SEMANA Nro.

11-12
Recuperacion

UNIVERSIDAD NACIONAL MAYOR DE

SAN MARCOS
Universidad del Perú, DECANA DE AMERICA
FACULTAD DE CIENCIAS CONTABLES

Auditoría Financiera I

Profesores : Ciclo: VI
Mg Armando Villacorta Semestre 2021 – II
Modelo de las 3 Líneas
 Actualización (3LDD versus M3L)
Elmodelo es ElIIA Global
Elmodelo es ElIIA Global inicia una
El modelo es emite una adoptado por ElIIA Global
Nace el adoptado por varias revisión de su
formalizado «Declaración «Declaración emite el nuevo
Concepto en el por ECIIA & varias de Posición» organizaciones M odelo de las
Reino Unido organizaciones en todo el de Posición»
FERMA en reconociendo sobre el Tres Líneas
(1996) en Europa el modelo Mundo M3L (2020)
Europa (2011) modelo (2018
(2012 – 2013) (2013) (2013 – 2020) – 2020)

Julio – 2020

3
Actualización (3LDD versus M3L)
1:Gobierno
AREAS DE 2DA LINEA

6:Creación y 2:Roles del

protección del órgano de
valor gobierno

M3L
Principios
5: 3:Dirección y
Independencia roles de
de tercera primera y
línea segundalínea

4:Roles de
tercera línea
 MODELO DE LAS TRESLÍNEAS – 10 puntos claves

7
1

GC
3
2

4
4

6
55

8 9 10

GC: GOBIERNO CORPORATIVO

 Principios (M3L)
⦁ Principio 1: El gobierno corporativo de una organización requiere estructuras y procesos apropiados que
permitan la rendición de cuentas, acciones y aseguramiento.
⦁ Principio 2: Las funciones de los órganos de gobierno garantizan la existencia de estructuras y procesos
adecuados para un gobierno corporativo eficaz.
⦁ Principio 3: La responsabilidad de la administración para lograr los objetivos organizacionales comprende
roles de primera y segunda línea. Los roles de primera línea están más directamente alineados con la entrega
de productos y / o servicios a los clientes de la organización e incluyen los roles de las funciones de soporte.
Los roles de segunda línea brindan asistencia con la gestión de riesgos.
⦁ Principio 4: En su función de tercera línea, la auditoría interna proporciona un aseguramiento y un
asesoramiento independientes y objetivos sobre la idoneidad y eficacia del gobierno corporativo y la gestión de
riesgos. Lo logra mediante la aplicación competente de procesos, conocimientos y conocimientos sistemáticos y
disciplinados. Puede considerar el aseguramiento de otros proveedores internos y externos.
⦁ Principio 5: La independencia de la auditoría interna de las responsabilidades de la dirección es fundamental
para su objetividad, autoridad y credibilidad.
⦁ Principio 6: Todos los roles que trabajan colectivamente contribuyen a la creación y protección de valor cuando
están alineados entre sí y con los intereses prioritarios de las partes interesadas.
 Tres líneas como marco de trabajo: El Modelo de Las tres líneas ha sido utilizado para ilustrar el
impacto en las funciones típicas de una empresa, como por ejemplo, proveer los principios para el marco
Ejemplo
de trabajo de la gestión del riesgo en una
compañía
Gerencia
Fuente: ICAAP/ORSA to ERM: Governance and Practices
de las
tres líneas
de seguros (ver de defensa
cuadro que seen una
adjunta).
Compañía de Seguros
1ª Línea
• Gestión de riesgos diaria, tomando en cuenta el
riesgo de la organización.
• El consejo apoyado por los CGR, tiene la mayor
responsabilidad en la gestión de riesgos (y
Solvencia).
2ª Línea
• Establecer los procesos estándares de riesgos y su
vigilancia
• Todavía no está completamente claro en cuál de
las tres líneas encajarán las funciones de Riesgos y
Actuarial
3ª Línea
• Asegurar independencia en el diseño y efectividad
del marco de la gestión de riesgos.
Organización de las áreas
• Los procesos y sistemas mejorados para Solvencia
II deberán ser administrados por las funciones
relevantes dentro de las tres líneas de defensa.
Asimismo, el personal y los servicios de
outsourcing serán afectados.
Procesos
 ENFOQUE DE PROCESOS
Un proceso es un conjunto de actividades cuyo resultado es
la creación de un valor para su usuario o cliente. Para que
una organización pueda funcionar eficazmente, debe
identificar y gestionar numerosos procesos interlazados.
Con frecuencia el resultado de un proceso se convertirá en
insumo del proceso siguiente. La identificación sistemática
y la gestión de los procesos utilizados en una organización,
y especialmente la interacción entre dichos procesos, es lo
que se define como “enfoque de procesos”.
Tipos de procesos
Procesos operativos
• Combinan y transforman recursos para obtener el
producto o proporcionar el servicio conforme a los
requerimientos del cliente.
• Son las actividades principales responsables de
conseguir los objetivos de la empresa.
Tipos de procesos
Procesos de apoyo
• Proporcionan las personas y los recursos físicos
necesarios por el resto de procesos y conforme a los
requisitos de sus clientes internos.
• Así como los procesos operativos tienen una
secuencia y un producto final claros, los procesos de
apoyo hemos de verlos como transversales en la
medida que proporcionan recursos en diferentes
fases del proceso de negocios.
 MAPA DE PROCESOS
Aplicación a una institución de microfinanzas

Estratégicos
Procesos
ENTENDER LOS MERCADOS Y CLIENTES
DESARROLLAR LA VISIÓN Y ESTRATEGIAS
DISEÑAR
MARKETING Y

Operativos
PRODUCTOS O DEPÓSITOS CRÉDITOS

Procesos
SERVICIOS VENTAS

ATENCIÓN AL
FONDEO INVERSIONES SERVICIOS
CLIENTE

GESTIÓN DE RECURSOS FINANCIEROS Y FÍSICOS

Procesos de Gestión y

GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN

Soporte

GESTIÓN DE RELACIONES EXTERNAS

GESTIÓN DE RECURSOS HUMANOS

GESTIÓN AMBIENTAL

GESTIÓN DEL CAMBIO Y MEJORAR

MAPA DE PROCESOS C6
Procesamiento
Aplicación a una institución de pagos

de microfinanzas
C7
Refinanciación y
Refinanciació
Reprogramación
Reprogramació

C11
C2 C3 C10
C1 C4 C5 C8 Cancelación y
Cancelació
Evaluación y
Evaluació Formalización
Formalizació Castigos
Promoción
Promoció Desembolso Seguimiento Cobranzas Levantamiento
Aprobación
Aprobació Garantías
de Garantí
Garantías
de Garantí

C9
Ejecución de
Ejecució
Garantías
Garantí

C12 Control de documentos

 EJEMPLO DE UN FLUJOGRAMA
Proceso: Créditos
E. Logística, Compras y pagos
E.12 Gestión de compras locales en Lima (2)

1 11 11. 11 11. 11 11.

02 02 03
Si
Jefe de Logística Gerente de Gerencia General
¿Es Operaciones
D No ¿Es mayor a Si ¿Es mayor a Si
Revisar y aprobar requerimiento
US$ 500? US$ 2000? Revisar y aprobar 1
de Planta? Revisar y aprobar
en SAP en SAP
en SAP

Oficinas Corporativas
No No

02 02.
1 01 1

SAP
Archivo
Archivo

14 14.
01
Comprador 2 Contador General/
Contador Asistente
Recibir documentos,
Generar e imprimir Ingreso a
1 Orden de Compra en verificar en SAP, Pagos
almacenes registrar facturas y
SAP y enviar a
archivar documentos
Proveedores vía fax
Orden de Guía de
Compra Remisión

Factura
Proveedores

Fin
Proveedor Proveedor
Despacho de
mercadería
Despachar Emitir y enviar
mercadería Guía de factura
Remisión
Factura
 MAPA DE PROCESOS – ESCALAMIENTO
Gestión Administrativa

MACROPROCESO

PROCESO
- Enviar requerimiento
- Generar la nota de pedido
- Solicitar autorizaciones
- Transmitir
- Liquidar la importación, etc….

ACTIVIDAD

- Mantenimiento
preventivo y correctivo
- Adecuación de TAREA
espacios físicos
- Importaciones
- Gestión de transportes
- Tomar una nota de pedido
- Llenar la nota de pedido
- Firmar la nota de pedido
 ¿P OR QUÉ IMPLEMENTAR UNA GESTIÓN POR PROCESOS?

Porque aporta una nueva

visión y herramientas
con las que se puede
mejorar y rediseñar el
flujo de trabajo para
hacerlo más eficiente y
adaptado a las
necesidades de los
ciudadanos
Pasos para analizar un Proceso
1. Relevar las actividades y tareas realizadas por los recursos
humanos involucrados en los procesos.
2. Vincular las actividades relevadas.
3. Analizar los resultados obtenidos.
4. Elaborar el diagnóstico.
5. Elaborar las propuestas de solución.
6. Consensuar con el funcionario contratante los puntos 4 y 5
anteriores.
7. Guiar metodológicamente al personal designado por la
Compañía en la implementación de las soluciones
acordadas.
Representación de los procesos
 Pasos para Diagramar un Proceso

P E S
R N A C
O T L
L
V R
A I I
E E
D D
E
D A A N
O S PROCESO S T
R E
E S
ATRIB. ATRIB.
S
ENTORNO

La palabra proceso viene del latín processus, que significa: avance y progreso.
La Tabla de consistencia: procesos vs organigrama
Organigrama Modelo de
Puestos trabajo procesos

Tabla de
Tabla de consistencia
Consistència
Puestos trabajo / Procesos
Procesos / Organigrama

Establecer la relación biyectiva y biunívoca entre el modelo de

procesos y la organización de los puestos de trabajo, facilita
la gestión del Hospital a partir de la comprensión de las
actividades que las personas llevan a cabo.
Procesos en un
ambiente virtual
Operaciones Virtuales
Introducción
• Es un hecho que la tecnología en Pandemia está
transformando el mundo tal y como lo conocemos, siendo
ahora un entorno hiperconectado, más ágil y rápido, que
modifica de manera sustancial la forma que tenemos de
relacionarnos y los modelos de negocio.

• Esta evolución trae consigo efectos sin duda positivos en

todos los sectores de la economía, la información crece
rápidamente y brinda, gracias a su análisis y explotación
de forma eficiente, nuevas oportunidades que se abren
ante nosotros todo ello enmarcado dentro de un nuevo
paradigma social.
Operaciones Virtuales
Antecedentes
• La implementación de Tecnologías de la
Información y Comunicación (TIC) desde
finales del siglo pasado produjo
importantes cambios a nivel mundial.

• Dichos cambios se dieron en todos los

ámbitos y sentidos, desde la forma de
organización de personal hasta el proceso
de comunicación, convivencia y
aprendizaje por ende esto genera un
cambio en el ámbito laboral.
Operaciones Virtuales
Características

La Capacidad Sintética: el mundo virtual se genera en

tiempo real según la posición del usuario.

La Interactividad: El entorno responde a las acciones y

movimientos del usuario.

La Tridimensionalidad: El mundo se genera sobre una

pantalla plana de una sala, de un ordenador o de una
visión casco imitando un mundo en tres dimensiones.
Operaciones Virtuales
De acuerdo con estudios, las compañías que se
embarcan en la digitalización.

Disminuyeron costos
La transformación digital reporta operativos 20%

numerosas ventajas las empresa sin

importar su mercado.

Incrementaron
su eficiencia en
un 39%
Operaciones Virtuales
• La creciente relevancia del estudio de los sistemas virtuales se centra en la
capacidad que éstos tienen para permitir una rápida adaptación a las
necesidades del entorno, proporcionando una mayor flexibilidad a la
cadena de valor formada por las empresas participantes.

Desde este punto de vista, las Agiliza la

ventajas competitivas del uso y respuesta a los Mejora la
desarrollo de una red virtual cambios en las eficiencia
pueden englobarse en dos grandes necesidades de organizativa
grupos: los clientes.
Operaciones Virtuales
❑Agiliza la respuesta a los cambios en las necesidades de los clientes.
• En cuanto a la agilidad para reaccionar a los cambios, en entornos muy dinámicos el éxito
depende fundamentalmente de la rapidez de los procesos. El carácter sustituible de los distintos
agentes que pueden conformar la organización virtual también proporciona flexibilidad a la
misma ya que éstos se mantendrán mientras las relaciones sean productivas y beneficiosas

❑Mejora la eficiencia organizativa

• Este tipo de organizaciones consigue menores costos fruto de la especialización de cada uno de
los agentes participantes en sus competencias esenciales, lo que supone externalizar ciertas
actividades y permite a las empresas incrementar su eficiencia
Operaciones Virtuales
• Transformación Digital en las Empresas
• Aspectos a considerar.

Es importante adaptarse a los nuevos Actualmente es

La digitalización debe tiempos que va a permitir optimizar opcional, pero en
considerarse una cuestión
estratégica. procesos y costos a la vez que un futuro, será
minimizar riesgos. imprescindible
Control Remoto
 ¿Que es un Control Remoto/Virtual?
• Un Control Remoto y Virtual es un proceso sistemático,
documentado y medido para obtener a través de medios
tecnológicos (nube, E-mail, video-conferencia, video llamadas, o una
combinación de estos), las evidencias objetivas de los resultados,
desempeño, decisiones, documentos y otros, con el fin de
evaluarlas de manera online y determinar el grado en que se
cumplen los criterios establecidos.
• Los controles virtuales se realizan cuando una organización
desempeña un trabajo o proporciona un servicio usando un entorno
en línea que permite a las personas con independencia de la
ubicación física, ejecutar procesos (por ejemplo, la intranet de la
empresa, “computación en la nube”).
• Las principales ventajas de realizar controles virtuales, es evitar
traslados, optimizar los costos financieros y la optimizar el
proceso de revisión documental y física, además de una mejora
sustancial de la seguridad de la información al tener que garantizar
un entorno controlado de acceso y navegación.
 31

Control remoto
• ¿Pueden los procesos y los sitios ser
controlados de manera realista de
manera externa?
• ¿Se puede tener una buena visión
general de las instalaciones, equipos,
operaciones y controles?
• ¿Se puede acceder a toda la
información relevante?
• ¿El trabajador cuenta con la
competencia para llevar a acabo los
procedimientos bajo una modalidad
remota?
Elementos a consideraren un control remoto
Videoconferencias
Portales Web
Empleo de la Tecnología Acceso Remoto

Drones

Documentación Digital
Normas y Procedimientos
Controles Generales

Firma Electrónica
❑ Control a distancia
Empleo de la Tecnología

Acceso remoto a sistemas del cliente

• Un recurso interesante es la posibilidad de acceder de
manera remota y segura, a ciertos archivos y programas.
• Esto permite hacer verificaciones en tiempo real en temas
como la nómina, inventarios, pagos a terceros y otros
procesos administrativos.
❑ Control a distancia
Normas y Procedimientos

Documentación
• Es importante que los controles
continúen funcionando con el
cumplimiento normativo profesional.
• Existen, por ejemplo, obligaciones en
torno a la confidencialidad de la
documentación.
• Firma Electrónica.
Documentación
de Procesos
 DOCUMENTACIÓN DE PROCESOS.
• Es llevar a formas gráficas y escritas el modo de
hacer el trabajo.
 FORMATOS

• Son documentos 00004

donde se consignan los 00003
datos obtenidos en el 00002
00001
desarrollo de una
actividad,
convirtiéndose en
registros que dan
evidencia de una
actividad ejecutada.
 PROCEDIMIENTOS

• Conjunto de pasos que

explican la forma de
llevar a cabo una
actividad.
• Debe especificar el
QUE se hace, el COMO
se hace y quien es el
RESPONSABLE.
 FICHA DE UN PROCESO

• Los procesos se describen en

una ficha de procesos.

• La ficha de procesos se
acompaña de un diagrama de
flujo.
PROCESO COMPRAS
OBJETIVO: Suministrar a los procesos internos la materia prima e insumos requeridos con las
especificaciones solicitadas, de4 manera oportuna, en la cantidad pedida y
manteniendo los niveles de inventario estipulados.
Proveedor Entrada Proceso Salida Cliente
Gerencia Política, objetivos Órdenes de Proveedores
y metas compra Almacén
Ingeniería de Fichas técnicas de Facturas Proveedores
producto materiales COMPRAS Almacén
Proveedores Base de datos de Producto Almacén
proveedores, Precios comprado
y cotizaciones,
Especificación de Referencia a Informes de Gerencia
producto. los documentos desempeño
que describen
Logística Niveles de métodos de
inventario y operación y
puntos de re control del
orden proceso
Manufactura. Requisiciones
Mantenimiento
y servicios
generales

DUEÑO: Jefe de compras SEGUIMIENTO Y -Cumplimiento en requisiciones

MEDICIÓN: -Índice de rotación de inventarios
(Indicadores) -Devoluciones a proveedores
-Órdenes de compra completas
 Ley Sarbanes-Oxley

Senador Paul Spyros Sarbanes Congresista

(D-Maryland) Michael Oxley (R-Ohio)

Armando Villacorta
Mg. , Mphil, CIA, CRMA, CGAP, CFSA, CCSA, NIAS (ICAEW), CERTIFICADO INTERNACIONAL
DE EXPERTO ANTIFRAUDE ICPF (España)
 ¿Qué es Sarbanes Oxley?
• Una Ley del Congreso americano cuya
emisión fue acelerada con motivo de
escándalos financieros y de gobierno
corporativo (Junio 30, 2002)
• Aplicable a las compañías que cotizan
en la Bolsa americana y sus
subsidiarias
• Requiere que las compañías evalúen
sus controles internos sobre la
preparación de los reportes
financieros
• Requiere un informe de “atestacion”
por el auditor independiente
La Sarbanes-Oxley Act of 2002 (SOA)
- Contenido -

• Título 1: Supervisión de Firmas de Auditoría

• Título 2: Independencia del Auditor
• Título 3: Responsabilidad Corporativa
• Título 4: Publicación de Información Financiera

• Título 5: Conflictos de Interés de Analistas

• Título 6: Recursos y Autoridad de la Comisión
• Título 7: Estudios e Informes

• Título 8: Responsabilidad Corporativa y Fraude contable

• Título 9: Penas por Crímenes de Gestores
• Título 10: Declaraciones Fiscales

• Título 11: Fraude Corporativo

 La Sarbanes-Oxley Act of 2002 (SOA)

- Aspectos Relevantes para

la Auditoría Interna -
• Título 1: Supervisión de Firmas de Auditoría
• Título 2: Independencia del Auditor
• Título 3: Responsabilidad Corporativa Se establecen las responsabilidades
• Título 4: Publicación de Información Financiera
• Título 5: Conflictos de Interés de Analistas sobre la veracidad de los EEFF. Se
• Título 6: Recursos y Autoridad de la Comisión exigen una serie de controles internos,
• Título 7: Estudios e Informes
• Título 8: Responsabilidad Corporativa y Fraude contable
así como la creación de un Comité de
• Título 9: Penas por Crímenes de Gestores Auditoría y la Certificación de Informes
• Título 10: Declaraciones Fiscales
• Título 11: Fraude Corporativo
Anuales.

• Títu lo 1 :Su pe rvisión d e Firmas d e Au dito ría

Se establecen mejoras en los términos
• Títu lo 2 :Ind epe nd encia del Au ditor de la información presentada a los
• Títu lo 3 :R espo nsab il idad C orpo rativa
mercados. Se establece el interés tanto
por la información presentada como el
• Tí tu l o 4 :P ubl icaci ó nd e Informaci ó n Fin anci era

• Títu lo 5 :C onflicto sd e In terés de Analistas

• Títu lo 6 :Recu rso sy Auto rid ad de la Comisió n procedimiento por el que se ha

• Títu lo 7 :Estu dios e In formes
obtenido internamente (ICI sobre el
• Títu lo 8 :R espo nsab il idad C orpo rativa y Frau d eco ntab le

• Títu lo 9 :P enas p or Críme nes de Gestores

Reporte Financiero)
• Títu lo 1 0: Declaracio nes Fiscales

• Títu lo 1 1: Fraud e Corp orativo

 La Sarbanes-Oxley Act of 2002 (SOA) - Sec 404 -
Sección 404 Obligación de anexar un Informe de Control Interno

Las normas propuestas en la Sección 404,

Exige a la dirección que, anualmente,:
• Declare su responsabilidad sobre el establecimiento (“design effectiveness”),
mantenimiento y operatividad (“operating effectiveness”) de una estructura y unos
procedimientos de control interno adecuados para el reporte financiero

• Identifique el marco sobre el que opera la Dirección para determinar la evaluación de la

efectividad de los controles de la compañía sobre reporte financiero.

• Realice y documente una evaluación de la efectividad de los procedimientos y controles

internos de la compañía para el reporte financiero

 Exige al auditor externo que:

Emita un informe validando las declaraciones efectuadas por la dirección
 Ley SOX en las Organizaciones

Antecedentes: Ley Mandatoria para mantenerse en el mercado de valores

(US stock market).

Objetivos : 1- Identificar cuentas significativas y revelaciones en los EE.FF.

2- Identificar los grupos de procesos significativos y relevantes.
3- Todas las brechas y debilidades materiales deben ser resueltas
antes de desarrollar un test.

Alcance : Los procesos

Principios : 1- Cambiar el pensamiento gerencial / focalizarse en controles

2- Revisión y Auditoria
3- Reportes/Follow up/Decisiones
4- Documentación / crear evidencia
5- Comunicación / Información en cascada
6- Segregación de funciones
7- Acceso a los Sistemas Restringido
 Marco requerido por SOX

Integridad, Exactitud, Validez,

Acceso Restringido

Falla en cumplimiento
Integridad
Objetivos de objetivos
Existencia

Valuación
Aserciones Riesgos

Derechos y obligaciones
Controles
Presentación y exposición
Preventivo o Correctivo
 Fase de Documentación para Q1 Finales Q3 2019 Q4 2019

Management Pruebas Internas

Seccion 404
Procesos Procesos
Planes de
A lcance De A sesor. A testar
Document Prueba de la Test /
y y
Y diseño de Evaluación
Establec.
- Y todos los operatividad Pre-test
controles controles
Efectiva de
A ud. ext
claves Key control

Remediación de Gaps en Controles Claves

 Documentación Evaluación
Estatus de Procesos con alcance SOX finalizados:

1) Fondeo adecuado de Financiamiento a C lientes ✓

2) Venta de Mayoristas de Financiamiento a C lientes
✓
3) Venta al por menor de Financiamiento a C lientes
✓
4) C ontabilidad General
5) Taxes ✓

Sección 404
X
Especial – Servicios de Contracion
(Objetivos de Control + Riesgos + Gaps) X
** 2016 May / Alcance de SOX no finalizado:

6) Reportes Financieros
7) C ontrol Gerencial (equipo del lugar)
8) TI – influenciado por proyectos independientes ?
No empezado
Empezado
A medio camino
Completado
Enviado para su revision I ncl uy e una l i sta de pl a nes de remedi a ci ón f irmado
Finalizado por el dueño del proceso.
La Sarbanes-Oxley Act of 2002 (SOA) - Sec 302 -
Sección 302

Obligación de certificación por parte del CEO / CFO del Informe Anual en
formato 20F.

Se ha de sustentar, con sus certificaciones, entre otros:

 Que se ha revelado a la Comisión de Auditoría y Control y al Auditor
Externo cualquier fraude y deficiencia significativa detectada que pudiera
afectar negativamente a la capacidad de la compañía para registrar,
procesar, resumir y comunicar datos financieros

 Que se ha evaluado la eficacia de los controles y procedimientos de

comunicación de la información (“Disclosure controls”) en los 90 días
previos a la presentación del Informe Anual en formato 20F
Relación entre las secciones 302 y 404:

302:
Certificación de la Controles 404:
Gerencia internos de
relacionada con los la Base para la
controles y presentació evaluación del
procedimientos de n de la auditor y sus
divulgación (DC&P)
de la información información pruebas302:
financiera Financiera
 Sección 906
• Establece sanciones de hasta 20 años de prisión para los directivos de una
empresa si se considera que emitieron o avalaron la emisión de información
financiera intencionalmente incorrecta.
• Requiere que los informes periódicos de la emisora que contienen los
estados financieros, se acompañen con una certificación del CEO y el CFO
indicando:
• Que el reporte periódico que contiene los estados financieros cumple
totalmente con la Ley de la Bolsa de Valores y.
• Que la información contenida en el informe periódico presenta
razonablemente en todos sus aspectos significativos la situación
financiera y los resultados de las operaciones de la emisora.
Proyecto Sarbox–Etapas del proceso para la evaluación
y certificación de controles
 Assessment Matrix

Control Financial
Type Statement Signific Maturity Target Reason SOX

Tipo de Control (IEVA)

CAVR Assertions ance "As Is" Key/Standard Applications

Presentation and Disclosure

Identify SOX Applications

Existence or Occurrence

that the control relies on

Rights and Obligations
Valuation or Allocation
Restricted Access

Standard Control
Completeness

Completeness

Standardized
Key Control

Comments
Optimized
Unreliable

Monitored
Accuracy

Informal
Validity
Integridad Todas las transacciones registradas son aceptadas por el
sistema/ Los envíos duplicados son rechazados por el
sistema / Cualquier transacción rechazada es
direccionada y ajustada.
Exactitud Los elementos que son registrados e ingresados en la
computadora son correctos / Los cambios existentes en
los datos son ingresados exactamente.
Validez Las Transacciones, inclusive las alteraciones de datos
existentes son aprobadas / archivos de datos existentes
no son ficticios y se relacionan con el negocio.
Acceso Rest. Las enmiendas no autorizadas de los datos son excluidas
del sistema / La confiabilidad de los datos es restringida /
La segregación de las tareas esta asegurada.
 Assessment Matrix

Control Financial
Type Statement Signific Maturity Target Reason SOX
CAVR Assertions ance "As Is" Key/Standard Applications

Estados Financieros

Presentation and Disclosure

Identify SOX Applications

Existence or Occurrence

that the control relies on

Rights and Obligations
Valuation or Allocation
Aserciones

Restricted Access

Standard Control
Completeness

Completeness

Standardized
Key Control

Comments
Optimized
Unreliable

Monitored
Accuracy

Informal
Validity
Existencia Activos y pasivos existen en una fecha dada y durante un
periodo dado.

Integridad Todo lo que debe incluirse se incluirá.

Valuación Activos, Pasivos, Patrimonio, Ingresos y Gastos en

montos apropiados.

Derech./Oblig. Derechos y obligaciones en fechas dadas

Presentación Componentes de los EE.FF. son adecuadamente

clasificados, descritos y publicados.
Cual es la diferencia?
No hay relación uno-a-uno y son usados con diferentes propósitos.
IEVA
• Integridad
• Exactitud
• Validez
• Acceso Restringido
Aserciones de los Estados Financieros
• Existencia o Ocurrencia
• Integridad
• Valuación o Alocación
• Derechos y Obligaciones
• Presentación y exposición
• Nivel Transaccional
⚫ Como funciona el
control?
⚫ Cuan efectivo es el
control?
• Nivel Agregado
⚫ Como el control apoya las
representaciones de la
gerencia respecto a la
presentación adecuada de los
estados financieros?
 Assessment Matrix

Control Financial
Type Statement Signific Maturity Target Reason SOX
CAVR Assertions ance "As Is" Key/Standard Applications

Significancía

Presentation and Disclosure

Identify SOX Applications

Existence or Occurrence

that the control relies on

Rights and Obligations
Valuation or Allocation
Restricted Access

Standard Control
Completeness

Completeness

Standardized
Key Control

Comments
Optimized
Unreliable

Monitored
Accuracy

Informal
Validity
Control Clave: Control Estandard :
Si el control falla, hay una probabilidad Cualquier control interno
de que un error material en los operacional no determina un
reportes financieros pueda ocurrir control clave
Agregación de las deficiencias
 Agregación de las deficiencias

• Deficiencias de control interno

pueden en forma agregada
convertirse a “Deficiencia
significativa”

• Deficiencias significativas
pueden en forma agregada
convertirse a “Debilidad
material”
 Assessment Matrix

Madurez “tal como es” Control

Type
Financial
Statement Signific Maturity Target Reason SOX
Key/Standard Applications

y la Madurez Target “A ser”

CAVR Assertions ance "As Is"

Presentation and Disclosure

Identify SOX Applications

Existence or Occurrence

that the control relies on

Rights and Obligations
Valuation or Allocation
Restricted Access

Standard Control
Completeness

Completeness

Standardized
Key Control

Comments
Optimized
Unreliable

Monitored
Accuracy

Informal
Validity
Optimizado
Monitoreado
- Controles - Controles
No Confiable Informal Estandarizado
estandarizado internos
- Ambiente impredecible - Los Controles - Los controles
s con pruebas Integrados
donde los controles no están diseñados están diseñados y
periódicas con
están diseñados o no y existen pero están adecuadamente
para un monitoreo en
existen no están documentados
diseño y tiempo real
adecuadamente operaciones por parte de
documentados efectivas con la gerencia y
reportes a la mejoras
gerencia
continuas
 Attributes Matrix
Propósito del Control Automation Maturity Target Control
Control
Relevanc Test Attributes (To be decided

Control Purpose Nature of Control Values "To Be" Trigger Frequency if Date Driven e before developing the Test plans)

Process Walkthrough

Internal Audit Review

Restricted Access

Document review/
Interview/ Inquiry
Semi-automated

Reperformance
Reconciliation
Authorization

Twice a week
Standardized

Twice a Year
Event-driven

Examination
Observation
Date Driven
Automated

Disclosure
Preventive
Dectective

Optimized
Unreliable

Monitored

Sampling
Quarterly
Matching

Annually
Informal

Monthly

Internal
Manual

Weekly
Other

Other
Daily
Control Detectivo:
• Diseñado para detectar una transacción errónea o no intencional que ha occurrido
⚫ Ejemplo: Revisión trimestral del acceso restringido a los sistemas contables; Las pruebas de auditoria de
los sistemas contables monitorean cualquier cambio contable en el Maestro.

Control Preventivo:
• Diseñado para prevenir la ocurrencia de una transacción errónea o no intencionada.
⚫ Ejemplo: El control del análisis de crédito subjetivo.
 Attributes Matrix

Naturaleza Control Automation Maturity Target Control

Control
Relevanc Test Attributes (To be decided

del Control Purpose Nature of Control Values "To Be" Trigger Frequency if Date Driven e before developing the Test plans)

Process Walkthrough

Internal Audit Review

Restricted Access

Document review/
Interview/ Inquiry
Semi-automated

Reperformance
Reconciliation
Authorization

Twice a week
Standardized

Twice a Year
Event-driven

Examination
Observation
Date Driven
Automated

Disclosure
Preventive
Dectective

Optimized
Unreliable

Monitored

Sampling
Quarterly
Matching

Annually
Informal

Monthly

Internal
Manual

Weekly
Other

Other
Daily
Comparación Los Datos ingresados son sujetos a chequeos o comparación con
(Matching) archivos de control aprobados.
Ejemplo:Los Datos ingresados al sistema contable deben ser
validados con información importante como por ejemplo: validación
del margen, costeo de fondos e información del valor razonable.
Autorización Asegurar que la transacción sea aprobada adecuadamente
Ejemplo: El proceso de pago electrónico considera dos palabras
claves de autorización.
Reconciliación Asegurar que el balance este de acuerdo con la evidencia objetiva.
Ejemplos: reconciliación bancaria; reconciliación de deudas.
Acceso Proteger contra cambios de información no autorizados y
Restringido salvaguarda de activos fijos y electrónicos.
Ejemplo: Acceso Restringido para producir artículos
financieramente negativos.
 Attributes Matrix
Valores de Control Automation Maturity Target Control
Control
Relevanc Test Attributes (To be decided

Automatización Purpose Nature of Control Values "To Be" Trigger Frequency if Date Driven e before developing the Test plans)

Process Walkthrough

Internal Audit Review

Restricted Access

Document review/
Interview/ Inquiry
Semi-automated

Reperformance
Reconciliation
Authorization

Twice a week
Standardized

Twice a Year
Event-driven

Examination
Observation
Date Driven
Automated

Disclosure
Preventive
Dectective

Optimized
Unreliable

Monitored

Sampling
Quarterly
Matching

Annually
Informal

Monthly

Internal
Manual

Weekly
Other

Other
Daily
Manual: Automático: Semi automático:
Control realizado por una El Control es Manual pero apoyado por
persona sin ayuda de automáticamente Sistemas
sistemas realizado por un sistema
de TI
Control direccionante & frecuencia
Attributes Matrix

Control
Control Automation Maturity Target Control Relevanc Test Attributes (To be decided
Purpose Nature of Control Values "To Be" Trigger Frequency if Date Driven e before developing the Test plans)

Process Walkthrough

Internal Audit Review

Restricted Access

Document review/
Interview/ Inquiry
Semi-automated

Reperformance
Reconciliation
Authorization

Twice a week
Standardized

Twice a Year
Event-driven

Examination
Observation
Date Driven
Automated

Disclosure
Preventive
Dectective

Optimized
Unreliable

Monitored

Sampling
Quarterly
Matching

Annually
Informal

Monthly

Internal
Manual

Weekly
Other

Other
Daily
Evento Direccionado
• Cuando ha ocurrido algo de importancia.

Fecha Direccionada
• De acuerdo al Plan de Tiempos.

Frecuencia si fecha es Direccionada

• La Frecuencia indica con que frecuencia un control es direccionado dentro de un proceso, y no
con que frecuencia se realiza la evaluación o prueba ( a pesar de que los conceptos pueden
estar relacionados).
Relevancia Attributes Matrix

del Control Control Automation Maturity Target Control

Control
Relevanc Test Attributes (To be decided
Purpose Nature of Control Values "To Be" Trigger Frequency if Date Driven e before developing the Test plans)

Process Walkthrough

Internal Audit Review

Restricted Access

Document review/
Interview/ Inquiry
Semi-automated

Reperformance
Reconciliation
Authorization

Twice a week
Standardized

Twice a Year
Event-driven

Examination
Observation
Date Driven
Automated

Disclosure
Preventive
Dectective

Optimized
Unreliable

Monitored

Sampling
Quarterly
Matching

Annually
Informal

Monthly

Internal
Manual

Weekly
Other

Other
Daily
Revelación
• La revelación de los controles y procedimientos sobre las operaciones y reportes
financieros, sección 302

Interno
• La efectividad del control interno sobre los reportes financieros, sección 404.

Desde la Matriz
Evaluación Subjetiva:
Respuesta ”satisfactoria”/ ”insatisfactoria”
(Siempre con comentarios adicionales)
Firma del propietario del
control de cada proceso, del
propietario del proceso por
cada proceso, de los
propietarios de grupos de
procesos por cada grupos
de procesos
Apendice IV: Documentacion de Evaluacion - Ejemplo A
Evaluacion de Control Disenado
Respuesta Satisfactoria / Insatisfactorio y Comentarios
Nombre y Numero de Control Process: Grupo de Procesos:
5.2.2 Aprobacion de la emision 5.2 Proceso de Voucher 5.0 Contabilidad General
Voucher Diario Diario
IEVA Control cubierto: Exactitud, Validez y Acceso restringido
Estados Financieros Existencia, Valuacion y Derechos/Obligaciones
Aserciones (EFA):
Evaluar si IEVA y EFA Satisfactorio- Hay una clara separacion entre
identificados son cumplidos el emisor y el que prepara el informe con un buen
efectivamente proceso de verificacion para reportes excepcionales
Evaluar la alineacion entre Satisfactorio - Buena cobertura de los siguientes
los controles y los objetivos objetivos de control: Vouchers diarios son
del Control apropiadamente aprobados
Frecuencia: Satisfactorio - este control es efectuado para
cada reporte emitido por la Contabilidad general
Proposito del Control:
Preventivo / Detectivo Preventivo
Conocimiento y Satisfactorio - Solo el Controller y el Contador
experiencia de las personas pueden aprobar el registro de vouchers
involucradas
Oportunidad en el Satisfactorio - todos los reportes son revisados antes
direccionamiento de emisiones de ser usados y las excepciones son corregidas
y excepciones…… rapidamente
Confiabilidad de las fuentes de
informacion usadas en el A ser probada en el control de la aplicacion
desempeno de los controles
Periodo cubierto por el Satisfactorio - el control cubre todos los reportes
control emitidos en el periodo
Control Owner (Propietario del Control firma aqui)
Name: Richard Knapp
Organization: VTB South
Date 18-May-05
La Siguiente fase en prueba pero ……
Cuan usualmente las compañías
fracasan en la prueba?

• Falta de evidencia

• No Control del Desempeño

• No Control de Efectividad

• No acción sobre gaps

identificados
 Porque SOX 404 es prioridad # 1

Integra los procesos de mapeo / Documentación del Control

Segregación de tareas (propiedad + compromiso)

Propietarios de procesos / sub-procesos enfocados sobre

Diseño & calidad de controles

Propiedad a todo nivel (Ejecutivos – Managers – usuarios claves)

Mejoramiento de la gerencia del Conocimiento (evaluación + pruebas)

Asegurar un Plan de Sucesión en todos los niveles

La Sarbanes-Oxley Act of 2002 (SOA) - Ideas de Cambio -

• “Obligación legal” para la función de Auditoría Interna.

• Atención a los hechos financieros

• Supervisión de los flujos de información económico-financiera

• Evaluación de la revelación de información a los mercados

CASO PRACTICO SOX
Sección de Preguntas y Respuestas