Ley Sarbanes OxleyAgregando Valor a través de la Transparencia

2

Agenda

Viernes (7:00 PM – 10:00 PM)1. Introducción a Sarbanes Oxley2. Aspectos Generales de la Ley Sarbanes Oxley3. COSO – Aplicado a Sarbanes Oxley4. Metodología de Cumplimiento5. Evaluación de Control Interno a Nivel de Entidad

Sábado (8:00 AM – 10:00 AM)6. Aseveraciones Financieras y Controles a Nivel de Proceso, Transacción o

Aplicación7. Teoría de Riesgos y Controles8. Principios de Recorridos & Pruebas de Cumplimiento9. Identificación y Documentación de Riesgos y Controles

Sábado (10:00 AM – 12:00 AM)10. Taller – Identificación & Documentación de Riesgos y Controles

Sarbanes OxleyIntroducción

4

Ley Sarbanes Oxley

• Porqué Sarbanes Oxley?– Enron – shock!– WorldCom – action!!– Reestablecer la confianza de los

Inversionistas– Aumentar la transparencia

5

Ley Sarbanes Oxley

Nuevas regulaciones legales / criminales relacionadas con la conducta corporativa.

Nuevo ente de control contable en los Estados Unidos (Public Company Accounting Oversight Board)

Reformas mandatorias relacionadas con el gobierno corporativo

Fortalece el rol e independencia de los comités de auditoría

Nuevas restricciones de independencia para el auditor

Crea nuevos requerimientos de reporte financiero para los emisores

6

Objetivos

Responsabilizar a la gerencia de la administación y conducta de sus empresas

Mejorar el gobierno corporativo

Incrementar la vigilancia y supervisión de las firmas de contabilidad y auditoría

Restaurar la confianza de los mercados de capitales

Sarbanes OxleyAspectos Generales

8

Emisores

1. Estarán sujetos a la ley.2. Deberán establecer Comités de

Auditoría. 3. La Junta puede exigir

declaraciones y papeles de trabajo de auditoría relacionados con un emisor.

4. Los emisores serán responsables por asociarse con auditores suspendidos o dados de baja.

5. Los emisores financiarán las operaciones de la Junta y del FASB.

6. El emisor no puede contratar a su auditor para prestar nueve servicios específicos que no son de auditoría.

7. El comité de auditoría del emisor debe pre-aprobar todos los servicios de auditoría y otros servicios.

8. Los emisores deben comunicar la aprobación de servicios que no son de auditoría.

9. Los emisores deben esperar un año antes de contratar a un integrante del equipo de auditoría para que se desempeñe como CEO, CFO, CAO o equivalente.

10. Los emisores deben financiar adecuadamente a los Comités de Auditoría.

9

Emisores (continuación)

11. Deben exponer las operaciones extracontables.

12. Deben conciliar la información pro forma con los PCGA y no deben omitir información que haga engañosa las exposiciones contables.

13. No pueden otorgar préstamos a los directores o funcionarios.

14. Deben exponer las operaciones que involucren a la gerencia y los principales accionistas.

15. Deben confeccionar informes anuales de control interno.

16. Deben exponer si han adoptado códigos de ética para sus altos funcionarios.

17. Deben comunicar la existencia de un “experto financiero” en el Comité de Auditoría.

18. Deben publicar información sobre “cambios significativos” en tiempo real.

19. La ley crea nueva sanciones penales por obstrucción de justicia debido a la destrucción de documentos.

10

Emisores (continuación)

20. La ley modifica la ley de quiebras en relación con las obligaciones por las violaciones de las leyes de títulos.

21. La ley extiende los plazos de prescripción para los casos de defraudaciones que involucren títulos valores.

22. La ley crea nuevas protecciones para empleados de las emisoras que denuncien ilícitos.

23. La ley crea nuevas sanciones penales por defraudar a los accionistas de empresas que hacen oferta pública de sus acciones.

24. La ley incrementa las sanciones para los delitos de “guante blanco”.

11

Comités de Auditoría

1. Pre-aprueba todos los servicios que no son de auditoría.

2. Tiene la capacidad de delegar la facultad de pre-aprobación.

3. Recibe informes periódicos del auditor sobre los tratamientos contables.

4. Es responsable de supervisar al auditor.

5. Es independiente del emisor.

6. Establece procedimientos para quejas y denuncias.

7. Tiene la facultad de contratar asesores.

8. Recibe informes de los abogados de la sociedad por las violaciones significativas a las leyes de títulos valores, o el incumplimiento de deberes fiduciarios.

12

Directorios / Funcionarios

1. El Directorio debe crear un Comité de Auditoría o asumir esas responsabilidades.

2. El CEO y el CFO deben certificar los informes contables.

3. Los funcionarios y directores tienen prohibido actuar engañosa y fraudulentamente ante los auditores.

4. CEO / CFO deben devolver las gratificaciones y ganancias si se produce un ajuste en resultados debido a conductas fraudulentas.

5. La SEC puede inhabilitar a Funcionarios y Directores “no idóneos”.

6. Los funcionarios y directores no pueden negociar durante los períodos de veda relacionados con pensiones.

7. El CEO y Gerente de Legales deben recibir informes de los abogados con pruebas sobre toda violación significativa de las leyes de títulos o el incumplimiento de deberes fiduciarios.

8. La ley da a la SEC capacidad para congelar transitoriamente la remuneración de los Funcionarios Societarios.

13

Firmas de contabilidad

1. Están sujetas a la supervisión de una nueva Junta de supervisión contable.

2. Deben inscribirse ante la Junta.3. Deben presentar informes

regularmente.4. Deben abonar honorarios a la Junta.5. Deben cumplir con las normas

profesionales.6. Deben cumplir con las normas de

control de calidad.7. Deben someterse a inspecciones de

control de calidad.

8. Las reglamentaciones de la Junta son aplicables a las firmas extranjeras.

9. Obtener el consentimiento de las firmas extranjeras ante los pedidos de la Junta cuando una firma local se base en la opinión de esas firmas extranjeras.

10. Investigaciones y acciones disciplinarias.

11. Pedidos de presentación de testimonios y documentos.

12. Sanciones de la Junta, incluida la suspensión.

14

Firmas de contabilidad (continuación)

13. Investigación penal estadual y federal si lo solicita la Junta.

14. Sanciones por falta de supervisión.15. Los integrantes del equipo de auditoría

deben esperar un año antes de aceptar empleo como CEO, CFO, CAO o equivalente en un cliente de auditoría.

16. Sanciones penales por la destrucción de los registros societarios de la auditoría.

17. Extensión de los plazos de prescripción para casos de defraudaciones con títulos valores.

18. Deben conservar documentos.19. Deben someter las auditorías a la

revisión de un segundo socio.20. Deben rotar a los socios de auditoría

cada cinco años.21. Deben cumplir con las normas de

prueba de los controles internos emitidas por la Junta.

22. Deben certificar las declaraciones de la Gerencia sobre controles internos.

23. Dejar de ofrecer servicios que no son de auditoría a los clientes de auditoría que hacen oferta pública.

15

Firmas de contabilidad (continuación)

24. Obtener la pre-aprobación del Comité de Auditoría por los servicios.25. Informar regularmente a los Comités de Auditoría sobre los tratamientos

contables.26. Responden ante el Comité de Auditoría, no ante la Gerencia.

16

Procedimientos de control interno para la emisión de información financiera - Secciones 302 y 404

• Sección 302– Exige que el CEO y el CFO certifiquen trimestral y anualmente la efectividad de los

controles y procedimientos de exposición, que incluyen los controles internos para un adecuado reporte de la información contable

– Aplicable a períodos que terminen después del 29 de agosto de 2002

• Sección 404– Exige que la sociedad documente y evalúe la efectividad de los controles y

procedimientos internos para un adecuado reporte de información contable.– Exige que el auditor externo certifique las afirmaciones de la gerencia incluidas en

el informe.– Aplicable a cierres de ejercicios fiscales Noviembre, 2004 o Abril, 2005,

dependiendo de tipo de emisor

17

Sección 302 – El CEO/CFO deben certificar trimestral y anualmente que:• El informe presentado a la SEC ha sido revisado.• El informe no contiene manifestaciones no veraces ni omite hechos significativos, necesarios para

que los estados contables no sean engañosos.• Los estados contables presentan razonablemente, en todos sus aspectos significativos, la situación

patrimonial, los resultados de sus operaciones y los flujos de efectivo.• Es responsable y ha diseñado, establecido, y mantenido Controles y Procedimientos de

Exposición (“C&PE”), así como que ha evaluado e informado sobre la efectividad de los controles y procedimientos, dentro de los 90 días de la fecha de presentación del informe.

• Se informaron al comité de auditoría y a los auditores las deficiencias y debilidades significativas de los controles internos, así como todo fraude (significativo o no) que involucre a alguna persona con un rol significativo en el control interno.

• Los cambios significativos en los controles internos que afecten los controles de períodos no sujetos a la revisión han sido informados en la certificación, incluidas las acciones correctivas con respecto a las deficiencias y debilidades significativas

Nota: Las certificaciones individuales mencionadas y los requisitos de exposición correspondientes tuvieron distintas fechas de entrada en vigencia a partir del 29 de agosto de 2002.

Sección 302 – Requisitos

18

Sección 404 – La gerencia debe evaluar los controles internos en forma anual

Manifestación sobre la responsabilidad de la gerencia de establecer y mantener una estructura de control interno y procedimientos adecuados para la emisión de información contable.

Manifestación identificando el marco de referencia usado para evaluar la efectividad del sistema de control interno de reporte financiero

La gerencia debe evaluar la efectividad de la estructura y procedimientos de control interno al cierre del ejercicio más reciente.

Manifestación de que la Firma que ha auditado los estados financieros, ha emitido a su vez un informe sobre la evaluación del control interno efectuada por la Gerencia de la emisora

Opinión del auditor externo

Sección 404 – Requisitos de emisión de información contable

19

– El auditor debe realizar pruebas sobre la estructura de control para confirmar su entendimiento de la efectividad de esa estructura.

El objetivo de los procedimientos de certificación de los auditores es brindar una opinión acerca de la integridad y exactitud de las afirmaciones de la gerencia, relacionadas con la efectividad de la estructura y procedimientos de control interno del emisor a cada fecha de emisión de información contable.

Sección 404 – Requisito de auditoría externa

20

El punto en común es obtener una conclusión sobre la efectividad de la estructura de control interno. La gerencia y los auditores deben acordar una definición de

“efectividad”

La gerencia y los auditores deben acordar una definición de significatividad

La gerencia y los auditores deben acordar los controles y procedimientos clave que deben ser efectivos para cumplir los objetivos de emisión de información contable.

Los procedimientos clave de control interno evaluados por los auditores en virtud de la sección 404 deben ser los mismos procedimientos revisados por el CEO/CFO en virtud de la sección 302.

Intersección de las secciones 302 y 404Intersección de las secciones 302 y 404

21

Marco general de riesgo

Controles y Procedimientos

de Exposición

Controles internos sobre la emisión de información

contable

¿Cómo se relacionan las secciones 302 y 404 con el marco general de riesgo?

Sección 302:“Certificación” Trimestral de la

Gerencia

Sección 302:“Certificación” Trimestral de la

Gerencia

Sección 404:“Evaluación” Anual

de la Gerencia y Certificación del

Auditor

Sección 404:“Evaluación” Anual

de la Gerencia y Certificación del

Auditor

Sarbanes OxleyAplicación de COSO & COBIT

23

Control Interno

Se define como el proceso efectuado por la Alta Administración y el resto de una entidad, diseñado

con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos

dentro de las siguientes categorías:

Se define como el proceso efectuado por la Alta Administración y el resto de una entidad, diseñado

con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos

dentro de las siguientes categorías:

Honestidad y responsabilidad

Honestidad y responsabilidad

Eficacia y eficiencia en las operaciones

Eficacia y eficiencia en las operaciones Confiabilidad de

la informaciónfinanciera

Confiabilidad de la información

financieraSalvaguardar los

RecursosSalvaguardar los

Recursos

Cumplimiento de las leyes y normasCumplimiento de

las leyes y normas

24

Aunque la Ley no da una definición de control interno, la adoptada por COSO ha sido aceptada por el gobierno de Estados Unidos y sus dependencias, ha sido incorporada a las normas de auditoría estadounidenses (AU 319) y es un marco integrado, generalmente aceptado, de la infraestructura de control.

Se define Control Interno como el proceso, realizado por el directorio y la gerencia de una sociedad, diseñado para dar un grado de seguridad razonable acerca del cumplimiento de los objetivos de negocio en las siguientes categorías:

• Efectividad y eficiencia de las operaciones

• Confiabilidad en la emisión de la información contable

• Cumplimiento con las leyes, normas y regulaciones aplicables

COSO es un marco integrado para control interno que, cuando se implementa, brinda una base para establecer una estructura de control que cumple con los requisitos de la

Sección 302.

COSO identifica cinco componentes de control que deben implementarse e integrarse para asegurar el cumplimiento de cada uno de los objetivos.

Marco de control interno

25

Actividades de control

• Políticas y procedimientos que aseguran que se cumplen las directivas de la dirección.

• Rango de actividades que incluyen aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de desempeño, salvaguarda de activos y segregación de funciones.

Monitoreo

• Evaluación del funcionamiento del sistema de control en el tiempo.

• Combinación de evaluaciones puntuales y recurrentes.

• Actividades de dirección y supervisión.

• Actividades de auditoría interna. Ambiente general de control

• Fija las pautas de la organización que ejercen influencia sobre la conciencia de la gente.

• Los factores incluyen integridad, valores éticos, competencia, autoridad, responsabilidad.

• Base de los demás componentes de control.

Información y comunicación

• Se identifica, captura y comunica la información adecuada en forma oportuna.

• Acceso a información generada interna y externamente.

• Flujo de información que permite acciones de control exitosas, que van desde instrucciones relacionadas con responsabilidades hasta resúmenes de observaciones de las acciones de la dirección.

Evaluación de riesgos

• La evaluación de riesgos es la identificación y análisis de los riesgos significativos para lograr los objetivos del ente y formar la base para determinar las actividades de control.

Los cinco componentes deben implementarse para lograr un control

efectivo.

Marco de control COSO

26

Consideraciones de control interno cubiertas por la Sección 404 de la ley Sarbanes Oxley

¿Cuál es el alcance de control para las secciones 302 y 404?

Diagrama basado en las normas de auditoría del AICPA AU319,

Definición de control interno (Párrafo .13)

Cumpl

imie

nto

Opera

cion

es

Emisi

ón d

e

info

rmac

ión

cont

able

FUNCIONES

UNIDAD-NEGOC Io

Ambiente general de control

Evaluación de riesgos

Actividades de control

Información y comunicaciones

Monitoreo

Alcance de la práctica para las secciones 404 y 302 de la ley SO

Dato clave• Las principales empresas utilizan el requerimiento de la sección 404 como

catalizador para revisar su modelo integral de riesgo.

27

Control Interno sobre Emisión de Información Contable

• La regla final de la Sección 404 define el “Control Interno sobre Emisión de Información Contable” como el proceso diseñado por, o bajo supervisión de, el Ejecutivo Máximo y el Ejecutivo Financiero Principal, efectivizado por el Directorio, la Gerencia y otro personal, con el fin de brindar una seguridad razonable sobre la confiabilidad de la información contable y financiera, incluyendo los estados financieros preparados de acuerdo con principios de contabilidad generalmente aceptados.

28

Control Interno sobre Emisión de Información Contable – Marco de Referencia

• La regla final de la sección 404 establece que la evaluación que hace la Gerencia debe asentarse en un marco de referencia apropiado y universalmente reconocido

• La SEC reconoce que COSO cumple con los requerimientos de la regla final (en US sería el único) pero no es obligatorio

• El reporte COCO (Canadá) y el reporte Turnbull (UK) son también marcos de referencia que cubren los requerimientos de la norma

Sarbanes OxleyMetodología de Cumplimiento

30

Áreas involucradas

Business Processes ITGC

Entity Level Assessment

31

Metodología de Cumplimiento

InformeProbar y Monitorear Controles

Preparar Documentación y Evaluar Controles

Alcance del Proyecto

Fases de Evaluación:

Informe de laGerenciasobreControlInterno

Evaluar la Eficacia General, Identificar Asuntos que Necesiten Mejora, y Establecer Sistemas de Monitoreo

Comprender y Evaluar el Control Interno a Niveles de Proceso, Transacción o Aplicación

Evaluar el Control Interno a Nivel de Empresa

Organizar un Equipo de Proyecto para Conducir la Evaluación

Comprender la Definición de Control Interno

Organizar proceso, equipo, oportunidad del proyecto

Organizar proceso, equipo, oportunidad del proyecto

Oportunidad:

Enfoque:

• La definición en el Informe de COSO es el mejor punto de partida para la evaluación.

• Seleccionar un equipo apropiado y establecer reglas de procedimiento.

• Comenzar la evaluación considerando el control interno a nivel de empresa.

• Este es un proceso de documentación integral y comprensión de los flujos de transacciones y controles relacionados que demanda mucho tiempo.

• El paso final es hacer una evaluación general basada en los resultados.

• Desarrollar un proceso de monitoreo.

Preparar documentación, conducir pruebas detalladas y corregir deficiencias de control

Examen por el Auditor delas Aseveraciones de la

Gerencia

32

Metodología de Cumplimiento

Flujograma

Narrativa

Matriz de Riesgos y Controles

Segregación de Funciones

Recorridos

Evaluación del Diseño de los Controles:

•¿Se han identificado todos los riesgos relevantes?

•¿Se han identificado todos los controles relevantes?

•¿Los controles identificados cubren los riesgos?

•¿Hay alguna deficiencia en los controles?

•¿Cuáles de los controles son clave?

•¿Están diseñados efectivamente los controles? ¿Los controles establecidos son efectivos para mitigar los riesgos?

•¿Contamos con controles robustos?¿Podemos confiar en ellos?.

•La documentación describe con precisión los procesos, los riesgos y los controles asociados?.

Identificación y Evaluación de

Deficiencias para Remediación

Resultados Clave

Resumen de Controles Clave

para Pruebas (Testing)

Documentación Disponible para

Revisión y Aseguramiento de

Calidad

Documentación

33

Controles a Nivel de Proceso, Transacción o Aplicación

CuentasSignificativas

Aseveracionesde Estados Financierosde la Gerencia

?Riesgos ControlesProcesos

Significativos

Riesgos Inherentey de Negocios

Clave

2003

FinancialStatements

EstadosFinancieros

Documentación bajo la Sarbanes-Oxley Act Section 404

Management

Report on

Internal

Control

Informe

ImplicacionesFinancieras

Cuentas Seleccionadas se Basan en:• Errores de importancia*• Tamaño y composición• Susceptibilidad a manipulación o pérdida• Alto volumen de transacciones• Complejidad de transacciones• Subjetividad para determinar saldo de cuentas• Naturaleza de la cuenta

• Existencia (B/S) u Ocurrencia (I/S)

• Integridad• Valuación (B/S) o

Medición (I/S)• Derechos y

Obligaciones (B/S)

Tipos:• Flujos de transacciones

• Rutinarias• No-rutinarias• Estimación

• Procesos de IT• Procesos de Negocios• Proceso de Cierre de

Estados Financieros (Aseveración de Presentación y Revelación)

Para Cada Aseveración Pregunte:

• Dónde están los puntos en el flujo de transacciones donde pueden ocurrir errores?

• Ejemplo: Cuentas: Efectivo o Ctas por PagarProceso: DesembolsosAseveración: ValuaciónCuáles son los procedimientos manuales y programados que aseguran que el monto de un cheque o una transferencia concuerda con el monto aprobado para pago?

Factores en Evaluación:• Competencia, integridad del

personal que ejecuta el control; grado de supervisión; alcance de rotación de empleados

• Potencial de abuso (override) de la gerencia

• Falta de segregación de funciones, incluso dentro de las aplicaciones del computador

• Efecto de cambios en controles

• Otros riesgos específicos

Detección: Monitorea en busca de errores

Prevención: Previene un error

Quién Ejecuta?

Control Programado?• Identificar el sistema

procesador

Evaluar/Monitorear

Implicacionesen Procesos

Sarbanes OxleyEvaluación de Control Interno a Nivel de Entidad

35

Evaluación de Control Interno a Nivel de EntidadPuntos a Considerar

Evaluaciones periódicas de control interno Implementación de recomendaciones de mejoramiento Funciones de auditoría interna efectivas para supervisión

Existencia de políticas y procedimientos Objetivos financieros claros con las respectivas actividades de supervisión Segregación de funciones Comparaciones periódicas de libros versus real Adecuada salvaguarda de documentos, registros y activos Controles de Acceso

Reportes de desempeño adecuados Conectados con la estrategia de negocio Compromiso de la organización para desarrollar, probar y supervisar la

operación de los sistemas de IT y de sus controles relacionados. Planes de continuidad de negocio / prevención de desastres para IT

Proceso de Evaluación de Riesgo Mecanismos para anticipar, identificar y reaccionar ante hechos

significativos Políticas y Procedimientos para identificar cambios en los PCGA,

prácticas de negocio y control interno

Integridad, valores éticos y comportamiento de los ejecutivos clave Conciencia de control de la gerencia y estilo operativo Compromiso de la gerencia a ser competente Participación de la junta directiva y/o comité de auditoria en el gobierno Estructura organizacional, autoridad y responsabilidad Políticas y prácticas de Recursos Humanos

Area

Ambiente de ControlAmbiente de Control

Evaluación de RiesgosEvaluación de Riesgos

Información y ComunicaciónInformación y Comunicación

Actividades de ControlActividades de Control

MonitoreoMonitoreo

36

Entorno de Control

El entorno de control refleja la pauta fijada por la alta gerencia y la actitud general, la conciencia y las acciones de la junta directiva, la gerencia, los dueños y otros, con respecto a la importancia del control interno y el énfasis puesto sobre el control en las políticas, procedimientos, métodos y estructura organizacional de la compañía. Esto es el fundamento para todos los otros componentes del control interno, que proveen disciplina y estructura

• Integridad, valores éticos y comportamiento de los ejecutivos clave

• Conciencia de control de la gerencia y estilo operativo

• Compromiso de la gerencia a ser competente

• Participación de la junta directiva y/o comité de auditoria en el gobierno (governance) y la vigilancia

• Estructura organización y asignación de autoridad y responsabilidades

• Políticas y prácticas de recursos humanos

37

Evaluación de Riesgos

La evaluación de riesgos es la identificación y análisis de riesgos relevantes (tanto internos como externos) al logro de los objetivos, formando una base para determinar como los riesgos deben ser administrados

• Se han establecido y comunicado objetivos a nivel de empresa, incluyendo como están apoyados por planes estratégicos y complementados a nivel de proceso / aplicación. Se ha establecido un proceso de evaluación de riesgo, incluyendo la estimación de la importancia de los riesgos, la evaluación de la probabilidad de su ocurrencia, y la determinación de las acciones necesarias a seguir.

• Existen mecanismos para anticipar, identificar y reaccionar a los cambios que pudieran tener un efecto dramático y dominante de la empresa (Ej: el comité de administración de activos/pasivos en una institución financiera, el grupo de administración de riesgos de comercialización de “commodities” en una empresa manufacturera) o que pudiera afectar el logro de los objetivos de la empresa o de niveles de procesos/aplicaciones.

• El departamento de contabilidad tiene procesos establecidos para: 1. Identificar cambios en los principios de contabilidad generalmente aceptados (PCGA) promulgados por los organismos con autoridad

relevantes.2. Notificar al departamento de contabilidad de cambios en las prácticas de negocio de la compañía que puedan afectar el método ó los

procesos de registrar transacciones.3. Identificar cambios significativos en el control interno o el entorno operativo, incluyendo cambios que resulten en nuevas regulaciones o

cambios en estas

38

Información y Comunicación

Los sistemas de información y comunicación apoyan la identificación, captura e intercambio de información en una forma y oportunidad que permiten a la gerencia y a otro personal apropiado a cumplir con sus responsabilidades.

Información

• Los sistemas de información proveen a la gerencia los reportes necesarios para el desempeño de la empresa en relación a los objetivos establecidos, incluyendo información interna y externa relevante y proporcionan la información a la gente apropiada con el detalle necesario y a tiempo, para permitirles cumplir con sus responsabilidades eficaz y eficientemente.

• Los sistemas de información son desarrollados o revisados en base al plan estratégico que está interrelacionado con los sistemas de información generales de la empresa y responden al logro de los objetivos a nivel de empresa y a nivel de proceso/aplicaciones.

• La gerencia destina los recursos humanos y financieros apropiados para desarrollar los sistemas de información necesarios y asegura y supervisa a los usuarios que participan en el desarrollo (incluyendo revisiones) y prueba de los programas.

• La gerencia a establecido un plan de continuidad del negocio / recuperación de desastres para todos los centros primarios de información

39

Información y Comunicación (continuación)

Los sistemas de información y comunicación apoyan la identificación, captura e intercambio de información en una forma y oportunidad que permiten a la gerencia y a otro personal apropiado a cumplir con sus responsabilidades.

Comunicación

• La gerencia comunica los deberes y responsabilidades de control de los empleados de una manera eficaz y ha establecido canales de comunicación para que la gente reporte situaciones que se sospeche son impropias.

• Existe una adecuada comunicación a través de la organización que permite a la gente cumplir con su responsabilidad eficazmente y la gerencia toma acciones de seguimiento oportuna y apropiadamente sobre las comunicaciones recibidas de clientes, proveedores, reguladores u otras partes externas.

40

Actividades de Control

Las actividades de control son las políticas y procedimientos que ayudan a asegurar que las directrices de la gerencia sean cumplidas

• Existen políticas y procedimientos necesarios con respecto a que cada una de las actividades de la empresa y los controles señalados por la política están siendo aplicados.

• La gerencia tiene objetivos claros en términos de presupuesto, utilidades y otras metas financieras y de operación y estos objetivos están claramente escritos, y son comunicados a toda la empresa y activamente monitoreados. Han sido implementados sistemas de planificación y de reporte para identificar variaciones en el rendimiento planificado y comunicar estas variaciones al nivel apropiado de la gerencia. El nivel de la gerencia apropiado investiga las variaciones y toma acciones correctivas apropiadas y oportunas.

• Los deberes son lógicamente divididos o segregados (manualmente o a través de la implementación de aplicaciones de tecnología de información (IT) apropiadas) entre diferentes personas para reducir el riesgo de fraude o de acciones impropias.

41

Actividades de Control (continuación)

Las actividades de control son las políticas y procedimientos que ayudan a asegurar que las directrices de la gerencia sean cumplidas

• Se realizan comparaciones periódicas de montos registrados en el sistema de contabilidad con activos físicos. Existen adecuados resguardos para prevenir acceso no autorizado o la destrucción de documentos, registros y activos.

• Se han establecido políticas para controlar el acceso a programas y archivos de datos. Se usa software de seguridad de acceso, software de sistema operativo y/o software de aplicaciones para controlar el acceso a programas de datos. Existe una función de seguridad de información y es responsable de monitorear el cumplimiento de las políticas y procedimientos de seguridad de información

Sarbanes OxleyAseveraciones Financieras y Controles a Nivel de Proceso, Transacción y Aplicación

43

Controles a Nivel de Proceso, Transacción o Aplicación

CuentasSignificativas

Aseveracionesde Estados Financierosde la Gerencia

?Riesgos ControlesProcesos

Significativos

Riesgos Inherentey de Negocios

Clave

2003

FinancialStatements

EstadosFinancieros

Documentación bajo la Sarbanes-Oxley Act Section 404

Management

Report on

Internal

Control

Informe

ImplicacionesFinancieras

Cuentas Seleccionadas se Basan en:• Errores de importancia*• Tamaño y composición• Susceptibilidad a manipulación o pérdida• Alto volumen de transacciones• Complejidad de transacciones• Subjetividad para determinar saldo de cuentas• Naturaleza de la cuenta

• Existencia (B/S) u Ocurrencia (I/S)

• Integridad• Valuación (B/S) o

Medición (I/S)• Derechos y

Obligaciones (B/S)

Tipos:• Flujos de transacciones

• Rutinarias• No-rutinarias• Estimación

• Procesos de IT• Procesos de Negocios• Proceso de Cierre de

Estados Financieros (Aseveración de Presentación y Revelación)

Para Cada Aseveración Pregunte:

• Dónde están los puntos en el flujo de transacciones donde pueden ocurrir errores?

• Ejemplo: Cuentas: Efectivo o Ctas por PagarProceso: DesembolsosAseveración: ValuaciónCuáles son los procedimientos manuales y programados que aseguran que el monto de un cheque o una transferencia concuerda con el monto aprobado para pago?

Factores en Evaluación:• Competencia, integridad del

personal que ejecuta el control; grado de supervisión; alcance de rotación de empleados

• Potencial de abuso (override) de la gerencia

• Falta de segregación de funciones, incluso dentro de las aplicaciones del computador

• Efecto de cambios en controles

• Otros riesgos específicos

Detección: Monitorea en busca de errores

Prevención: Previene un error

Quién Ejecuta?

Control Programado?• Identificar el sistema

procesador

Evaluar/Monitorear

Implicacionesen Procesos

44

Aseveraciones financieras

Ocurrencia Balance General Estado de Resultados

Una transacción o evento realmente tuvo lugar durante el periodo.

Presentación y Revelación Balance General Estado de Resultados

Una partida está clasificada, descrita y revelada de conformidad con la estructura de información financiera que le es aplicable.

Exactitud Balance General Estado de Resultados

Una transacción o un evento está registrado en un importe apropiado y el ingreso o gasto está atribuido en el período apropiado.

8 aseveraciones de la gerencia a los estados financieros

Derechos y Obligaciones Balance General Estado de ResultadosUn activo o un pasivo pertenece a la compañía en una fecha determinada.

Integridad Balance General Estado de Resultados No hay activos, pasivos, transacciones o eventos no registrados, ni partidas no reveladas.

Valuación Balance General Estado de ResultadosUn activo o pasivo es registrado al valor apropiado en libros.

Existencia Balance General Estado de Resultados

Existe un activo o un pasivo en una fecha determinada.

Salvaguardia de Activos Balance General Estado de Resultados

La compañía tiene procesos y controles para razonablemente prevenir y detectar fraudes.

45

Cuentas Significativas

• El punto de partida para el proceso de identificación de los procesos significativos sobre los cuales se aplican los controles internos es identificar las cuentas significativas a nivel de revelación en los rubros o las notas de los estados financieros consolidados

CuentasSignificativas

Cuentas Seleccionadas se Basan en:•Errores de importancia*•Tamaño y composición•Susceptibilidad a manipulación o pérdida•Alto volumen de transacciones•Complejidad de transacciones•Subjetividad para determinar saldo de cuentas•Naturaleza de la cuenta

46

Cuentas Significativas (continuación)

47

Clases Mayores de Transacciones y Procesos Relacionados

• Después de identificar las cuentas significativas, se deberá identificar las clases mayores de transacciones, los procesos significativos y las actividades contables y controles relacionados que afectan esas cuentas. Los procesos significativos y las actividades contables relacionadas son aquellos que están involucrados en el procesos de las clases mayores de transacciones (Ej.: Ventas, Compras) que afectan cuentas o grupos de cuentas significativas. Las actividades contables también incluyen actividades para desarrollar y registrar estimaciones contables clave o para completar el proceso de cierre de estados financieros al fin de cada período contable

ProcesosSignificativos

Tipos:•Flujos de transacciones

•Rutinarias•No-rutinarias•Estimación

•Procesos de IT•Procesos de Negocios•Proceso de Cierre de Estados Financieros (Aseveración de Presentación y Revelación)

48

Clases Mayores de Transacciones y Procesos Relacionados

49

Riesgos “Que puede fallar”

• Considerar los tipos de errores que puedan ocurrir a nivel de procesos, transacción o aplicación es un paso clave para asegurar que se enfoca apropiadamente aquellos controles relevantes que están diseñados eficazmente para prevenir y detectar errores de importancia o fraude. Se necesita determinar el nivel de detalle adecuado con base en los riesgos de información financiera relacionados con cada procesos significativo que está siendo evaluado, y su relativa importancia para los estados financieros en general (errores relativamente pequeños en procesos globales de la empresa podrían tener efectos potenciales graves, mientras errores potenciales mayores en procesos aislados o menos significativos pueden o no tener los mismos efectos).

?

Riesgos

Para Cada Aseveración Pregunte:•Dónde están los puntos en el flujo de transacciones donde pueden ocurrir errores?

•Ejemplo: Cuentas: Efectivo o Cuentas por PagarProceso: DesembolsosAseveración: ValuaciónCuáles son los procedimientos manuales y programados que aseguran que el monto de un cheque o una transferencia concuerda con el monto aprobado para pago?

50

Riesgos en Aseveraciones financieras

Ocurrencia Balance General Estado de Resultados

Una transacción o evento realmente tuvo lugar durante el periodo.

Presentación y Revelación Balance General Estado de Resultados

Una partida está clasificada, descrita y revelada de conformidad con la estructura de información financiera que le es aplicable.

Exactitud Balance General Estado de Resultados

Una transacción o un evento está registrado en un importe apropiado y el ingreso o gasto está atribuido en el período apropiado.

8 aseveraciones de la gerencia a los estados financieros

Derechos y Obligaciones Balance General Estado de ResultadosUn activo o un pasivo pertenece a la compañía en una fecha determinada.

Integridad Balance General Estado de Resultados No hay activos, pasivos, transacciones o eventos no registrados, ni partidas no reveladas.

Valuación Balance General Estado de ResultadosUn activo o pasivo es registrado al valor apropiado en libros.

Existencia Balance General Estado de Resultados

Existe un activo o un pasivo en una fecha determinada.

Salvaguardia de Activos Balance General Estado de Resultados

La compañía tiene procesos y controles para razonablemente prevenir y detectar fraudes.

51

Riesgos

52

Controles

• En este punto, se debe considerar los controles sobre cada proceso significativo que contemplan los riesgos para las aseveraciones relevantes. El objetivo es identificar los controles que proporcionan seguridad razonable de que los errores relativos a cada una de las aseveraciones relevantes de los estados financieros son prevenidos, o que cualquier error que ocurra durante el procesamiento son detectados y corregidos

Controles

Detección: Monitorea en busca de erroresPrevención: Previene un errorQuién Ejecuta?

Control Programado?•Identificar el sistema procesador

53

Controles

54

Pasos Siguientes

• La finalización de la documentación del control interno a nivel de empresa y los controles internos a nivel de proceso, transacción o aplicación proporcionará al equipo a cargo del proyecto la información necesaria para evaluar la eficacia integral de los controles en la fase final de la metodología

Management

Report on

Internal

Control

InformeEvaluar/Monitorear

Factores en Evaluación:•Competencia, integridad del personal que ejecuta el control; grado de supervisión; alcance de rotación de empleados

•Potencial de abuso (override) de la gerencia•Falta de segregación de funciones, incluso dentro de las aplicaciones del computador

•Efecto de cambios en controles•Otros riesgos específicos

Sarbanes OxleyTeoría de Riesgos y Controles

56

Tipos de controles

• Preventivos– Procedimientos relacionados para prevenir un error o fraude– Aplicados a nivel de transacción sencilla

• Detectivos– Políticas y procedimientos diseñados para monitorear el logro de los objetivos

relevantes del proceso, incluyendo la identificación de errores o fraude.– Aplicados a grupos de transacciones

57

Terminología de Control

• Manual – Preventivo• Manual – Detectivo• IT – Manual Dependiente• Automático

58

Puntos de Control

• Iniciación

• Autorización

• Registro

• Procesos

• Reporte

59

Controles Generales de IT

• Cambios a Programa – Los controles de aplicación han operado efectivamente a través del periodo

• Seguridades de Acceso – La información generada por las aplicaciones es confiable

• Seguridad de Aplicación – – Restricción a transacciones individuales, parametrización, niveles de autorización o

acceso a información específica– Unicamente personas y aplicaciones autorizadas tienen acceso a datos y

solamente para ejecutar funciones definidas específicamente

60

Otros conceptos de Control

• Segregación de funciones y fraude

• Políticas y procedimientos relacionados con::– Niveles de autorización– Salvaguarda de activos– Responsabilidad sobre activos (accountability)

61

Tipos de Control

• Autorización• Configuración / Control de Mapeo de Cuentas• Reportes de Excepción• Controles de Interfases• Indicadores de Desempeño• Revisiones Gerenciales• Conciliaciones• Accesos a Sistema

Sarbanes OxleyPrincipios de Recorridos & Pruebas de Cumplimiento

63

Pruebas de Cumplimiento

Naturaleza del Control y Frecuencia de las Pruebas

Número Mínimo de Ítems a Revisar

Control Manual, Múltiples Veces al Día Al menos 25

Control Manual, Diario Al menos 25

Control Manual, Frecuentemente pero menor a diario 25% de las ocurrencias ó al menos 25

Control Manual, Semanalmente Al menos 10

Control Manual, Mensualmente A, menos 3

Control Manual, Trimestral Al menos 2

Control Manual, Anual Probar anualmente

Controles Automáticos Probar una vez cada control automático por cada tipo de transacción si está soportada por controles generales efectivos de IT (Previamente Probados), De otro manera probar al menos 25

Sarbanes OxleyTaller: Identificación de Riesgos y Controles