Induccin a la Ley Sarbanes-Oxley

Agenda

1. Orgenes de la Ley
2. Estructura de la Ley
3. Definicin de Control Interno
4. Evaluacin Efectiva de las Operaciones
5. Pasos a seguir en un proyecto SOX
6. Ejemplo de Proyecto
Orgenes de la Ley
Orgenes de la Ley
A finales de la dcada del noventa, un conjunto de escndalos contables y
financieros impact en los mercados de capitales (Enron, WorldComm)

Inversores empiezan a dudar sobre la veracidad de la informacin que se

expona en los estados contables.

Es una condicin indispensable que la informacin de que se dispone sea

confiable, la violacin o perdida de este principio hace prcticamente inviable la
existencia de un mercado de capitales.

Ante este descrdito, fue necesario elaborar un marco legal que volviera a
reinstaurar la confianza de los inversores en la autenticidad de la unformacin
que las empresas difundan en materia contable.
Orgenes de la Ley (cont.)
Es as que surge en los Estados Unidos de Amrica la ley Sarbanes-Oxley, la
cual debe su nombre a los dos congresistas que contribuyeron a su redaccin.

En sus considerandos, la ley establece la creacin de un Comit de Vigilancia

de la Contabilidad de las Empresas Publicas (en adelante el Comit), cuyas
funciones entre otras, son ...proteger el inters de los inversores, y ms all, el
inters publico, en la preparacin de reportes de auditoria informativos, exactos
e independientes.

El cumplimiento de las regulaciones establecidas en la ley por parte de las

distintas empresas, se convierte en una especie de sello de confianza
requerido por los inversores.
Estructura de la Ley
Estructura de la Ley
La presente ley consta de once ttulos, cada uno de los cuales trata una materia
en particular, como puntos ms relevantes podemos enunciar:

1. A travs de la Seccin 101, se crea como nueva entidad de control el Public

Company Accounting Oversight Board, encargado de revisar la auditora de las
compaas pblicas que estn sujetas a las leyes de seguridad y otras materias
relativas.

2. En su Seccin 102, se establece la obligacin de inscribirse, por parte de todas

las firmas pblicas de auditora, en un registro establecido por dicho Comit,
as como registrar el nombre de todos los emisores de estados contables, para
los cuales dichas firmas preparan la informacin; as como la retribucin que
reciben por los servicios que prestan de parte de cada uno de estos emisores.
Estructura de la Ley (cont.)
3. En la Seccin 201 se enumeran un conjunto de servicios que se encuentran
fuera del alcance de las practicas del auditor, como ejemplo de dichas
restricciones se pueden enumerar:
Diseo e implementacin de sistemas de informacin financiera
Servicios de Actuario
Outsourcing de servicios de auditora interna

4. En la Seccin 301 se establece la obligatoriedad de establecer un Comit de

Auditora y se definen las reglas de independencia de dicho Comit, es decir,
que ningn miembro puede trabajar para el emisor de los estados contables.
Dicho Comit deber contar por lo menos con un experto contable.
Estructura de la Ley (cont.)
5. La Seccin 302 determina la responsabilidad del management (CEO y CFO)
por la emisin de los reportes financieros. En este caso el CEO y el CFO
debern certificar ante los organismos supervisores que los estados financieros
presentan razonablemente la posicin financiera de la compaa.
Adicionalmente, los directivos son responsables por establecer y mantener el
control interno, debiendo presentar por escrito sus conclusiones acerca de la
efectividad de dichos controles a la fecha de emisin del informe.

6. En relacin con la seccin anterior, la Seccin 404 establece la responsabilidad

de la gerencia para establecer y mantener una adecuada estructura de control
interno y accesoriamente, de la efectividad de dicha estructura de control
relacionados con la emisin de la informacin financiera (TESTING)
Estructura de la Ley (cont.)
En otras secciones de la presente ley, se tipifican y penalizan nuevos crmenes,
como ser la ...destruccin, alteracin o falsificacin con el intento de impedir o
influenciar una investigacin federal..., o bien se incrementan las penas para
otro tipo de delitos como ser la adulteracin de mail, todos estos nuevos
delitos surgidos a raz de los escndalos contables del pasado.
Definicin de Control Interno
Definicin de Control Interno
La SEC define el control interno (utilizando un marco de referencia conocido
como COSO(1)) como un proceso efectuado por el consejo de administracin,
la direccin y el resto del personal de una entidad, diseado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecucin de
objetivos dentro de las siguientes categoras:

Eficacia y eficiencia de las operaciones.

Fiabilidad de la informacin financiera.
Cumplimiento de las leyes y normas aplicables.

La seccin 404 de la SOX se refiere a los controles necesarios

para asegurar la fiabilidad de la informacin financiera y el
cumplimiento de las leyes y regulaciones aplicables
Definicin de Control Interno (cont.)
Por lo tanto, incluye polticas, procedimientos y prcticas operativas que:
Conciernen al mantenimiento de registros que con detalle razonable
reflejan en forma precisa y adecuada las transacciones y disposiciones
de activos de la compaa.
Garantizan que las transacciones y disposiciones de activos de la
compaa estn autorizadas por quien corresponda.
Aseguran que se efectan los controles especficos definidos como
claves en las matrices de control,
Garantizan que el supervisor de la persona responsable por los
controles verifica que los mismos se hayan efectuado y documentado en
la forma establecida por la compaa.

El Management debe estar en condiciones de certificar con su firma

que todo esto se cumpli
Definicin de Control Interno (cont.)
Evaluacin Efectiva de las Operaciones
Evaluacin Efectiva de las Operaciones
Un Test de controles operando de forma efectiva debe incluir un mix de:
Preguntas al personal apropiado
Observacin de las operaciones de la compaa
Inspeccin de documentacin relevante
Re-ejecucin de la aplicacin de controles
Evaluacin Efectiva de las Operaciones
Timing of Testing

Realizar pruebas de controles sobre un perodo de tiempo apropiado a fin de

proveer soporte a partir de la fecha especificada en el reporte gerencial, de tal
forma de determinar que los controles necesarios para el logro de los objetivos
establecidos en el criterio de control operan de forma efectiva.

Variar con la naturalez del control probado y con la frecuencia con la

cual un especfico control opera

Controles sobre transacciones significativas no rutinarias, controles

sobre cuentas o procesos con un alto grado de subjetividad o juicio, o
controles sobre la registracin de ajustes al cierre del perodo deben
ser testeados ms cerca de dicha fecha AS.2.202
Evaluacin Efectiva de las Operaciones
TIP: El Test de controles generales debe ser realizado de forma temprana
debido a su importancia sobre los controles automticos y a que es necesario
proveer un tiempo necesario de remediacin
Evaluacin Efectiva de las Operaciones
Alto Nivel de Confianza: En la determinacin de la magnitud de los
procedimientos a realizar, el management debe disear los procedimientos a fin
de proporcionar un alto nivel de confianza (90% a 95% de nivel de confianza)
que los controles probados estn operando efectivamente.

Naturaleza del control

Frecuencia del control
Importancia del control
Evaluacin Efectiva de las Operaciones
Extensin del Testing - Controles Automticos

El Testeo de un slo tem puede ser suficiente pero tener en cuenta que existen un
nmero de atributos dentro de un control automtico

Al confiar en los controles automticas, los test sobre los controles generales IT
deben ser satisfechos a fin de poder confiar en dichos controles automticos

Se deben comprender y testear los controles asociados con modificacin de

polticas y procedimientos
Evaluacin Efectiva de las Operaciones
Extensin del Testing - Controles Manuales

Cuando se testean controles manuales, basados en la frecuencia del control, los

tamaos de muestra sugeridos son los siguientes:
Evaluacin Efectiva de las Operaciones
Extensin del Testing - Controles Generales de IT

Los Controles Generales IT tienen un efecto profundo en el cumplimiento

de muchos objetivos de control:

Desarrollo de programas
Cambios en programas
Operaciones computarizadas
Acceso a programas y datos
Evaluacin Efectiva de las Operaciones
Consideraciones sobre Fraude

Evaluar todos los controles especficamente los relacionados al riesgo de fraude

que tienen un razonable probabilidad de tener un efecto material sobre los
estados financieros de la compaa

Tales controles incluyen, pero no se limitan a:

Controles que impiden la malversacin de recursos de la compaa que podran
producir un error material en los estados financieros
Proceso de Risk assessment
Cdigo de tica/ conducta
Procedimiento para manejo de reclamaciones
Evaluacin Efectiva de las Operaciones
Tiempo necesario para demostrar que las operaciones son efectivas

Los cambios a y/o remediaciones de controles necesitan tener el tiempo

suficiente para permitir asegurarnos que los mismos operan efectivamente
Evaluacin Efectiva de las Operaciones
Tiempo necesario para demostrar que las operaciones son efectivas

Los cambios a y/o remediaciones de controles necesitan tener el tiempo

suficiente para permitir asegurarnos que los mismos operan efectivamente
Pasos a seguir en un proyecto SOX
Pasos a seguir en un proyecto SOX
1. Analizar la documentacin existente a fin de proveer el grado necesario de
conocimiento de los procesos para un correcto test:

Posibles formas de documentacin

Flowcharts del flujo de transacciones

Narrativa a fin de entender como las transacciones son inicialadas,
autorizadas, registradas e informadas
Matrices de control identificando los controles claves Key Controls
Documentacin que mapee y ayude a comprender la relacin entre los
estados contables y la documentacin de los procesos y transacciones
Walkthrougs del proceso
Pasos a seguir en un proyecto SOX
2. (Si no existiera) elaborar el plan de testing para cada Key Control.

3. Definir y Documentar (Matriz de Control):

Tcnica de Testing
Tamao de la muestra
Tcnica de muestra (Azar ACL)
Universo sobre el cual aplicar la muestra
Documentacin necesaria para confirmar la ejecucin del control

4. Solicitar la informacin definida en el punto anterior, al sector correspondiente

referente a la muestra seleccionada para ejecutar las actividades detalladas en el
pto 2.
Pasos a seguir en un proyecto SOX
5. Documentar los hallazgos productos del punto anterior (Matriz de Control).
Ejemplo de Proyecto
Ejemplo de Proyecto
Ejemplo de Proyecto (cont.)
ETAPAS CLAVES

COMPAA AUDITOR
Ejemplo de Proyecto (cont.)
Documentacin de los Controles Clave: La Matriz de Control

Para cada control clave se documenta (entre otros):

El objetivo de control
Como funciona
Como es documentado (evidencia que el control se realiz)
Quin lo realiza
Quin es el responsable de asegurar que el control fue ejecutado y documentado
adecuadamente
Cuales son los procedimientos aplicables (cuando corresponde)
Cuales son los sistemas transaccionales utilizados para realizar el control (cuando
corresponda)
Ejemplo de Proyecto (cont.)
Ejemplo de Proyecto (cont.)
Ejemplo de Proyecto (cont.)