Ley Sarbanes Oxley

Agregando Valor a travs de la Transparencia

Agenda
Viernes (7:00 PM 10:00 PM)
1. Introduccin a Sarbanes Oxley
2. Aspectos Generales de la Ley Sarbanes Oxley
3. COSO Aplicado a Sarbanes Oxley
4. Metodologa de Cumplimiento
5. Evaluacin de Control Interno a Nivel de Entidad

Sbado (8:00 AM 10:00 AM)

6. Aseveraciones Financieras y Controles a Nivel de Proceso, Transaccin o
Aplicacin
7. Teora de Riesgos y Controles
8. Principios de Recorridos & Pruebas de Cumplimiento
9. Identificacin y Documentacin de Riesgos y Controles

Sbado (10:00 AM 12:00 AM)

10. Taller Identificacin & Documentacin de Riesgos y Controles

1
Sarbanes Oxley
Introduccin
Ley Sarbanes Oxley

Porqu Sarbanes Oxley?

Enron shock!
WorldCom action!!
Reestablecer la confianza de los
Inversionistas
Aumentar la transparencia

3
Ley Sarbanes Oxley
Nuevas regulaciones legales / criminales relacionadas con la
conducta corporativa.
Nuevo ente de control contable en los Estados Unidos (Public
Company Accounting Oversight Board)
Reformas mandatorias relacionadas con el gobierno corporativo
Fortalece el rol e independencia de los comits de auditora
Nuevas restricciones de independencia para el auditor
Crea nuevos requerimientos de reporte financiero para los
emisores

4
Objetivos
Responsabilizar a la gerencia de la administacin y conducta de sus
empresas
Mejorar el gobierno corporativo
Incrementar la vigilancia y supervisin de las firmas de contabilidad y
auditora
Restaurar la confianza de los mercados de capitales

5
Sarbanes Oxley
Aspectos Generales
Emisores
1. Estarn sujetos a la ley.
2. Debern establecer Comits de
Auditora.
3. La Junta puede exigir
declaraciones y papeles de trabajo
de auditora relacionados con un
emisor.
4. Los emisores sern responsables
por asociarse con auditores
suspendidos o dados de baja.
5. Los emisores financiarn las
operaciones de la Junta y del
FASB.
6. El emisor no puede contratar a su
auditor para prestar nueve servicios
especficos que no son de
auditora.
7. El comit de auditora del emisor
debe pre-aprobar todos los
servicios de auditora y otros
servicios.
8. Los emisores deben comunicar la
aprobacin de servicios que no son
de auditora.
9. Los emisores deben esperar un
ao antes de contratar a un
integrante del equipo de auditora
para que se desempee como
CEO, CFO, CAO o equivalente.
10. Los emisores deben financiar
adecuadamente a los Comits de
Auditora.
7
Emisores (continuacin)
11. Deben exponer las operaciones
extracontables.
12. Deben conciliar la informacin pro
forma con los PCGA y no deben
omitir informacin que haga
engaosa las exposiciones
contables.
13. No pueden otorgar prstamos a los
directores o funcionarios.
14. Deben exponer las operaciones
que involucren a la gerencia y los
principales accionistas.
15. Deben confeccionar informes
anuales de control interno.
16. Deben exponer si han adoptado
cdigos de tica para sus altos
funcionarios.
17. Deben comunicar la existencia de
un experto financiero en el Comit
de Auditora.
18. Deben publicar informacin sobre
cambios significativos en tiempo
real.
19. La ley crea nueva sanciones
penales por obstruccin de justicia
debido a la destruccin de
documentos.
8
Emisores (continuacin)
20. La ley modifica la ley de quiebras
en relacin con las obligaciones por 23. La ley crea nuevas sanciones
las violaciones de las leyes de penales por defraudar a los
ttulos. accionistas de empresas que hacen
21. La ley extiende los plazos de oferta pblica de sus acciones.
prescripcin para los casos de 24. La ley incrementa las sanciones
defraudaciones que involucren para los delitos de guante blanco.
ttulos valores.
22. La ley crea nuevas protecciones
para empleados de las emisoras
que denuncien ilcitos.

9
Comits de Auditora
1. Pre-aprueba todos los servicios que
no son de auditora.
2. Tiene la capacidad de delegar la
facultad de pre-aprobacin.
3. Recibe informes peridicos del
auditor sobre los tratamientos
contables.
4. Es responsable de supervisar al
auditor.
5. Es independiente del emisor.
6. Establece procedimientos para
quejas y denuncias.
7. Tiene la facultad de contratar
asesores.
8. Recibe informes de los abogados
de la sociedad por las violaciones
significativas a las leyes de ttulos
valores, o el incumplimiento de
deberes fiduciarios.
10
 Directorios / Funcionarios
1. El Directorio debe crear un Comit de
Auditora o asumir esas
responsabilidades.
2. El CEO y el CFO deben certificar los
informes contables.
3. Los funcionarios y directores tienen
prohibido actuar engaosa y
fraudulentamente ante los auditores.
4. CEO / CFO deben devolver las
gratificaciones y ganancias si se
produce un ajuste en resultados
debido a conductas fraudulentas.
5. La SEC puede inhabilitar a
Funcionarios y Directores no
idneos.
6. Los funcionarios y directores no
pueden negociar durante los
perodos de veda relacionados con
pensiones.
7. El CEO y Gerente de Legales
deben recibir informes de los
abogados con pruebas sobre toda
violacin significativa de las leyes
de ttulos o el incumplimiento de
deberes fiduciarios.
8. La ley da a la SEC capacidad para
congelar transitoriamente la
remuneracin de los Funcionarios
Societarios.
11
 Firmas de contabilidad
1. Estn sujetas a la supervisin de una
nueva Junta de supervisin contable.
2. Deben inscribirse ante la Junta.
3. Deben presentar informes
regularmente.
4. Deben abonar honorarios a la Junta.
5. Deben cumplir con las normas
profesionales.
6. Deben cumplir con las normas de
control de calidad.
7. Deben someterse a inspecciones de
control de calidad.
8. Las reglamentaciones de la Junta
son aplicables a las firmas
extranjeras.
9. Obtener el consentimiento de las
firmas extranjeras ante los pedidos
de la Junta cuando una firma local
se base en la opinin de esas firmas
extranjeras.
10. Investigaciones y acciones
disciplinarias.
11. Pedidos de presentacin de
testimonios y documentos.
12. Sanciones de la Junta, incluida la
suspensin.
12
 Firmas de contabilidad (continuacin)
13. Investigacin penal estadual y federal
si lo solicita la Junta.
14. Sanciones por falta de supervisin.
15. Los integrantes del equipo de auditora
deben esperar un ao antes de
aceptar empleo como CEO, CFO, CAO
o equivalente en un cliente de
auditora.
16. Sanciones penales por la destruccin
de los registros societarios de la
auditora.
17. Extensin de los plazos de
prescripcin para casos de
defraudaciones con ttulos valores.
18. Deben conservar documentos.
19. Deben someter las auditoras a la
revisin de un segundo socio.
20. Deben rotar a los socios de auditora
cada cinco aos.
21. Deben cumplir con las normas de
prueba de los controles internos
emitidas por la Junta.
22. Deben certificar las declaraciones
de la Gerencia sobre controles
internos.
23. Dejar de ofrecer servicios que no son
de auditora a los clientes de auditora
que hacen oferta pblica.
13
Firmas de contabilidad (continuacin)
24. Obtener la pre-aprobacin del Comit de Auditora por los servicios.
25. Informar regularmente a los Comits de Auditora sobre los tratamientos
contables.
26. Responden ante el Comit de Auditora, no ante la Gerencia.

14
Procedimientos de control interno para la emisin de
informacin financiera - Secciones 302 y 404
Seccin 302
Exige que el CEO y el CFO certifiquen trimestral y anualmente la efectividad de los
controles y procedimientos de exposicin, que incluyen los controles internos para
un adecuado reporte de la informacin contable
Aplicable a perodos que terminen despus del 29 de agosto de 2002

Seccin 404
Exige que la sociedad documente y evale la efectividad de los controles y
procedimientos internos para un adecuado reporte de informacin contable.
Exige que el auditor externo certifique las afirmaciones de la gerencia incluidas en
el informe.
Aplicable a cierres de ejercicios fiscales Noviembre, 2004 o Abril, 2005,
dependiendo de tipo de emisor

15
Seccin 302 Requisitos
Seccin 302 El CEO/CFO deben certificar trimestral y anualmente que:
El informe presentado a la SEC ha sido revisado.
El informe no contiene manifestaciones no veraces ni omite hechos significativos,
necesarios para que los estados contables no sean engaosos.
Los estados contables presentan razonablemente, en todos sus aspectos significativos,
la situacin patrimonial, los resultados de sus operaciones y los flujos de efectivo.
Es responsable y ha diseado, establecido, y mantenido Controles y
Procedimientos de Exposicin (C&PE), as como que ha evaluado e informado
sobre la efectividad de los controles y procedimientos, dentro de los 90 das de la
fecha de presentacin del informe.
Se informaron al comit de auditora y a los auditores las deficiencias y debilidades
significativas de los controles internos, as como todo fraude (significativo o no) que
involucre a alguna persona con un rol significativo en el control interno.
Los cambios significativos en los controles internos que afecten los controles de
perodos no sujetos a la revisin han sido informados en la certificacin, incluidas las
acciones correctivas con respecto a las deficiencias y debilidades significativas

Nota: Las certificaciones individuales mencionadas y los requisitos de exposicin

correspondientes tuvieron distintas fechas de entrada en vigencia a partir del 29 de
agosto de 2002.

16
Seccin 404 Requisitos de emisin de
informacin contable
Seccin 404 La gerencia debe evaluar los controles internos en
forma anual
Manifestacin sobre la responsabilidad de la gerencia de establecer y mantener una
estructura de control interno y procedimientos adecuados para la emisin de informacin
contable.
Manifestacin identificando el marco de referencia usado para evaluar la efectividad del
sistema de control interno de reporte financiero
La gerencia debe evaluar la efectividad de la estructura y procedimientos de control interno
al cierre del ejercicio ms reciente.
Manifestacin de que la Firma que ha auditado los estados financieros, ha emitido a su vez
un informe sobre la evaluacin del control interno efectuada por la Gerencia de la emisora
Opinin del auditor externo

17
Seccin 404 Requisito de auditora externa

El auditor debe realizar pruebas sobre la estructura de control

para confirmar su entendimiento de la efectividad de esa
estructura.

El objetivo de los procedimientos de certificacin de los

auditores es brindar una opinin acerca de la integridad y
exactitud de las afirmaciones de la gerencia, relacionadas con
la efectividad de la estructura y procedimientos de control
interno del emisor a cada fecha de emisin de informacin
contable.

18
Interseccin de las secciones 302 y 404

El punto en comn es obtener una conclusin sobre la

efectividad de la estructura de control interno.
La gerencia y los auditores deben acordar una definicin de
efectividad
La gerencia y los auditores deben acordar una definicin de
significatividad
La gerencia y los auditores deben acordar los controles y
procedimientos clave que deben ser efectivos para cumplir los
objetivos de emisin de informacin contable.
Los procedimientos clave de control interno evaluados por los
auditores en virtud de la seccin 404 deben ser los mismos
procedimientos revisados por el CEO/CFO en virtud de la
seccin 302.

19
Cmo se relacionan las secciones 302 y 404 con el
marco general de riesgo?
Seccin 302: Marco general de riesgo
Certificacin
Trimestral de la Controles y
Gerencia Procedimientos

Controles
internos sobre
la emisin de
informacin
contable
Seccin 404:
Evaluacin Anual
de Exposicin de la Gerencia y
Certificacin del
Auditor

20
Sarbanes Oxley
Aplicacin de COSO & COBIT
 Control Interno

Se define como el proceso efectuado por la Alta

Administracin y el resto de una entidad, diseado
con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecucin de objetivos
dentro de las siguientes categoras:

Honestidad y
responsabilidad
Eficacia y eficiencia
en las operaciones Confiabilidad de
la informacin
financiera
Salvaguardar los
Recursos
Cumplimiento de
las leyes y normas

22
Marco de control interno
Aunque la Ley no da una definicin de control interno, la adoptada por
COSO ha sido aceptada por el gobierno de Estados Unidos y sus
dependencias, ha sido incorporada a las normas de auditora
estadounidenses (AU 319) y es un marco integrado, generalmente
aceptado, de la infraestructura de control.

Se define Control Interno como el proceso, realizado por el directorio y la

gerencia de una sociedad, diseado para dar un grado de seguridad
razonable acerca del cumplimiento de los objetivos de negocio en las
siguientes categoras:
Efectividad y eficiencia de las operaciones
Confiabilidad en la emisin de la informacin contable
Cumplimiento con las leyes, normas y regulaciones aplicables
COSO identifica cinco componentes de control que deben implementarse e
integrarse para asegurar el cumplimiento de cada uno de los objetivos.
COSO es un marco integrado para control interno que, cuando se implementa, brinda
una base para establecer una estructura de control que cumple con los requisitos de la
Seccin 302.

23
 Marco de control COSO
Monitoreo
Evaluacin del
funcionamiento del sistema
de control en el tiempo.
Combinacin de
evaluaciones puntuales y
recurrentes.
Actividades de direccin y
supervisin.
Actividades de auditora
interna.
Informacin y comunicacin
Se identifica, captura y comunica
la informacin adecuada en
forma oportuna.
Acceso a informacin generada
interna y externamente.
Flujo de informacin que permite
acciones de control exitosas, que
van desde instrucciones
relacionadas con
responsabilidades hasta
resmenes de observaciones de
las acciones de la direccin.
Ambiente general de control
Fija las pautas de la organizacin
que ejercen influencia sobre la
conciencia de la gente.
Los factores incluyen integridad,
valores ticos, competencia,
autoridad, responsabilidad.
Base de los dems componentes
de control.
Los cinco componentes deben
implementarse para lograr un control
efectivo.
Actividades de control
Polticas y procedimientos
que aseguran que se
cumplen las directivas de la
direccin.
Rango de actividades que
incluyen aprobaciones,
autorizaciones,
verificaciones,
recomendaciones,
revisiones de desempeo,
salvaguarda de activos y
segregacin de funciones.
Evaluacin de riesgos
La evaluacin de riesgos es
la identificacin y anlisis
de los riesgos significativos
para lograr los objetivos del
ente y formar la base para
determinar las actividades
de control.
24
Cul es el alcance de control para las secciones 302 y
404?
U
N
I
D
F A Consideraciones de
Ambiente general de control
Alcance de la prctica D control interno
U
para las secciones 404 - cubiertas por la
y 302 de la ley SO N Seccin 404 de la ley
Evaluacin de riesgos N
C Sarbanes Oxley
I E
Actividades de O G
control N O
E C
Informacin y comunicaciones I
S
o Diagrama basado en las normas de auditora del
AICPA AU319,
Monitoreo Definicin de control interno (Prrafo .13)

Dato clave
Las principales empresas utilizan el requerimiento de la seccin 404 como
catalizador para revisar su modelo integral de riesgo.

25
Control Interno sobre Emisin de Informacin Contable
La regla final de la Seccin 404 define el Control
Interno sobre Emisin de Informacin Contable como
el proceso diseado por, o bajo supervisin de, el
Ejecutivo Mximo y el Ejecutivo Financiero Principal,
efectivizado por el Directorio, la Gerencia y otro
personal, con el fin de brindar una seguridad
razonable sobre la confiabilidad de la informacin
contable y financiera, incluyendo los estados
financieros preparados de acuerdo con principios de
contabilidad generalmente aceptados.

26
Control Interno sobre Emisin de Informacin
Contable Marco de Referencia
La regla final de la seccin 404 establece que la
evaluacin que hace la Gerencia debe asentarse en
un marco de referencia apropiado y universalmente
reconocido
La SEC reconoce que COSO cumple con los
requerimientos de la regla final (en US sera el nico)
pero no es obligatorio
El reporte COCO (Canad) y el reporte Turnbull (UK)
son tambin marcos de referencia que cubren los
requerimientos de la norma

27
Sarbanes Oxley
Metodologa de Cumplimiento
reas involucradas

Entity Level Assessment

Business Processes ITGC

29
Metodologa de Cumplimiento

Enfoque:
Alcance Preparar Documentacin Probar y Monitorear Informe
del Proyecto y Evaluar Controles Controles
Fases de Evaluacin:

Organizar un Comprender y Evaluar la Eficacia Informe de la

Evaluar el Evaluar el Control
Comprender Equipo de General, Identificar Gerencia
la Definicin Control Interno a Niveles de Asuntos que
Proyecto sobre
de Control Interno a Proceso, Necesiten Mejora, y
para Control
Interno Nivel de Transaccin o Establecer Sistemas
Conducir la Interno
Empresa Aplicacin de Monitoreo
Evaluacin

La definicin en el Seleccionar un equipo Comenzar la Este es un proceso de documentacin El paso final es hacer una
Informe de COSO es apropiado y establecer evaluacin integral y comprensin de los flujos de evaluacin general basada en
el mejor punto de reglas de considerando el transacciones y controles relacionados los resultados.
partida para la procedimiento. control interno a nivel que demanda mucho tiempo.
evaluacin. de empresa. Desarrollar un proceso de
Oportunidad: monitoreo.

Preparar documentacin, Examen por el Auditor de

Organizar proceso, equipo, conducir pruebas detalladas y
oportunidad del proyecto las Aseveraciones de la
corregir deficiencias de control Gerencia

30
Metodologa de Cumplimiento

Documentacin
Evaluacin del Diseo de los Controles:

Se han identificado todos los riesgos relevantes?

Flujograma Se han identificado todos los controles relevantes?

Los controles identificados cubren los riesgos?

Hay alguna deficiencia en los controles?

Narrativa Cules de los controles son clave?

Estn diseados efectivamente los controles? Los controles establecidos son efectivos para
mitigar los riesgos?
Matriz de Riesgos y Contamos con controles robustos?Podemos confiar en ellos?.
Controles La documentacin describe con precisin los procesos, los riesgos y los controles asociados?.

Segregacin de Funciones
Resultados Clave

Documentacin
Identificacin y Resumen de
Recorridos Evaluacin de Controles Clave
Disponible para
Revisin y
Deficiencias para para Pruebas
Aseguramiento de
Remediacin (Testing)
Calidad

31
Controles a Nivel de Proceso, Transaccin o Aplicacin

Documentacin bajo la Sarbanes-Oxley Act Section 404

Cuentas Seleccionadas se Basan en:
Errores de importancia*
Tamao y composicin
Susceptibilidad a manipulacin o prdida
Alto volumen de transacciones
Complejidad de transacciones
Implicaciones Subjetividad para determinar saldo de cuentas
Financieras Naturaleza de la cuenta

2003
Financial
Statements

Management
Estados Cuentas Report on

?
Internal
Financieros Significativas Control

Procesos Riesgos Controles Evaluar/ Informe

Implicaciones
Significativos Monitorear
Tipos: Deteccin: Monitorea en Factores en Evaluacin:
en Procesos Para Cada Aseveracin busca de errores
Flujos de transacciones Pregunte: Competencia, integridad del
Riesgos Inherente Aseveraciones Rutinarias Prevencin: Previene un personal que ejecuta el
Dnde estn los puntos en el flujo error
No-rutinarias control; grado de supervisin;
y de Negocios de Estados
de transacciones donde pueden
Estimacin Quin Ejecuta? alcance de rotacin de
ocurrir errores?
Procesos de IT empleados
Clave Financieros Procesos de Negocios Ejemplo:
Cuentas: Efectivo o Ctas por
Control Programado?
Identificar el sistema Potencial de abuso (override)
de la Gerencia Proceso de Cierre de
Estados Financieros
Pagar
Proceso: Desembolsos
procesador de la gerencia
Falta de segregacin de
Existencia (B/S) u (Aseveracin de Aseveracin: Valuacin funciones, incluso dentro de
Ocurrencia (I/S) Presentacin y Cules son los procedimientos las aplicaciones del
Integridad Revelacin) manuales y programados que computador
Valuacin (B/S) o aseguran que el monto de un cheque Efecto de cambios en
Medicin (I/S) o una transferencia concuerda con el
controles
monto aprobado para pago?
Derechos y Otros riesgos especficos
Obligaciones (B/S)

32
Sarbanes Oxley
Evaluacin de Control Interno a
Nivel de Entidad
Evaluacin de Control Interno a Nivel de Entidad
Area Puntos a Considerar
Integridad, valores ticos y comportamiento de los ejecutivos clave
Conciencia de control de la gerencia y estilo operativo
Ambiente de Control Compromiso de la gerencia a ser competente
Participacin de la junta directiva y/o comit de auditoria en el gobierno
Estructura organizacional, autoridad y responsabilidad
Polticas y prcticas de Recursos Humanos

Proceso de Evaluacin de Riesgo

Evaluacin de Riesgos Mecanismos para anticipar, identificar y reaccionar ante hechos
significativos
Polticas y Procedimientos para identificar cambios en los PCGA,
prcticas de negocio y control interno

Reportes de desempeo adecuados

Informacin y Conectados con la estrategia de negocio
Comunicacin Compromiso de la organizacin para desarrollar, probar y supervisar la
operacin de los sistemas de IT y de sus controles relacionados.
Planes de continuidad de negocio / prevencin de desastres para IT
Existencia de polticas y procedimientos
Objetivos financieros claros con las respectivas actividades de
Actividades de Control supervisin
Segregacin de funciones
Comparaciones peridicas de libros versus real
Adecuada salvaguarda de documentos, registros y activos
Controles de Acceso
Monitoreo Evaluaciones peridicas de control interno
Implementacin de recomendaciones de mejoramiento
Funciones de auditora interna efectivas para supervisin

34
Entorno de Control
El entorno de control refleja la pauta fijada por la alta gerencia y la actitud general, la conciencia y las acciones de la
junta directiva, la gerencia, los dueos y otros, con respecto a la importancia del control interno y el nfasis puesto
sobre el control en las polticas, procedimientos, mtodos y estructura organizacional de la compaa. Esto es el
fundamento para todos los otros componentes del control interno, que proveen disciplina y estructura

Integridad, valores ticos y comportamiento de los ejecutivos clave

Conciencia de control de la gerencia y estilo operativo

Compromiso de la gerencia a ser competente

Participacin de la junta directiva y/o comit de auditoria en el gobierno (governance) y la vigilancia

Estructura organizacin y asignacin de autoridad y responsabilidades

Polticas y prcticas de recursos humanos

35
Evaluacin de Riesgos
La evaluacin de riesgos es la identificacin y anlisis de riesgos relevantes (tanto internos como externos) al logro de
los objetivos, formando una base para determinar como los riesgos deben ser administrados

Se han establecido y comunicado objetivos a nivel de empresa, incluyendo como estn apoyados por planes
estratgicos y complementados a nivel de proceso / aplicacin. Se ha establecido un proceso de evaluacin
de riesgo, incluyendo la estimacin de la importancia de los riesgos, la evaluacin de la probabilidad de su
ocurrencia, y la determinacin de las acciones necesarias a seguir.

Existen mecanismos para anticipar, identificar y reaccionar a los cambios que pudieran tener un efecto
dramtico y dominante de la empresa (Ej: el comit de administracin de activos/pasivos en una institucin
financiera, el grupo de administracin de riesgos de comercializacin de commodities en una empresa
manufacturera) o que pudiera afectar el logro de los objetivos de la empresa o de niveles de
procesos/aplicaciones.

El departamento de contabilidad tiene procesos establecidos para:

1. Identificar cambios en los principios de contabilidad generalmente aceptados (PCGA) promulgados por los organismos con autoridad
relevantes.
2. Notificar al departamento de contabilidad de cambios en las prcticas de negocio de la compaa que puedan afectar el mtodo los
procesos de registrar transacciones.
3. Identificar cambios significativos en el control interno o el entorno operativo, incluyendo cambios que resulten en nuevas regulaciones o
cambios en estas

36
Informacin y Comunicacin
Los sistemas de informacin y comunicacin apoyan la identificacin, captura e intercambio de informacin en una
forma y oportunidad que permiten a la gerencia y a otro personal apropiado a cumplir con sus responsabilidades.

Informacin

Los sistemas de informacin proveen a la gerencia los reportes necesarios para el desempeo de la
empresa en relacin a los objetivos establecidos, incluyendo informacin interna y externa relevante y
proporcionan la informacin a la gente apropiada con el detalle necesario y a tiempo, para permitirles cumplir
con sus responsabilidades eficaz y eficientemente.

Los sistemas de informacin son desarrollados o revisados en base al plan estratgico que est
interrelacionado con los sistemas de informacin generales de la empresa y responden al logro de los
objetivos a nivel de empresa y a nivel de proceso/aplicaciones.

La gerencia destina los recursos humanos y financieros apropiados para desarrollar los sistemas de
informacin necesarios y asegura y supervisa a los usuarios que participan en el desarrollo (incluyendo
revisiones) y prueba de los programas.

La gerencia a establecido un plan de continuidad del negocio / recuperacin de desastres para todos los
centros primarios de informacin

37
Informacin y Comunicacin (continuacin)
Los sistemas de informacin y comunicacin apoyan la identificacin, captura e intercambio de informacin en una
forma y oportunidad que permiten a la gerencia y a otro personal apropiado a cumplir con sus responsabilidades.

Comunicacin

La gerencia comunica los deberes y responsabilidades de control de los empleados de una manera eficaz y
ha establecido canales de comunicacin para que la gente reporte situaciones que se sospeche son
impropias.

Existe una adecuada comunicacin a travs de la organizacin que permite a la gente cumplir con su
responsabilidad eficazmente y la gerencia toma acciones de seguimiento oportuna y apropiadamente sobre
las comunicaciones recibidas de clientes, proveedores, reguladores u otras partes externas.

38
Actividades de Control
Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las directrices de la gerencia
sean cumplidas

Existen polticas y procedimientos necesarios con respecto a que cada una de las actividades de la empresa
y los controles sealados por la poltica estn siendo aplicados.

La gerencia tiene objetivos claros en trminos de presupuesto, utilidades y otras metas financieras y de
operacin y estos objetivos estn claramente escritos, y son comunicados a toda la empresa y activamente
monitoreados. Han sido implementados sistemas de planificacin y de reporte para identificar variaciones en
el rendimiento planificado y comunicar estas variaciones al nivel apropiado de la gerencia. El nivel de la
gerencia apropiado investiga las variaciones y toma acciones correctivas apropiadas y oportunas.

Los deberes son lgicamente divididos o segregados (manualmente o a travs de la implementacin de

aplicaciones de tecnologa de informacin (IT) apropiadas) entre diferentes personas para reducir el riesgo
de fraude o de acciones impropias.

39
Actividades de Control (continuacin)
Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las directrices de la gerencia
sean cumplidas

Se realizan comparaciones peridicas de montos registrados en el sistema de contabilidad con activos

fsicos. Existen adecuados resguardos para prevenir acceso no autorizado o la destruccin de documentos,
registros y activos.

Se han establecido polticas para controlar el acceso a programas y archivos de datos. Se usa software de
seguridad de acceso, software de sistema operativo y/o software de aplicaciones para controlar el acceso a
programas de datos. Existe una funcin de seguridad de informacin y es responsable de monitorear el
cumplimiento de las polticas y procedimientos de seguridad de informacin

40
Sarbanes Oxley
Aseveraciones Financieras y
Controles a Nivel de Proceso,
Transaccin y Aplicacin
Controles a Nivel de Proceso, Transaccin o Aplicacin

Documentacin bajo la Sarbanes-Oxley Act Section 404

Cuentas Seleccionadas se Basan en:
Errores de importancia*
Tamao y composicin
Susceptibilidad a manipulacin o prdida
Alto volumen de transacciones
Complejidad de transacciones
Implicaciones Subjetividad para determinar saldo de cuentas
Financieras Naturaleza de la cuenta

2003
Financial
Statements

Management
Estados Cuentas Report on

?
Internal
Financieros Significativas Control

Procesos Riesgos Controles Evaluar/ Informe

Implicaciones
Significativos Monitorear
Tipos: Deteccin: Monitorea en Factores en Evaluacin:
en Procesos Para Cada Aseveracin busca de errores
Flujos de transacciones Pregunte: Competencia, integridad del
Riesgos Inherente Aseveraciones Rutinarias Prevencin: Previene un personal que ejecuta el
Dnde estn los puntos en el flujo error
No-rutinarias control; grado de supervisin;
y de Negocios de Estados
de transacciones donde pueden
Estimacin Quin Ejecuta? alcance de rotacin de
ocurrir errores?
Procesos de IT empleados
Clave Financieros Procesos de Negocios Ejemplo:
Cuentas: Efectivo o Ctas por
Control Programado?
Identificar el sistema Potencial de abuso (override)
de la Gerencia Proceso de Cierre de
Estados Financieros
Pagar
Proceso: Desembolsos
procesador de la gerencia
Falta de segregacin de
Existencia (B/S) u (Aseveracin de Aseveracin: Valuacin funciones, incluso dentro de
Ocurrencia (I/S) Presentacin y Cules son los procedimientos las aplicaciones del
Integridad Revelacin) manuales y programados que computador
Valuacin (B/S) o aseguran que el monto de un cheque Efecto de cambios en
Medicin (I/S) o una transferencia concuerda con el
controles
monto aprobado para pago?
Derechos y Otros riesgos especficos
Obligaciones (B/S)

42
Aseveraciones financieras
8 aseveraciones de la gerencia a los estados financieros
Existencia Balance General Estado de Resultados

Existe un activo o un pasivo en una fecha determinada.

Ocurrencia Balance General Estado de Resultados

Una transaccin o evento realmente tuvo lugar durante el periodo.

Valuacin Balance General Estado de Resultados

Un activo o pasivo es registrado al valor apropiado en libros.

Exactitud Balance General Estado de Resultados

Una transaccin o un evento est registrado en un importe apropiado y el ingreso o gasto est atribuido en el perodo apropiado.

Integridad Balance General Estado de Resultados

No hay activos, pasivos, transacciones o eventos no registrados, ni partidas no reveladas.

Derechos y Obligaciones Balance General Estado de Resultados

Un activo o un pasivo pertenece a la compaa en una fecha determinada.

Presentacin y Revelacin Balance General Estado de Resultados

Una partida est clasificada, descrita y revelada de conformidad con la estructura de informacin financiera que le es aplicable.

Salvaguardia de Activos Balance General Estado de Resultados

La compaa tiene procesos y controles para razonablemente prevenir y detectar fraudes.

43
Cuentas Significativas

El punto de partida para el proceso de identificacin de los

procesos significativos sobre los cuales se aplican los
controles internos es identificar las cuentas significativas a
nivel de revelacin en los rubros o las notas de los estados
financieros consolidados
Cuentas Seleccionadas se Basan en:
Errores de importancia*
Tamao y composicin
Cuentas
Susceptibilidad a manipulacin o prdida
Significativas Alto volumen de transacciones
Complejidad de transacciones
Subjetividad para determinar saldo de cuentas
Naturaleza de la cuenta
44
Cuentas Significativas (continuacin)

45
Clases Mayores de Transacciones y Procesos Relacionados

Despus de identificar las cuentas significativas, se deber identificar las clases mayores de
transacciones, los procesos significativos y las actividades contables y controles relacionados
que afectan esas cuentas. Los procesos significativos y las actividades contables relacionadas
son aquellos que estn involucrados en el procesos de las clases mayores de transacciones
(Ej.: Ventas, Compras) que afectan cuentas o grupos de cuentas significativas. Las actividades
contables tambin incluyen actividades para desarrollar y registrar estimaciones contables clave
o para completar el proceso de cierre de estados financieros al fin de cada perodo contable

Tipos:
Flujos de transacciones
Rutinarias
No-rutinarias
Estimacin
Procesos de IT
Procesos Procesos de Negocios
Significativos
Proceso de Cierre de Estados
Financieros (Aseveracin de
Presentacin y Revelacin)
46
Clases Mayores de Transacciones y Procesos Relacionados

47
Riesgos Que puede fallar
Considerar los tipos de errores que puedan ocurrir a nivel de procesos, transaccin o aplicacin
es un paso clave para asegurar que se enfoca apropiadamente aquellos controles relevantes
que estn diseados eficazmente para prevenir y detectar errores de importancia o fraude. Se
necesita determinar el nivel de detalle adecuado con base en los riesgos de informacin
financiera relacionados con cada procesos significativo que est siendo evaluado, y su relativa
importancia para los estados financieros en general (errores relativamente pequeos en
procesos globales de la empresa podran tener efectos potenciales graves, mientras errores
potenciales mayores en procesos aislados o menos significativos pueden o no tener los mismos
efectos).
Para Cada Aseveracin Pregunte:
Dnde estn los puntos en el flujo de transacciones donde pueden
? ocurrir errores?
Ejemplo:
Riesgos Cuentas: Efectivo o Cuentas por Pagar
Proceso: Desembolsos
Aseveracin: Valuacin
Cules son los procedimientos manuales y programados que aseguran
que el monto de un cheque o una transferencia concuerda con el monto
aprobado para pago?

48
Riesgos en Aseveraciones financieras
8 aseveraciones de la gerencia a los estados financieros
Existencia Balance General Estado de Resultados

Existe un activo o un pasivo en una fecha determinada.

Ocurrencia Balance General Estado de Resultados

Una transaccin o evento realmente tuvo lugar durante el periodo.

Valuacin Balance General Estado de Resultados

Un activo o pasivo es registrado al valor apropiado en libros.

Exactitud Balance General Estado de Resultados

Una transaccin o un evento est registrado en un importe apropiado y el ingreso o gasto est atribuido en el perodo apropiado.

Integridad Balance General Estado de Resultados

No hay activos, pasivos, transacciones o eventos no registrados, ni partidas no reveladas.

Derechos y Obligaciones Balance General Estado de Resultados

Un activo o un pasivo pertenece a la compaa en una fecha determinada.

Presentacin y Revelacin Balance General Estado de Resultados

Una partida est clasificada, descrita y revelada de conformidad con la estructura de informacin financiera que le es aplicable.

Salvaguardia de Activos Balance General Estado de Resultados

La compaa tiene procesos y controles para razonablemente prevenir y detectar fraudes.

49
Riesgos

50
Controles
En este punto, se debe considerar los controles sobre cada proceso
significativo que contemplan los riesgos para las aseveraciones
relevantes. El objetivo es identificar los controles que proporcionan
seguridad razonable de que los errores relativos a cada una de las
aseveraciones relevantes de los estados financieros son prevenidos, o
que cualquier error que ocurra durante el procesamiento son detectados
y corregidos

Deteccin: Monitorea en busca de errores

Prevencin: Previene un error
Quin Ejecuta?
Controles Control Programado?
Identificar el sistema procesador

51
Controles

52
Pasos Siguientes

La finalizacin de la documentacin del control interno a nivel

de empresa y los controles internos a nivel de proceso,
transaccin o aplicacin proporcionar al equipo a cargo del
proyecto la informacin necesaria para evaluar la eficacia
integral de los controles en la fase final de la metodologa
Factores en Evaluacin:
Management
Report on
Internal
Control
Competencia, integridad del personal que
ejecuta el control; grado de supervisin;
alcance de rotacin de empleados
Evaluar/ Informe
Monitorear Potencial de abuso (override) de la gerencia
Falta de segregacin de funciones, incluso
dentro de las aplicaciones del computador
Efecto de cambios en controles
Otros riesgos especficos

53
Sarbanes Oxley
Teora de Riesgos y Controles
Tipos de controles

Preventivos
Procedimientos relacionados para prevenir un error o fraude
Aplicados a nivel de transaccin sencilla
Detectivos
Polticas y procedimientos diseados para monitorear el logro de los objetivos
relevantes del proceso, incluyendo la identificacin de errores o fraude.
Aplicados a grupos de transacciones

55
Terminologa de Control

Manual Preventivo
Manual Detectivo
IT Manual Dependiente
Automtico

56
Puntos de Control

Iniciacin

Autorizacin

Registro

Procesos

Reporte

57
Controles Generales de IT

Cambios a Programa Los controles de aplicacin han

operado efectivamente a travs del periodo
Seguridades de Acceso La informacin generada por las
aplicaciones es confiable
Seguridad de Aplicacin
Restriccin a transacciones individuales, parametrizacin, niveles de autorizacin o
acceso a informacin especfica
Unicamente personas y aplicaciones autorizadas tienen acceso a datos y
solamente para ejecutar funciones definidas especficamente

58
 Otros conceptos de Control

Segregacin de funciones y fraude

Polticas y procedimientos relacionados con::

Niveles de autorizacin
Salvaguarda de activos
Responsabilidad sobre activos (accountability)

59
 Tipos de Control

Autorizacin
Configuracin / Control de Mapeo de Cuentas
Reportes de Excepcin
Controles de Interfases
Indicadores de Desempeo
Revisiones Gerenciales
Conciliaciones
Accesos a Sistema

60
Sarbanes Oxley
Principios de Recorridos &
Pruebas de Cumplimiento
Pruebas de Cumplimiento
Naturaleza del Control y Frecuencia de las
Nmero Mnimo de tems a Revisar
Pruebas
Control Manual, Mltiples Veces al Da Al menos 25

Control Manual, Diario Al menos 25

Control Manual, Frecuentemente pero menor a diario 25% de las ocurrencias al menos 25

Control Manual, Semanalmente Al menos 10

Control Manual, Mensualmente A, menos 3

Control Manual, Trimestral Al menos 2

Control Manual, Anual Probar anualmente

Controles Automticos Probar una vez cada control automtico por cada tipo de
transaccin si est soportada por controles generales
efectivos de IT (Previamente Probados), De otro manera
probar al menos 25

62
Sarbanes Oxley
Taller: Identificacin de Riesgos y
Controles