Seminario BPI - SOX

Ley de responsabilidad empresarial Sarbanes Oxley:
Desafíos y tendencias
Octubre 2005
Ponente: Gerardo
Herrera
Ponente:
Gerardo Herrera B.
Firma miembro de
*connectedthinking
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 1
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Introducción
Una serie de escándalos gerenciales y contables en grandes

compañías mermaron la confianza de los inversionistas.
9 Enron
9 Worldcom
9 SmallTalk
En respuesta a la crisis, el Congreso de E.U.A creó una legislación, “The

Guidelines of Sarbanes-Oxley Law”, cuyo tratado principal es mejorar la
confiabilidad en los reportes de los estados financieros de las compañías al
introducir reformas que permitan una reducción sustancial de la ocurrencia
de fraudes y errores en la generación de los mismos.

Introducción
La necesidad de ejecutar acciones
“Si aún no a empezado a preparase para evaluar el control interno, comience

a trabajar en ello inmediatamente.”
- Discurso de Scott A. Taub, Deputy Chief Accountant,

U.S. Securities and Exchange Commission. 29 de Mayo de 2003

Introducción
Los 11 capítulos que conforman la ley de Sarbanes-Oxley
I. Public Company Accounting Oversight Board

JUNTA DE VIGILANCIA DE LAS COMPAÑIAS DE CONTABILIDAD PÚBLICA
II. Auditor Independence
INDEPENDENCIA DEL AUDITOR
III. Corporate Responsability
RESPONSABILIDAD DE LA COMPAÑÍA
IV. Enhanced Financial Disclosures
REVELACIONES FINANCIERAS MAS AMPLIAS
V. Analyst Conflicts of Interest
CONFLICTOS DE INTERES DEL ANALISTA
VI. Commission Resources and Authority
RECURSOS Y AUTORIDAD DE LA COMISION

Introducción
Los 11 capítulos que conforman la ley de Sarbanes-Oxley
VII. Studies and Reports

ESTUDIOS E INFORMES
VIII. Corporate and Criminal Fraud Accountability
RESPONSABILIDAD DE LA COMPAÑÍA POR FRAUDE PENAL
IX. White-Collar Crime Penalty Enhancements
RESPONSABILIDAD PENAL DE EMPLEADOS
X. Corporate Tax Returns
DECLARACIONES JURADAS DE IMPUESTOS DE LA COMPAÑÍA
XI. Corporate Fraud and Accountability
FRAUDE Y RESPONSABILIDAD DE LA COMPAÑÍA

Capítulos más relevantes de la ley
Sección 302 - Responsabilidad Corporativa
La ley “SOX” requiere que anualmente las

companías que emitan reportes a la SEC
adicionalmente incluyan un reporte periódico
que:
9 Establezca todas las deficiencias 9 Indique cualquier fraude, significativo o no, que
significativas en el diseño u operación involucre a la gerencia u otros empleados que
de los controles internos que podrían desempeñan un rol importante en los controles
afectar adversamente la habilidad del internos del emisor.
emisor para registrar, procesar,
resumir, y reportar datos financieros. 9 Se presenten las conclusiones sobre la
evaluación de la efectividad de los controles
internos fecha dentro de los 90 días antes del
informe.
Capítulo IV: Enhanced Financial Disclosures
Sección 404 - Mejoras en las Divulgaciones Financieras
La ley “SOX” requiere que anualmente las companías que emitan reportes a la
SEC adicionalmente incluyan un reporte que:
Establezca la responsabilidad de la gerencia en la creación y

mantenimiento de procedimientos y estructura de control interno
adecuados para el reporte financiero.
Una evaluación (“assessment”) hecha por la gerencia de la compañía a

final de su año fiscal sobre la efectividad de sus procedimientos y
estructura de control interno para el reporte financiero.
La opinión (“attest”) del auditor externo sobre las aserciones hechas por la
gerencia con respecto a la evaluación de sus controles internos de
acuerdo a los estándares del “PCAOB”.

9 Reporte de Gerencia debe incluir declaraciones de:

La responsabilidad de la gerencia para establecer y mantener
un control interno adecuado sobre los reportes financieros.
Opinión de la Gerencia sobre la efectividad de dichos
controles.
Identificación del lineamiento de trabajo utilizado para evaluar
la efectividad.
Opinión del auditor externo.
9 COSO es un estándar aceptado para emitir la opinión de la

gerencia.

Monitoreo
Monitoreo
Monitoreo Actividades
Actividades de
de Control
Control
Los
Opinión sobre
sistemas
Opinión un
un control
sobre de control del
control del Políticas/procedimientos
Políticas/procedimientos
Actividades de control que
que
funcionamiento
funcionamiento del
del sistema
sistema en
en el
el aseguran
aseguran directrices
directrices gerenciales
gerenciales
interno deben ser Son las políticas
tiempo.
tiempo. son
son llevadas cabo. los
llevadas aa cabo.y
monitoreados para asegurar procedimientos de control
su
Combinación
calidad. de
Combinación de evaluación
evaluación enen Rango
Rango de
de actividades
actividades incluyendo
incluyendo
proceso y separada.
proceso y separada.
que permitenautorizaciones,
aprobaciones, asegurar el
aprobaciones, autorizaciones,
Existen dos tipos de cumplimiento
verificaciones, de las
verificaciones, recomendaciones,
recomendaciones,
Actividades
Actividades gerenciales
gerenciales yy de
de
monitoreo: Evaluaciones directrices
revisiones dede
revisiones de la gerencia.
desempeño,
desempeño,
supervisión
supervisión
separadas y actividades seguridad
seguridad de
de activos
activos yy
regulares
Actividadesdede
Actividades de auditoría
auditoría interna
monitoreo interna segregación
segregación de
de funciones.
funciones.
Información
Información yy Comunicación
Comunicación
Información y Ambiente
Ambientede de Control
deControl
Control Opinión
Opinión del
del Riesgo
Riesgo
Ambiente
Identificación,
Comunicación
Identificación, captura
captura yy Consiste
Es
Es base
base de
deenlos
loslacontroles
controles
integridad, La
La opinión
opinión del
del riesgo
riesgo es
es la
la
comunicación
comunicación de
de información
información en
en
Se
un
enfoca
cierto
en la
período de
naturaleza
tiempo.
y los valores éticos, y la identificación
identificación
Evaluación yy análisis
análisis de
de riesgo
de Riesgo riesgo
un cierto período de tiempo. por
calidad de la información por conciencia
conciencia de de su
su personal.
personal. relevante para lograr
relevante para lograr los los
necesaria
Acceso
Acceso aa información
información generada
generada
capacidad del personal, Es la identificación
objetivos
objetivos de
de lala entidad,
y utilizado
el
entidad, utilizado
para un efectivo así
Factores
comoincluyen
Factores incluyen integridad,
integridad,
la filosofía de la
interna y externamente.
interna y externamente. análisis
para delas
para formar
formar losbases
las riesgos
bases que
que
control, los sistemas de valores éticos, competencia,
valores éticos, competencia,
gerencia yresponsabilidad.
el estilo determinan
que permiten
determinan las
las actividades
alcanzar los
actividades de
de
información
Flujo de información
Flujo de información
usados que
que permite
permite
para autoridad,
autoridad, responsabilidad.
operativo. control.
control. y la forma cómo
objetivos
exitosamente tomar
exitosamentetaltomar acciones
acciones de
de
desarrollar información, y Base
Base para
para todos
todos los
los demás
demás
control partiendo de instrucciones
control partiendo de instrucciones componentes deben ser gerenciados.
los
sobrereportes
las necesarios para componentes de
de control.
control.
sobre las responsabilidades
responsabilidades para
para
comunicarla
resumir
resumir los con eficacia.
los hallazgos
hallazgos de
de acciones
acciones Los cinco componentes deben realizarse
gerenciales.
gerenciales. para que un control sea efectivo.
Metodología de cumplimiento de la sección 404
Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor
Preparar
Iniciar Reporte
Documentar y Probar de Control
Proyecto y Opinar
Evaluar Diseño Remediar Efectividad
Evaluar Interno para el Y Reportar
de Controles operativa
Riesgo Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Fase 1 - Iniciar el proyecto y evaluar el riesgo
9 Establecer la carta del proyecto y su
estructura.
9 Formar equipos de trabajo segregados

por procesos de negocio,
responsabilidades y objetivos.
9 Identificar unidades de negocio o

funciones pilotas a utilizar.
9 Establecer el alcance de la evaluación:

Full scope
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers Limited scope 11

Fase 1 - Iniciar el proyecto y evaluar el riesgo
9 Basado en el riesgo relativo, establecer la madurez del Control Interno para

cada ciclo de transacciones financieras y de áreas funcionales
Esquema de Trabajo para evaluar la Madurez del Control Interno

No Confiable Informal Estandarizado Monitoreado Optimizado
Ambiente Actividades de Actividades de Controles Controles
impredecible en control control estandarizados internos
donde las diseñadas y diseñadas, con pruebas integrados
actividades de funcionando funcionando y periódicas para con monitoreo
control no están pero no están documentadas probar diseño gerencial en
diseñadas o documentadas adecuadamente efectivo y línea y
funcionando adecuadamente operativo con mejoramiento
reportes a la continuo
gerencia

Mejoramiento
Continuo
Gerencia Auditor
Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Fase 2 - Documentar y Evaluar Diseño de Controles
Como parte fundamental de la evaluación del control interno que establece la sección
404 de Sarbanes-Oxley, se debe hacer especial énfasis en las siguientes etapas de
documentación del diseño de controles:
Determinar procesos
y controles críticos Documentar
los resultados
Identificar obtenidos
deficiencias
de documentación Desarrollar y
y de diseño establecer
de controles estándares de
documentación

Fase 2 - Documentar y Evaluar Diseño de Controles
Identificar
Determinar
Desarrollar y deficiencias Documentar
procesos
establecer de documentación los resultados
y controles
estándares y de diseño obtenidos
críticos
de controles
9 Desarrollar estándares y patrones de9 Durante las entrevistas

9 Documentar
9 Identificar y revisión,
brechaselidentificar
ambiente
en yexistente
acumular
la documentación laáreasno
en(áreas no
documentación documentadas
documentación que facilitarán la identificación existente sobre acorde
actualmente las entidades
documentadas
al estándar)al estándar
y en el diseño e
de los controles principales utilizando: correspondientes y unidades de de
implementación negocio
controles
9 Revisar la documentación para el diseño efectivo e
9 Narrativas de procesos y ciclos, Mapas de Políticas yidentificar
procedimientos
9 Desarrollar donde el
acciones dediseño
contaduría
registrodepara
controles
capturar es las
inadecuad
procesos y Matrices de Control y puede
brechas
Documentación demejorar
restantes. El Registro incluirá:
procesos
9 Guías de Entrevistas
Documentación
9 Utilizar de
uncontroles
Controles proceso
que aúnpara manejar
necesiten serexcepciones
documentados para lo
9 Construir la documentación
casos emitidos
Controlesdel que durante
control la ser
interno
necesitan evaluación
para cada uno
diseñados del econtrol
9 Desarrollar excepciones para el manejo de de los componentes de COSO
9 implementados
Determinar el estado actual del control interno y
procesos para los casos de control interno
divulgados en la evaluación del diseño. asignar
Mejoras unrecomendadas
valor de madurez a la para
efectividad del diseño
las actividades de
9 Realizar un inventario dedecontroles
control casos de control emitidos con
importancia 9
significativa
Revisar las en acciones
los reportes
de financieros (Ej.:
registro y desarrollar un
9
reportes de auditoríaEstablecer
interna, un plan, asignando
certificaciones del 302 responsabilidades
). y
consenso de prioridades a remediar.
lapsos de tiempo para realizar la corrección.

Fase 2 - Caso de Estudio
Se realiza un walkthrough (recorrido) por los ciclos de Ventas, Activo Fijo,

Tesorería y Contabilidad, mediante entrevistas con los “dueños” de los procesos.
Se verifica que los mapas de procesos y narrativas desarrollados por el personal

de la compañía XYZ, están completos y contemplan todos los subprocesos y
controles detectados a través del proceso de walkthrough.

Se identifican y clasifican las

siguientes debilidades:
Procesos no documentados
Controles no documentados
Deficiencias de diseño de
controles

Fase 2 - Caso de Estudio:
Se detectaron las siguientes debilidades:
1. Proceso no documentado: Proceso de aprobación de

pagos en moneda extranjera (tesorería)
…. una vez registrada la factura del

Narrativa
proveedor extranjero, se registra la tasa de
desarrollada
cambio efectiva y se procede a aprobar el
por la
pago en el sistema ABC. Por último se
compañía
realiza la transferencia bancaria…..

1. Proceso no documentado: Proceso de aprobación de

pagos en moneda extranjera (tesorería)
…. una vez registrada la factura del proveedor

extranjero, se registra la tasa de cambio
efectiva y se procede a aprobar el pago en el
Proceso
sistema ABC. Seguidamente el analista de
Documentado
tesorería registra el pago en el sistema para
correctamente
ser aprobado posteriormente por el gerente
de tesorería. Por último se realiza la
transferencia bancaria…..
2. Control no documentado: Control automatizado del sistema ABC que rechaza
la apertura de periodos contables una vez que han sido cerrados y conciliados
(contabilidad). Matriz
Control documentado
de procesos correctamente
desarrollado por la compañía
Existen Se imprimen
Se buscan
Partidas no los saldos
Partidas no
Conciliadas? de mayor
conciliadas
Se concilian
las partidas
Se
Secierra el
realiza
pendientes
Fin del
Elperíodo
proceso
proceso contable
de cierre
Deficiencias de diseño:
Ventas: Las guías de despacho solo son firmadas y revisadas por el transportista,
faltando ser revisadas también por el gerente de almacén.
Contabilidad: El campo del sistema ABC que permite ingresar y validar la fecha
de registro de documentos contables; no contempla años bisiestos.
Tesorería: La anulación de pagos realizada a través del sistema ABC, no registra

como información adicional la fecha y la hora en que se efectuó la anulación.

Documentación de resultados:
Ciclo de Control Tipo de Tipo de Nivel de
negocio control deficiencia riesgo
Tesorería Proceso de Manual / Proceso no Bajo
aprobación de Automático documentado
pagos en moneda
extranjera
Contabilidad No se pueden Automático Control no Medio
abrir periodos documentado
contables una vez
que han sido
cerrados y
conciliados
Ventas Proceso de Manual Deficiencia de Alto
aprobación de las diseño de control
guías de
despacho
Mejoramiento
Continuo
Gerencia Auditor
Preparar
Reporte
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Fase 3 - Remediación de deficiencias de diseño y documentación
Una vez detectadas las deficiencias de documentación de procesos, documentación
de controles y/o deficiencia de diseño de controles, se debe obtener la siguiente
información de la gerencia:
Plan ejecutivo de remediación
Fechas estimadas de entrega
Responsable del plan de acción

Mejoramiento
Continuo
Gerencia Auditor
Preparar
Reporte
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Fase 4 – Probar efectividad operativa
Al momento de evaluar controles y

procesos bajo la sección 404 de
Sarbanes-Oxley, se debe tomar en
cuenta los siguientes lineamientos:
9 Enfoque orientado a controles
9 Naturaleza de la prueba
9 Universo de la muestra
9 Remediación de controles
deficientes
Fase 4 – Probar efectividad operativa: Enfoque orientado a controles
9 Solo se prueban controles claves, controles que tienen incidencia directa en los estados
financieros.
9 No se realizan pruebas sobre indicadores de gestión (KPIs).
9 Se evita el desarrollo de pruebas sustantivas y de detalle (recálculos, reconstrucciones
y conciliaciones).
9 Los casos de estudio se construyen en base a una selección muestral.
9 Se evalúan controles manuales como automáticos.
9 No se prueban controles catalogados como deficientes por la gerencia.

Fase 4 - Prueba Sustantiva vs Prueba EJE
M PLO
Enfoque de controles Sustantiva
Recibo
Archivo Cálculo Control Interfaz Control Archivo
De pago
Maestro Maestro
Proceso de corrida de nómina
Enfoque a
Controles
Fase 4 – Probar efectividad operativa: Naturaleza de la prueba
Nivel de confianza alta Consiste en repetir el control

ejecutado por un sistema o
Reprocesamiento persona. A veces es la única
Semanera
enfocade probar
a la un control
inspección de
automático.
registros, Se procesaron
documentos y
los pagos paracon
reconciliaciones identificar
el fin de
Examinación pagosevidencia
que estuvieran
Constituye
obtener en observarde que un
aplicados
control ha sidoa proveedores
correctamenteno
directamente el comportamiento
existentes
aplicado. Se en el maestro
verificó que el de
de un control. Se observó que el
proveedores.
Observación Determinar
reporte de si excepciones
un control es se
sistema asigna los correlativos
emite y
utilizado o revisa mensualmente
no a través de un
de facturas automáticamente
conjunto de preguntas orales o
Entrevista escritas. ¿Como hace usted
para aprobar las órdenes de
Nivel de confianza baja
compra?
Fase 4 – Probar efectividad operativa: Universo de la muestra
9 Nivel de materialidad de los ítems

seleccionados: Se deben seleccionar
los casos que tengan mayor impacto o
materialidad en los estados
financieros
9 Cobertura del proceso: Asegurarse

de seleccionar una muestra que
incluya todas las posibles situaciones
que el control aborda.
9 Marco de tiempo: Seleccionar una muestra
distribuida a lo largo del período de evaluación,
que permita evaluar el comportamiento del
control a través del tiempo.
Fase 4 – Probar efectividad operativa:
Universo de la muestra
9 Variedad de resultados: Asegurarse que la

muestra cubra resultados críticos, usuales e
inusuales, ya que en algunas oportunidades
los controles fallan cuando se presentan
situaciones de mínima ocurrencia.
9 Tipo de control: A la hora de probar

controles se debe tomar en cuenta que se
deben realizar pruebas mas extensas en los
controles manuales que en los
automáticos.

Fase 4 – Probar efectividad operativa: Universo de la muestra
A nivel general, utilizando un estándar confiable para la selección de muestras para
la prueba de controles manuales, se deben probar un número de ítems acorde a la
frecuencia del control:
Diario
Anual
1 ítem
20 a 40
Semanal
ítems
Trimestral
2 ítems 5 a 15
ítems Varias
Mensual
veces al día
2 a 5 ítems
25 a 60 ítems
Este estándar se puede utilizar también de referencia al momento de probar controles automáticos.
Cumpliendo con las instrucciones impartidas por casa
matriz para la compañía XYZ, se determina como parte
del alcance que se deben evaluar los siguientes controles:
9 Registro automático de las tasas de cambio aplicadas

para pagos en moneda extranjera. El usuario no puede
hacer registro manual de las mimas.
9 Acceso y segregación de funciones al módulo de

configuración de activos fijos en el sistema ABC.
9 Aprobación y revisión de los documentos de ventas a

consignación por parte del gerente de ventas.

Una vez determinados los controles claves a evaluar, se determina el tamaño de

la muestra según la frecuencia del control:
Control Registro y Acceso y Aprobación de

actualización de segregación de documentos para
tasas de cambio en funciones al módulo ventas a
moneda extranjera de configuración consignación
Frecuencia Diario Mensual Semanal
Muestra 30 registros de tasas Todos los usuarios 10 legajos de

de cambio con acceso al documentos
sistema
Tipo de Examinación y Reproceso Examinación y
Prueba observación entrevista

Seleccionada la muestra se clasifican los controles, el nivel de riesgo que
mitigan y el criterio de error
Control Registro y Acceso y segregación Aprobación de

actualización de de funciones al módulo documentos para
tasas de cambio de configuración ventas a
en moneda consignación
extranjera
Tipo de Automático Automático Manual
control
Riesgo a Bajo Alto Medio
mitigar
Criterio de 9 Tasas incorrectas 9 Segregación de 9 Ausencia de

9 Fecha de registro funciones no adecuada documentos
error
incorrectas 9 Accesos no autorizados 9 Firmas y
aprobaciones no
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers autorizadas 35
Por último se documentan y clasifican los resultados:
Acceso y Aprobación de
Registro y actualización
segregación de documentos para
Control de tasas de cambio en
funciones al módulo ventas a
moneda extranjera
de configuración consignación
Todas los documentos
Se encontró personal de ventas poseen el
Se encontraron 4 días con
fuera del área de activo legajo completo de
tasas de cambio
Resultados fijo que posee acceso documentos. Todas
incorrectas para dólares,
al módulo de están firmadas y
euros y libras esterlinas
configuración aprobadas por el
gerente de ventas.
Comportamiento
Deficiente Deficiente Adecuado
del control
Parametrizar
Acción a tomar Rediseñar el control N/A
correctamente la interfaz

Mejoramiento
Continuo
Gerencia Auditor
Preparar
Reporte
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Fase 3 – Remediación de controles deficientes
Basado en las excepciones encontradas durante la etapa de prueba, la gerencia
debe buscar remediar sus deficiencias de control interno
Documentar Se documentan y evalúan

y evaluar nuevamente los controles
previamente remediados.
Se vuelve a probar la
Probar efectividad operativa usando
efectividad los mismos criterios de prueba
operativa para cuando se detectaron
empleados para detectar
Si se encuentran
deficiencias operativas
excepciones se remedia
Remediar nuevamente. Sino se
procede a la siguiente
fase
Fase 3 - Remediación de controles deficientes
Los controles remediatorios deben ser puestos a prueba por un periodo de
tiempo determinado, con el fin de garantizar que el plan de remediación y que
las modificaciones realizadas en el diseño del control, pueden asegurar un
comportamiento efectivo del mismo.
Mínima cantidad de tiempo Número mínimo de ítems a
Frecuencia del control ser probados
de operación del control
Trimestral 2 trimestres 2
Mensual 2 meses 2
Semanal 5 semanas 2
Diario 20 días 10
25 veces sobre un
Varias veces al día 25
período de varios días
Fase 3 – Caso de estudio
Determinadas las deficiencias operativas y el plan de remediación, se ponen a
prueba según su frecuencia los controles detectados como deficientes en la fase
anterior:
Registro y actualización de tasas

de cambio en moneda extranjera
Acceso y segregación de
funciones al módulo de
Frecuencia: Diaria configuración
Frecuencia: Mensual
Período de prueba mínimo: 20 días
Período de prueba mínimo: 2 meses

Número de ítems a probar: 10
Número de ítems a probar: 2

Mejoramiento
Continuo
Gerencia Auditor
Preparar
Reporte
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Fase 5 - Preparar Reporte de Control Interno para el Reporte Financiero
Una vez terminada la etapa de levantamiento de información, prueba y

remediación, los especialistas del comité de auditoría o de la firma de auditoría
externa, deben haber completado la siguiente documentación:
9 Matriz de controles y riesgo: Información detallada de cada uno de los

controles detectados durante el levantamiento de información y recorrido de
procesos. Se debe indicar el riesgo asociado al control y la clasificación de
este.

Fase 5 - Preparar Reporte de Control Interno para el Reporte Financiero

9 Documentación de procesos: Narrativas y/o mapas de procesos donde se indiquen
cada uno de las actividades y controles de un proceso de negocio. Se debe incluir el
detalle de los sub procesos asociados.
9 Sumario de deficiencias agregadas (Summary of Aggregated Deficiencies SAD):

Matriz detallada donde se indican las deficiencias de diseño y operación de los controles
sometidos a prueba, el conjunto de procesos recorridos y documentados, los resultados
de las pruebas y los planes de remediación ejecutados a lo largo del proceso de revisión.
Las deficiencias de clasifican en: operativa, diseño y documentación.
Antes de generar el reporte de control interno, los especialistas del comité

de auditoría o de la firma de auditoría externa, deben completar los
siguientes pasos:
Clasificar Construir la
Clasificar Clasificar
las deficiencias matriz final
la documentación la efectividad
de diseño y de
de procesos operativa
documentación resultados

Fase 5 - Caso de estudio
1- Clasificar la documentación de procesos: Todos los anexos referentes a la

documentación de procesos de la compañía XYZ deben ser clasificados en los
siguientes 6 grupos:
Matriz de Riesgos de
Mapas de procesos
Controles Negocio
Políticas
Manuales
Narrativas y
de Operación
Procedimientos

2- Clasificar las deficiencias de diseño y documentación
Ciclo de Proceso Tipo de Tipo de Nivel de
negocio control deficiencia riesgo
Tesorería Proceso de Manual / Proceso no Bajo

aprobación de Automático documentado
pagos en moneda
extranjera
Contabilidad No se pueden Automático Control no Medio
abrir periodos documentado
contables una vez
que han sido
cerrados y
conciliados
Ventas Proceso de Manual Deficiencia de Alto
aprobación de las diseño de control
guías de
despacho
3- Clasificar la efectividad operativa
Control Registro y Acceso y Aprobación de
actualización de segregación de documentos para
tasas de cambio en funciones al módulo ventas a
moneda extranjera de configuración consignación
Resultados Se encontraron 4 días Se encontró personal Todas los documentos
con tasas de cambio fuera del área de activo de ventas poseen el
incorrectas para fijo que posee acceso legajo completo de
dólares, euros y libras al módulo de documentos. Todas
esterlinas configuración están firmadas y
aprobadas por el
gerente de ventas.
Comportamiento del Deficiente Deficiente Adecuado
control
Acción a tomar Parametrizar Rediseñar el control N/A

correctamente la
interfaz
4- Matriz final de resultados y Sumario de deficiencias agregadas (SAD)
Proceso Registro y Acceso y Aprobación de Proceso de No se pueden Proceso de
actualización de segregación de documentos aprobación de abrir periodos aprobación de
tasas de cambio funciones al para ventas a pagos en contables una las guías de
en moneda módulo de consignación moneda vez que han sido despacho
extranjera configuración extranjera cerrados y
conciliados
Ciclo de negocio Tesorería Activos Fijos Ventas Tesorería Contabilidad Ventas
Resultados Se encontraron 4 Se encontró Todas los Proceso no Control no Deficiencia de

días con tasas de personal fuera documentos de documentado documentado diseño de
cambio del área de ventas poseen el control
incorrectas para activo fijo que legajo completo
dólares, euros y posee acceso al de documentos.
libras esterlinas módulo de Todas están
configuración firmadas y
aprobadas por el
gerente de
ventas.
Tipo de Operativa Operativa Operativa Documentación Documentación Diseño
deficiencia
Comportamiento Deficiente Deficiente Adecuado N/A N/A N/A

del control
Riesgo Bajo Alto Medio Bajo Medio Alto

Mejoramiento
Continuo
Gerencia Auditor
Preparar
Reporte
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Fase 6 - Opinar y reportar:
En la etapa final del proceso de revisión los especialistas del comite de auditoría o
de la firma de auditoría externa, deben cumplir con los siguientes aspectos:
9 La filial de la compañía evaluada reporta los

resultados de la evaluación a la casa matriz
9 Los especialistas del comité de auditoría o de la firma

de auditoría externa a nivel de casa matriz, emiten una
opinión ante la SEC sobre el control interno de la
compañía.
9 La SEC evalúa los resultados de la evaluación 404 y
hace publica esta información a través de su página
Web.
Fase 6 - Caso de estudio
Una vez completado el proceso de evaluación, la compañía XYZ debe someterse

a publicar y difundir la siguiente información:
9 La filial de XZY en Venezuela reporta los resultados de la evaluación a la casa matriz en Berlín
9 Los especialistas de la firma de auditoría externa clasifican el control interno de la filial en

Venezuela como operativo y satisfactorio. A su vez se reportan las deficiencias encontradas.
9 Los especialistas de la firma de auditoría externa a nivel de casa matriz, reportan ante la SEC
como eficiente, el control interno de la compañía XYZ

Participación de los especialistas de procesos y
tecnología de información
Alcance de los especialistas de IT y procesos en una revisión 404
9 Controles generales de cómputo:
Constituyen todos los controles

manuales y automáticos existentes en
un departamento de informática,
necesarios para asegurar la continuidad
de operaciones del mismo, así como
resguardar y asegurar el correcto trafico
y disposición de los activos de
información.

Ámbitos a evaluar en los controles generales de cómputo (GCC)
Cuando los controles automáticos son parte

significante de un proceso de negocio, se debe
comprender y evaluar la efectividad del diseño del
control así como probar el mismo para cada uno de
los siguientes cinco dominios:
Desarrollo de Acceso a
programas programas
y datos
Cambios a
programas
Ambiente de
Operaciones control de
de cómputo tecnología
de información
Indicadores de fraude
9 Son un conjunto de indicadores
cuantitativos, basados en una
metodología estadística, los cuales
permiten medir el riesgo de fraude de una
corporación.
9 Los indicadores de fraude no buscan la

detección de fraude ni la determinación
de la ocurrencia de este, por el contrario,
son una familia de los indicadores de
gestión, que le permiten a la compañía
obtener en términos numéricos la
ocurrencia de eventos que comúnmente
aparecen en situaciones de fraude.
Porque se deben realizar indicadores de fraude
La sección 302 de Sarbanes – Oxley (Responsabilidad Corporativa), establece

que las compañías deben reportar periódicamente si hubo un fraude
significativo o no, así como realizar pruebas que midan la ocurrencia de
posibles eventos que sean comunes en situaciones de fraude.
Los indicadores de fraude permiten a la gerencia involucrada tomar acciones

de remediación que fortalezcan los procedimientos de control interno con el fin
de disminuir el riesgo de fraude.
Proporcionan a la gerencia un valoración cualitativa sobre el comportamiento

del control interno.
Permiten determinar desviaciones en el comportamiento normal de cuentas

contables.

Datos estadísticos
Algunos datos estadísticos del año 2004
En una encuesta realizada a 441 compañías
sujetas a los requerimientos de la ley
Sarbanes-Oxley, se determinó lo siguiente:
De las compañías participantes tienen

42% ingresos de más de $ 1 billón al año.
De las compañías encuestadas

90% mantuvo estable o incrementó su
personal de auditoría interna.
De las compañías encuestadas

afirmaron que los recursos actuales
37% dedicados a Sarbanes-Oxley fueron
mas elevados de lo que estaba
estipulado originalmente
Datos estadísticos
De las compañías tuvieron como naturaleza

62% principal, los temas de recorrido y
documentación de procesos.
De las compañías dedicaron un promedio

54% de 48% sus recursos de auditoría interna, a
los esfuerzos de cumplimiento de
Sarbanes-Oxley.
De las compañías participantes eran de

70% carácter publico.

Datos estadísticos
En un sumario de encuestas realizadas a mas de 180 ejecutivos experimentados en
finanzas, se determinó lo siguiente:
Del ambiente de control prevalece en los controles
53% automáticos mediante el uso de sistemas ERP

(Enterprise Resource Planning) en vez de los
controles manuales
73% De los encuestados establece prioridad alta o

moderada el automatizar su ambiente de control
interno en los próximos 12 meses.

Datos estadísticos
32%
De los beneficios esperados con el
cumplimiento de SOX, son el entendimiento,
efectividad y comunicación de los procesos de
negocio.
29%
De los beneficios esperados con el
cumplimiento de SOX, es el descubrir
debilidades potencialmente dañinas
De los esfuerzos de optimización y remediación
48% del control interno serán dedicados al ambiente

de control y al entendimiento de los procesos de
negocio.

Desafíos
9 Resideñar los procesos de negocio con el fin
de obtener un ambiente de control interno
“suficiente”.
9 Minimizar los riesgos asociados a la

plataforma tecnológica.
9 Opinión pública del control interno por parte

de la SEC.
9 Impacto de la ley SOX en los mercados

globales de capitales.

Tendencias
9 Gestión y monitoreo orientado al ambiente
de control interno
9 Mayor participación de los responsables de

los procesos en el ambiente de control
interno.
9 El comité de Auditoría tendrá mayor

autoridad.
9 Mayores esfuerzos en la automatización de

procesos.
9 Importancia significativa en la implantación

de programas antifraude.

Sus Mundos Nuestra Gente*
© 2004 PricewaterhouseCoopers. All rights reserved. PricewaterhouseCoopers refers to the network

of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and
independent legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers.

Seminario BPI - SOX

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seminario BPI - SOX

Uploaded by

Copyright:

Available Formats

Ley de responsabilidad empresarial Sarbanes Oxley:

Una serie de escándalos gerenciales y contables en grandes

En respuesta a la crisis, el Congreso de E.U.A creó una legislación, “The

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 2

La necesidad de ejecutar acciones

“Si aún no a empezado a preparase para evaluar el control interno, comience

- Discurso de Scott A. Taub, Deputy Chief Accountant,

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 3

Los 11 capítulos que conforman la ley de Sarbanes-Oxley

I. Public Company Accounting Oversight Board

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 4

Los 11 capítulos que conforman la ley de Sarbanes-Oxley

VII. Studies and Reports

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 5

Sección 302 - Responsabilidad Corporativa

La ley “SOX” requiere que anualmente las

Establezca la responsabilidad de la gerencia en la creación y

Una evaluación (“assessment”) hecha por la gerencia de la compañía a

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 7

9 Reporte de Gerencia debe incluir declaraciones de:

9 COSO es un estándar aceptado para emitir la opinión de la

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 8

9 Formar equipos de trabajo segregados

9 Identificar unidades de negocio o

9 Establecer el alcance de la evaluación:

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers Limited scope 11

9 Basado en el riesgo relativo, establecer la madurez del Control Interno para

Esquema de Trabajo para evaluar la Madurez del Control Interno

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 12

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 14

9 Desarrollar estándares y patrones de9 Durante las entrevistas

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 15

Se realiza un walkthrough (recorrido) por los ciclos de Ventas, Activo Fijo,

Se verifica que los mapas de procesos y narrativas desarrollados por el personal

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 16

Se identifican y clasifican las

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 17

Se detectaron las siguientes debilidades:

1. Proceso no documentado: Proceso de aprobación de

…. una vez registrada la factura del

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 18

1. Proceso no documentado: Proceso de aprobación de

…. una vez registrada la factura del proveedor

 Tesorería: La anulación de pagos realizada a través del sistema ABC, no registra

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 21

Plan ejecutivo de remediación

Fechas estimadas de entrega

Responsable del plan de acción

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 24

Al momento de evaluar controles y

9 Enfoque orientado a controles

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 27

Proceso de corrida de nómina

Nivel de confianza alta Consiste en repetir el control

Fase 4 – Probar efectividad operativa: Universo de la muestra

9 Nivel de materialidad de los ítems

9 Cobertura del proceso: Asegurarse

9 Variedad de resultados: Asegurarse que la

9 Tipo de control: A la hora de probar

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 31

9 Registro automático de las tasas de cambio aplicadas

9 Acceso y segregación de funciones al módulo de

9 Aprobación y revisión de los documentos de ventas a

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 33

Tesorería: La anulación de pagos realizada a través del sistema ABC, no registra