Professional Documents
Culture Documents
Desafíos y tendencias
Octubre 2005
Ponente: Gerardo
Herrera
Ponente:
Gerardo Herrera B.
Firma miembro de
*connectedthinking
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 1
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Introducción
9 Establezca todas las deficiencias 9 Indique cualquier fraude, significativo o no, que
significativas en el diseño u operación involucre a la gerencia u otros empleados que
de los controles internos que podrían desempeñan un rol importante en los controles
afectar adversamente la habilidad del internos del emisor.
emisor para registrar, procesar,
resumir, y reportar datos financieros. 9 Se presenten las conclusiones sobre la
evaluación de la efectividad de los controles
internos fecha dentro de los 90 días antes del
informe.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 6
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Capítulos más relevantes de la ley
Capítulo IV: Enhanced Financial Disclosures
Sección 404 - Mejoras en las Divulgaciones Financieras
La ley “SOX” requiere que anualmente las companías que emitan reportes a la
SEC adicionalmente incluyan un reporte que:
La opinión (“attest”) del auditor externo sobre las aserciones hechas por la
gerencia con respecto a la evaluación de sus controles internos de
acuerdo a los estándares del “PCAOB”.
Monitoreo
Monitoreo
Monitoreo Actividades
Actividades de
de Control
Control
Los
Opinión sobre
sistemas
Opinión un
un control
sobre de control del
control del Políticas/procedimientos
Políticas/procedimientos
Actividades de control que
que
funcionamiento
funcionamiento del
del sistema
sistema en
en el
el aseguran
aseguran directrices
directrices gerenciales
gerenciales
interno deben ser Son las políticas
tiempo.
tiempo. son
son llevadas cabo. los
llevadas aa cabo.y
monitoreados para asegurar procedimientos de control
su
Combinación
calidad. de
Combinación de evaluación
evaluación enen Rango
Rango de
de actividades
actividades incluyendo
incluyendo
proceso y separada.
proceso y separada.
que permitenautorizaciones,
aprobaciones, asegurar el
aprobaciones, autorizaciones,
Existen dos tipos de cumplimiento
verificaciones, de las
verificaciones, recomendaciones,
recomendaciones,
Actividades
Actividades gerenciales
gerenciales yy de
de
monitoreo: Evaluaciones directrices
revisiones dede
revisiones de la gerencia.
desempeño,
desempeño,
supervisión
supervisión
separadas y actividades seguridad
seguridad de
de activos
activos yy
regulares
Actividadesdede
Actividades de auditoría
auditoría interna
monitoreo interna segregación
segregación de
de funciones.
funciones.
Información
Información yy Comunicación
Comunicación
Información y Ambiente
Ambientede de Control
deControl
Control Opinión
Opinión del
del Riesgo
Riesgo
Ambiente
Identificación,
Comunicación
Identificación, captura
captura yy Consiste
Es
Es base
base de
deenlos
loslacontroles
controles
integridad, La
La opinión
opinión del
del riesgo
riesgo es
es la
la
comunicación
comunicación de
de información
información en
en
Se
un
enfoca
cierto
en la
período de
naturaleza
tiempo.
y los valores éticos, y la identificación
identificación
Evaluación yy análisis
análisis de
de riesgo
de Riesgo riesgo
un cierto período de tiempo. por
calidad de la información por conciencia
conciencia de de su
su personal.
personal. relevante para lograr
relevante para lograr los los
necesaria
Acceso
Acceso aa información
información generada
generada
capacidad del personal, Es la identificación
objetivos
objetivos de
de lala entidad,
y utilizado
el
entidad, utilizado
para un efectivo así
Factores
comoincluyen
Factores incluyen integridad,
integridad,
la filosofía de la
interna y externamente.
interna y externamente. análisis
para delas
para formar
formar losbases
las riesgos
bases que
que
control, los sistemas de valores éticos, competencia,
valores éticos, competencia,
gerencia yresponsabilidad.
el estilo determinan
que permiten
determinan las
las actividades
alcanzar los
actividades de
de
información
Flujo de información
Flujo de información
usados que
que permite
permite
para autoridad,
autoridad, responsabilidad.
operativo. control.
control. y la forma cómo
objetivos
exitosamente tomar
exitosamentetaltomar acciones
acciones de
de
desarrollar información, y Base
Base para
para todos
todos los
los demás
demás
control partiendo de instrucciones
control partiendo de instrucciones componentes deben ser gerenciados.
los
sobrereportes
las necesarios para componentes de
de control.
control.
sobre las responsabilidades
responsabilidades para
para
comunicarla
resumir
resumir los con eficacia.
los hallazgos
hallazgos de
de acciones
acciones Los cinco componentes deben realizarse
gerenciales.
gerenciales. para que un control sea efectivo.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 9
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Metodología de cumplimiento de la sección 404
Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor
Preparar
Iniciar Reporte
Documentar y Probar de Control
Proyecto y Opinar
Evaluar Diseño Remediar Efectividad
Evaluar Interno para el Y Reportar
de Controles operativa
Riesgo Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 10
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 1 - Iniciar el proyecto y evaluar el riesgo
9 Establecer la carta del proyecto y su
estructura.
Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor
Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 13
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Documentar y Evaluar Diseño de Controles
Como parte fundamental de la evaluación del control interno que establece la sección
404 de Sarbanes-Oxley, se debe hacer especial énfasis en las siguientes etapas de
documentación del diseño de controles:
Determinar procesos
y controles críticos Documentar
los resultados
Identificar obtenidos
deficiencias
de documentación Desarrollar y
y de diseño establecer
de controles estándares de
documentación
Procesos no documentados
Controles no documentados
Deficiencias de diseño de
controles
Existen Se imprimen
Se buscan
Partidas no los saldos
Partidas no
Conciliadas? de mayor
conciliadas
Se concilian
las partidas
Se
Secierra el
realiza
pendientes
Fin del
Elperíodo
proceso
proceso contable
de cierre
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 20
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Caso de Estudio
Deficiencias de diseño:
Ventas: Las guías de despacho solo son firmadas y revisadas por el transportista,
faltando ser revisadas también por el gerente de almacén.
Contabilidad: El campo del sistema ABC que permite ingresar y validar la fecha
de registro de documentos contables; no contempla años bisiestos.
Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor
Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 23
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 3 - Remediación de deficiencias de diseño y documentación
Una vez detectadas las deficiencias de documentación de procesos, documentación
de controles y/o deficiencia de diseño de controles, se debe obtener la siguiente
información de la gerencia:
Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor
Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 25
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 – Probar efectividad operativa
9 Naturaleza de la prueba
9 Universo de la muestra
9 Remediación de controles
deficientes
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 26
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 – Probar efectividad operativa: Enfoque orientado a controles
9 Solo se prueban controles claves, controles que tienen incidencia directa en los estados
financieros.
9 No se realizan pruebas sobre indicadores de gestión (KPIs).
9 Se evita el desarrollo de pruebas sustantivas y de detalle (recálculos, reconstrucciones
y conciliaciones).
9 Los casos de estudio se construyen en base a una selección muestral.
9 Se evalúan controles manuales como automáticos.
9 No se prueban controles catalogados como deficientes por la gerencia.
Recibo
Archivo Cálculo Control Interfaz Control Archivo
De pago
Maestro Maestro
Enfoque a
Controles
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 28
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 – Probar efectividad operativa: Naturaleza de la prueba
Comportamiento
Deficiente Deficiente Adecuado
del control
Parametrizar
Acción a tomar Rediseñar el control N/A
correctamente la interfaz
Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor
Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 37
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 3 – Remediación de controles deficientes
Basado en las excepciones encontradas durante la etapa de prueba, la gerencia
debe buscar remediar sus deficiencias de control interno
Trimestral 2 trimestres 2
Mensual 2 meses 2
Semanal 5 semanas 2
Diario 20 días 10
25 veces sobre un
Varias veces al día 25
período de varios días
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 39
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 3 – Caso de estudio
Determinadas las deficiencias operativas y el plan de remediación, se ponen a
prueba según su frecuencia los controles detectados como deficientes en la fase
anterior:
Frecuencia: Mensual
Período de prueba mínimo: 20 días
Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor
Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 41
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 5 - Preparar Reporte de Control Interno para el Reporte Financiero
Clasificar Construir la
Clasificar Clasificar
las deficiencias matriz final
la documentación la efectividad
de diseño y de
de procesos operativa
documentación resultados
Matriz de Riesgos de
Mapas de procesos
Controles Negocio
Políticas
Manuales
Narrativas y
de Operación
Procedimientos
Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor
Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero
GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 49
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 6 - Opinar y reportar:
En la etapa final del proceso de revisión los especialistas del comite de auditoría o
de la firma de auditoría externa, deben cumplir con los siguientes aspectos:
9 La filial de XZY en Venezuela reporta los resultados de la evaluación a la casa matriz en Berlín
9 Los especialistas de la firma de auditoría externa a nivel de casa matriz, reportan ante la SEC
como eficiente, el control interno de la compañía XYZ
Desarrollo de Acceso a
programas programas
y datos
Cambios a
programas
Ambiente de
Operaciones control de
de cómputo tecnología
de información
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 53
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Participación de los especialistas de procesos y
tecnología de información
Indicadores de fraude
9 Son un conjunto de indicadores
cuantitativos, basados en una
metodología estadística, los cuales
permiten medir el riesgo de fraude de una
corporación.
32%
De los beneficios esperados con el
cumplimiento de SOX, son el entendimiento,
efectividad y comunicación de los procesos de
negocio.
29%
De los beneficios esperados con el
cumplimiento de SOX, es el descubrir
debilidades potencialmente dañinas