulten en nuevas regulaciones o
cambios en estas
38
Información y Comunicación
Los sistemas de información y comunicación apoyan la identificación, captura e intercambio de información en una forma y oportunidad que permiten a la gerencia y a otro personal apropiado a cumplir con sus responsabilidades.
Información
• Los sistemas de información proveen a la gerencia los reportes necesarios para el desempeño de la empresa en relación a los objetivos establecidos, incluyendo información interna y externa relevante y proporcionan la información a la gente apropiada con el detalle necesario y a tiempo, para permitirles cumplir con sus responsabilidades eficaz y eficientemente.
• Los sistemas de información son desarrollados o revisados en base al plan estratégico que está interrelacionado con los sistemas de información generales de la empresa y responden al logro de los objetivos a nivel de empresa y a nivel de proceso/aplicaciones.
• La gerencia destina los recursos humanos y financieros apropiados para desarrollar los sistemas de información necesarios y asegura y supervisa a los usuarios que participan en el desarrollo (incluyendo revisiones) y prueba de los programas.
• La gerencia a establecido un plan de continuidad del negocio / recuperación de desastres para todos los centros primarios de información
39
Información y Comunicación (continuación)
Los sistemas de información y comunicación apoyan la identificación, captura e intercambio de información en una forma y oportunidad que permiten a la gerencia y a otro personal apropiado a cumplir con sus responsabilidades.
Comunicación
• La gerencia comunica los deberes y responsabilidades de control de los empleados de una manera eficaz y ha establecido canales de comunicación para que la gente reporte situaciones que se sospeche son impropias.
• Existe una adecuada comunicación a través de la organización que permite a la gente cumplir con su responsabilidad eficazmente y la gerencia toma acciones de seguimiento oportuna y apropiadamente sobre las comunicaciones recibidas de clientes, proveedores, reguladores u otras partes externas.
40
Actividades de Control
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que las directrices de la gerencia sean cumplidas
• Existen políticas y procedimientos necesarios con respecto a que cada una de las actividades de la empresa y los controles señalados por la política están siendo aplicados.
• La gerencia tiene objetivos claros en términos de presupuesto, utilidades y otras metas financieras y de operación y estos objetivos están claramente escritos, y son comunicados a toda la empresa y activamente monitoreados. Han sido implementados sistemas de planificación y de reporte para identificar variaciones en el rendimiento planificado y comunicar estas variaciones al nivel apropiado de la gerencia. El nivel de la gerencia apropiado investiga las variaciones y toma acciones correctivas apropiadas y oportunas.
• Los deberes son lógicamente divididos o segregados (manualmente o a través de la implementación de aplicaciones de tecnología de información (IT) apropiadas) entre diferentes personas para reducir el riesgo de fraude o de acciones impropias.
41
Actividades de Control (continuación)
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que las directrices de la gerencia sean cumplidas
• Se realizan comparaciones periódicas de montos registrados en el sistema de contabilidad con activos físicos. Existen adecuados resguardos para prevenir acceso no autorizado o la destrucción de documentos, registros y activos.
• Se han establecido políticas para controlar el acceso a programas y archivos de datos. Se usa software de seguridad de acceso, software de sistema operativo y/o software de aplicaciones para controlar el acceso a programas de datos. Existe una función de seguridad de información y es responsable de monitorear el cumplimiento de las políticas y procedimientos de seguridad de información
Sarbanes OxleyAseveraciones Financieras y Controles a Nivel de Proceso, Transacción y Aplicación
43
Controles a Nivel de Proceso, Transacción o Aplicación
CuentasSignificativas
Aseveracionesde Estados Financierosde la Gerencia
?Riesgos ControlesProcesos
Significativos
Riesgos Inherentey de Negocios
Clave
2003
FinancialStatements
EstadosFinancieros
Documentación bajo la Sarbanes-Oxley Act Section 404
Management
Report on
Internal
Control
Informe
ImplicacionesFinancieras
Cuentas Seleccionadas se Basan en:• Errores de importancia*• Tamaño y composición• Susceptibilidad a manipulación o pérdida• Alto volumen de transacciones• Complejidad de transacciones• Subjetividad para determinar saldo de cuentas• Naturaleza de la cuenta
• Existencia (B/S) u Ocurrencia (I/S)
• Integridad• Valuación (B/S) o
Medición (I/S)• Derechos y
Obligaciones (B/S)
Tipos:• Flujos de transacciones
• Rutinarias• No-rutinarias• Estimación
• Procesos de IT• Procesos de Negocios• Proceso de Cierre de
Estados Financieros (Aseveración de Presentación y Revelación)
Para Cada Aseveración Pregunte:
• Dónde están los puntos en el flujo de transacciones donde pueden ocurrir errores?
• Ejemplo: Cuentas: Efectivo o Ctas por PagarProceso: DesembolsosAseveración: ValuaciónCuáles son los procedimientos manuales y programados que aseguran que el monto de un cheque o una transferencia concuerda con el monto aprobado para pago?
Factores en Evaluación:• Competencia, integridad del
personal que ejecuta el control; grado de supervisión; alcance de rotación de empleados
• Potencial de abuso (override) de la gerencia
• Falta de segregación de funciones, incluso dentro de las aplicaciones del computador
• Efecto de cambios en controles
• Otros riesgos específicos
Detección: Monitorea en busca de errores
Prevención: Previene un error
Quién Ejecuta?
Control Programado?• Identificar el sistema
procesador
Evaluar/Monitorear
Implicacionesen Procesos
44
Aseveraciones financieras
Ocurrencia Balance General Estado de Resultados
Una transacción o evento realmente tuvo lugar durante el periodo.
Presentación y Revelación Balance General Estado de Resultados
Una partida está clasificada, descrita y revelada de conformidad con la estructura de información financiera que le es aplicable.
Exactitud Balance General Estado de Resultados
Una transacción o un evento está registrado en un importe apropiado y el ingreso o gasto está atribuido en el período apropiado.
8 aseveraciones de la gerencia a los estados financieros
Derechos y Obligaciones Balance General Estado de ResultadosUn activo o un pasivo pertenece a la compañía en una fecha determinada.
Integridad Balance General Estado de Resultados No hay activos, pasivos, transacciones o eventos no registrados, ni partidas no reveladas.
Valuación Balance General Estado de ResultadosUn activo o pasivo es registrado al valor apropiado en libros.
Existencia Balance General Estado de Resultados
Existe un activo o un pasivo en una fecha determinada.
Salvaguardia de Activos Balance General Estado de Resultados
La compañía tiene procesos y controles para razonablemente prevenir y detectar fraudes.
45
Cuentas Significativas
• El punto de partida para el proceso de identificación de los procesos significativos sobre los cuales se aplican los controles internos es identificar las cuentas significativas a nivel de revelación en los rubros o las notas de los estados financieros consolidados
CuentasSignificativas
Cuentas Seleccionadas se Basan en:•Errores de importancia*•Tamaño y composición•Susceptibilidad a manipulación o pérdida•Alto volumen de transacciones•Complejidad de transacciones•Subjetividad para determinar saldo de cuentas•Naturaleza de la cuenta
46
Cuentas Significativas (continuación)
47
Clases Mayores de Transacciones y Procesos Relacionados
• Después de identificar las cuentas significativas, se deberá identificar las clases mayores de transacciones, los procesos significativos y las actividades contables y controles relacionados que afectan esas cuentas. Los procesos significativos y las actividades contables relacionadas son aquellos que están involucrados en el procesos de las clases mayores de transacciones (Ej.: Ventas, Compras) que afectan cuentas o grupos de cuentas significativas. Las actividades contables también incluyen actividades para desarrollar y registrar estimaciones contables clave o para completar el proceso de cierre de estados financieros al fin de cada período contable
ProcesosSignificativos
Tipos:•Flujos de transacciones
•Rutinarias•No-rutinarias•Estimación
•Procesos de IT•Procesos de Negocios•Proceso de Cierre de Estados Financieros (Aseveración de Presentación y Revelación)
48
Clases Mayores de Transacciones y Procesos Relacionados
49
Riesgos “Que puede fallar”
• Considerar los tipos de errores que puedan ocurrir a nivel de procesos, transacción o aplicación es un paso clave para asegurar que se enfoca apropiadamente aquellos controles relevantes que están diseñados eficazmente para prevenir y detectar errores de importancia o fraude. Se necesita determinar el nivel de detalle adecuado con base en los riesgos de información financiera relacionados con cada procesos significativo que está siendo evaluado, y su relativa importancia para los estados financieros en general (errores relativamente pequeños en procesos globales de la empresa podrían tener efectos potenciales graves, mientras errores potenciales mayores en procesos aislados o menos significativos pueden o no tener los mismos efectos).
?
Riesgos
Para Cada Aseveración Pregunte:•Dónde están los puntos en el flujo de transacciones donde pueden ocurrir errores?
•Ejemplo: Cuentas: Efectivo o Cuentas por PagarProceso: DesembolsosAseveración: ValuaciónCuáles son los procedimientos manuales y programados que aseguran que el monto de un cheque o una transferencia concuerda con el monto aprobado para pago?
50
Riesgos en Aseveraciones financieras
Ocurrencia Balance General Estado de Resultados
Una transacción o evento realmente tuvo lugar durante el periodo.
Presentación y Revelación Balance General Estado de Resultados
Una partida está clasificada, descrita y revelada de conformidad con la estructura de información financiera que le es aplicable.
Exactitud Balance General Estado de Resultados
Una transacción o un evento está registrado en un importe apropiado y el ingreso o gasto está atribuido en el período apropiado.
8 aseveraciones de la gerencia a los estados financieros
Derechos y Obligaciones Balance General Estado de ResultadosUn activo o un pasivo pertenece a la compañía en una fecha determinada.
Integridad Balance General Estado de Resultados No hay activos, pasivos, transacciones o eventos no registrados, ni partidas no reveladas.
Valuación Balance General Estado de ResultadosUn activo o pasivo es registrado al valor apropiado en libros.
Existencia Balance General Estado de Resultados
Existe un activo o un pasivo en una fecha determinada.
Salvaguardia de Activos Balance General Estado de Resultados
La compañía tiene procesos y controles para razonablemente prevenir y detectar fraudes.
51
Riesgos
52
Controles
• En este punto, se debe considerar los controles sobre cada proceso significativo que contemplan los riesgos para las aseveraciones relevantes. El objetivo es identificar los controles que proporcionan seguridad razonable de que los errores relativos a cada una de las aseveraciones relevantes de los estados financieros son prevenidos, o que cualquier error que ocurra durante el procesamiento son detectados y corregidos
Controles
Detección: Monitorea en busca de erroresPrevención: Previene un errorQuién Ejecuta?
Control Programado?•Identificar el sistema procesador
53
Controles
54
Pasos Siguientes
• La finalización de la documentación del control interno a nivel de empresa y los controles internos a nivel de proceso, transacción o aplicación proporcionará al equipo a cargo del proyecto la información necesaria para evaluar la eficacia integral de los controles en la fase final de la metodología
Management
Report on
Internal
Control
InformeEvaluar/Monitorear
Factores en Evaluación:•Competencia, integridad del personal que ejecuta el control; grado de supervisión; alcance de rotación de empleados
•Potencial de abuso (override) de la gerencia•Falta de segregación de funciones, incluso dentro de las aplicaciones del computador
•Efecto de cambios en controles•Otros riesgos específicos
Sarbanes OxleyTeoría de Riesgos y Controles
56
Tipos de controles
• Preventivos– Procedimientos relacionados para prevenir un error o fraude– Aplicados a nivel de transacción sencilla
• Detectivos– Políticas y procedimientos diseñados para monitorear el logro de los objetivos
relevantes del proceso, incluyendo la identificación de errores o fraude.– Aplicados a grupos de transacciones
57
Terminología de Control
• Manual – Preventivo• Manual – Detectivo• IT – Manual Dependiente• Automático
58
Puntos de Control
• Iniciación
• Autorización
• Registro
• Procesos
• Reporte
59
Controles Generales de IT
• Cambios a Programa – Los controles de aplicación han operado efectivamente a través del periodo
• Seguridades de Acceso – La información generada por las aplicaciones es confiable
• Seguridad de Aplicación – – Restricción a transacciones individuales, parametrización, niveles de autorización o
acceso a información específica– Unicamente personas y aplicaciones autorizadas tienen acceso a datos y
solamente para ejecutar funciones definidas específicamente
60
Otros conceptos de Control
• Segregación de funciones y fraude
• Políticas y procedimientos relacionados con::– Niveles de autorización– Salvaguarda de activos– Responsabilidad sobre activos (accountability)
61
Tipos de Control
• Autorización• Configuración / Control de Mapeo de Cuentas• Reportes de Excepción• Controles de Interfases• Indicadores de Desempeño• Revisiones Gerenciales• Conciliaciones• Accesos a Sistema
Sarbanes OxleyPrincipios de Recorridos & Pruebas de Cumplimiento
63
Pruebas de Cumplimiento
Naturaleza del Control y Frecuencia de las Pruebas
Número Mínimo de Ítems a Revisar
Control Manual, Múltiples Veces al Día Al menos 25
Control Manual, Diario Al menos 25
Control Manual, Frecuentemente pero menor a diario 25% de las ocurrencias ó al menos 25
Control Manual, Semanalmente Al menos 10
Control Manual, Mensualmente A, menos 3
Control Manual, Trimestral Al menos 2
Control Manual, Anual Probar anualmente
Controles Automáticos Probar una vez cada control automático por cada tipo de transacción si está soportada por controles generales efectivos de IT (Previamente Probados), De otro manera probar al menos 25
Sarbanes OxleyTaller: Identificación de Riesgos y Controles