Inducción a la Ley Sarbanes-Oxley

Agenda

1. Orígenes de la Ley
2. Estructura de la Ley
3. Definición de Control Interno
4. Evaluación Efectiva de las Operaciones
5. Pasos a seguir en un proyecto SOX
6. Ejemplo de Proyecto
Orígenes de la Ley
Orígenes de la Ley
• A finales de la década del noventa, un conjunto de escándalos contables y
financieros impactó en los mercados de capitales (Enron, WorldComm)

• Inversores empiezan a dudar sobre la veracidad de la información que se

exponía en los estados contables.

• Es una condición indispensable que la información de que se dispone sea

confiable, la violación o perdida de este principio hace prácticamente inviable la
existencia de un mercado de capitales.

• Ante este descrédito, fue necesario elaborar un marco legal que volviera a
reinstaurar la confianza de los inversores en la autenticidad de la unformación
que las empresas difundían en materia contable.
Orígenes de la Ley (cont.)
• Es así que surge en los Estados Unidos de América la ley Sarbanes-Oxley, la
cual debe su nombre a los dos congresistas que contribuyeron a su redacción.

• En sus considerandos, la ley establece la creación de un Comité de Vigilancia

de la Contabilidad de las Empresas Publicas (en adelante el Comité), cuyas
funciones entre otras, son “...proteger el interés de los inversores, y más allá, el
interés publico, en la preparación de reportes de auditoria informativos, exactos
e independientes”.

• El cumplimiento de las regulaciones establecidas en la ley por parte de las

distintas empresas, se convierte en una especie de “sello de confianza”
requerido por los inversores.
Estructura de la Ley
Estructura de la Ley
• La presente ley consta de once títulos, cada uno de los cuales trata una materia
en particular, como puntos más relevantes podemos enunciar:

1. A través de la Sección 101, se crea como nueva entidad de control el “Public

Company Accounting Oversight Board”, encargado de revisar la auditoría de las
compañías públicas que están sujetas a las leyes de seguridad y otras materias
relativas.

2. En su Sección 102, se establece la obligación de inscribirse, por parte de todas

las firmas públicas de auditoría, en un registro establecido por dicho “Comité”,
así como registrar el nombre de todos los emisores de estados contables, para
los cuales dichas firmas preparan la información; así como la retribución que
reciben por los servicios que prestan de parte de cada uno de estos emisores.
Estructura de la Ley (cont.)
3. En la Sección 201 se enumeran un conjunto de servicios que se encuentran
fuera del alcance de las practicas del auditor, como ejemplo de dichas
restricciones se pueden enumerar:
• Diseño e implementación de sistemas de información financiera
• Servicios de Actuario
• Outsourcing de servicios de auditoría interna

4. En la Sección 301 se establece la obligatoriedad de establecer un Comité de

Auditoría y se definen las reglas de independencia de dicho Comité, es decir,
que ningún miembro puede trabajar para el emisor de los estados contables.
Dicho Comité deberá contar por lo menos con un “experto contable”.
Estructura de la Ley (cont.)
5. La Sección 302 determina la responsabilidad del management (CEO y CFO)
por la emisión de los reportes financieros. En este caso el CEO y el CFO
deberán certificar ante los organismos supervisores que los estados financieros
presentan razonablemente la posición financiera de la compañía.
Adicionalmente, los directivos son responsables por establecer y mantener el
control interno, debiendo presentar por escrito sus conclusiones acerca de la
efectividad de dichos controles a la fecha de emisión del informe.

6. En relación con la sección anterior, la Sección 404 establece la responsabilidad

de la gerencia para establecer y mantener una adecuada estructura de control
interno y accesoriamente, de la efectividad de dicha estructura de control
relacionados con la emisión de la información financiera (TESTING)
Estructura de la Ley (cont.)
En otras secciones de la presente ley, se tipifican y penalizan nuevos crímenes,
como ser la “...destrucción, alteración o falsificación con el intento de impedir o
influenciar una investigación federal...”, o bien se incrementan las penas para
otro tipo de delitos como ser la “adulteración de mail”, todos estos nuevos
delitos surgidos a raíz de los escándalos contables del pasado.
Definición de Control Interno
Definición de Control Interno
• La SEC define el control interno (utilizando un marco de referencia conocido
como COSO(1)) como un proceso efectuado por el consejo de administración,
la dirección y el resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecución de
objetivos dentro de las siguientes categorías:

• Eficacia y eficiencia de las operaciones.

• Fiabilidad de la información financiera.
• Cumplimiento de las leyes y normas aplicables.

La sección 404 de la SOX se refiere a los controles necesarios

para asegurar la fiabilidad de la información financiera y el
cumplimiento de las leyes y regulaciones aplicables
Definición de Control Interno (cont.)
Por lo tanto, incluye políticas, procedimientos y prácticas operativas que:
• Conciernen al mantenimiento de registros que con detalle razonable
reflejan en forma precisa y adecuada las transacciones y disposiciones
de activos de la compañía.
• Garantizan que las transacciones y disposiciones de activos de la
compañía están autorizadas por quien corresponda.
• Aseguran que se efectúan los controles específicos definidos como
claves en las matrices de control,
• Garantizan que el supervisor de la persona responsable por los
controles verifica que los mismos se hayan efectuado y documentado en
la forma establecida por la compañía.

El Management debe estar en condiciones de certificar con su firma

que todo esto se cumplió
Definición de Control Interno (cont.)
Evaluación Efectiva de las Operaciones
Evaluación Efectiva de las Operaciones
Un Test de controles operando de forma efectiva debe incluir un mix de:
• Preguntas al personal apropiado
• Observación de las operaciones de la compañía
• Inspección de documentación relevante
• Re-ejecución de la aplicación de controles
Evaluación Efectiva de las Operaciones
Timing of Testing

• Realizar pruebas de controles sobre un período de tiempo apropiado a fin de

proveer soporte a partir de la fecha especificada en el reporte gerencial, de tal
forma de determinar que los controles necesarios para el logro de los objetivos
establecidos en el criterio de control operan de forma efectiva.

• Variará con la naturalez del control probado y con la frecuencia con la

cual un específico control opera

“Controles sobre transacciones significativas no rutinarias, controles

sobre cuentas o procesos con un alto grado de subjetividad o juicio, o
controles sobre la registración de ajustes al cierre del período deben
ser testeados más cerca de dicha fecha” AS.2.202
Evaluación Efectiva de las Operaciones
TIP: El Test de controles generales debe ser realizado de forma temprana
debido a su importancia sobre los controles automáticos y a que es necesario
proveer un tiempo necesario de remediación
Evaluación Efectiva de las Operaciones
• Alto Nivel de Confianza: En la determinación de la magnitud de los
procedimientos a realizar, el management debe diseñar los procedimientos a fin
de proporcionar un alto nivel de confianza (90% a 95% de nivel de confianza)
que los controles probados están operando efectivamente.

– Naturaleza del control

– Frecuencia del control
– Importancia del control
Evaluación Efectiva de las Operaciones
Extensión del Testing - Controles Automáticos

• El Testeo de un sólo ítem puede ser suficiente pero tener en cuenta que existen un
número de atributos dentro de un control automático

• Al confiar en los controles automáticas, los test sobre los controles generales IT
deben ser satisfechos a fin de poder confiar en dichos controles automáticos

• Se deben comprender y testear los controles asociados con modificación de

políticas y procedimientos
Evaluación Efectiva de las Operaciones
Extensión del Testing - Controles Manuales

• Cuando se testean controles manuales, basados en la frecuencia del control, los

tamaños de muestra sugeridos son los siguientes:
Evaluación Efectiva de las Operaciones
Extensión del Testing - Controles Generales de IT

• Los Controles Generales IT tienen un efecto profundo en el cumplimiento

de muchos objetivos de control:

– Desarrollo de programas
– Cambios en programas
– Operaciones computarizadas
– Acceso a programas y datos
Evaluación Efectiva de las Operaciones
Consideraciones sobre Fraude

• Evaluar todos los controles específicamente los relacionados al riesgo de fraude

que tienen un razonable probabilidad de tener un efecto material sobre los
estados financieros de la compañía

• Tales controles incluyen, pero no se limitan a:

– Controles que impiden la malversación de recursos de la compañía que podrían
producir un error material en los estados financieros
– Proceso de Risk assessment
– Código de ética/ conducta
– Procedimiento para manejo de reclamaciones
Evaluación Efectiva de las Operaciones
Tiempo necesario para demostrar que las operaciones son efectivas

• Los cambios a y/o remediaciones de controles necesitan tener el tiempo

suficiente para permitir asegurarnos que los mismos operan efectivamente
Evaluación Efectiva de las Operaciones
Tiempo necesario para demostrar que las operaciones son efectivas

• Los cambios a y/o remediaciones de controles necesitan tener el tiempo

suficiente para permitir asegurarnos que los mismos operan efectivamente
Pasos a seguir en un proyecto SOX
Pasos a seguir en un proyecto SOX
1. Analizar la documentación existente a fin de proveer el grado necesario de
conocimiento de los procesos para un correcto test:

• Posibles formas de documentación

• Flowcharts del flujo de transacciones

• Narrativa a fin de entender como las transacciones son inicialadas,
autorizadas, registradas e informadas
• Matrices de control identificando los controles claves “Key Controls”
• Documentación que mapee y ayude a comprender la relación entre los
estados contables y la documentación de los procesos y transacciones
• Walkthrougs del proceso
Pasos a seguir en un proyecto SOX
2. (Si no existiera) elaborar el plan de testing para cada Key Control.

3. Definir y Documentar (Matriz de Control):

• Técnica de Testing
• Tamaño de la muestra
• Técnica de muestra (Azar – ACL)
• Universo sobre el cual aplicar la muestra
• Documentación necesaria para confirmar la ejecución del control

4. Solicitar la información definida en el punto anterior, al sector correspondiente

referente a la muestra seleccionada para ejecutar las actividades detalladas en el
pto 2.
Pasos a seguir en un proyecto SOX
5. Documentar los hallazgos productos del punto anterior (Matriz de Control).
Ejemplo de Proyecto
Ejemplo de Proyecto
Ejemplo de Proyecto (cont.)
ETAPAS CLAVES

COMPAÑÍA AUDITOR
Ejemplo de Proyecto (cont.)
Documentación de los Controles Clave: La Matriz de Control

Para cada control clave se documenta (entre otros):

• El objetivo de control
• Como funciona
• Como es documentado (evidencia que el control se realizó)
• Quién lo realiza
• Quién es el responsable de asegurar que el control fue ejecutado y documentado
adecuadamente
• Cuales son los procedimientos aplicables (cuando corresponde)
• Cuales son los sistemas transaccionales utilizados para realizar el control (cuando
corresponda)
Ejemplo de Proyecto (cont.)
Ejemplo de Proyecto (cont.)
Ejemplo de Proyecto (cont.)