LISTAS DE CHEQUEO PARA EL CUMPLIMIENTO DE LA LEY SOX

Requisitos para las Firmas de Contabilidad Pública Si No

 La Firma de Contabilidad Pública está registrada en la PCAOB. 

 La Firma de Contabilidad Pública cumple a cabalidad con las normas de auditoría, de

control de calidad, estándares de ética e independencia, y de atestación 
establecidas por la PCAOB.
 La firma de contabilidad pública registrada presenta oportunamente los Informes

anuales a la PCAOB, así como cualquier información requerida por la Junta o por la 
SEC.
 Cuando la firma se encuentra asociada a una investigación llevada a cabo por la 

PCAOB, la firma coopera presentando la información y explicaciones requeridas.

Todas las compañías con valores registrados en las bolsas norteamericanas NYSE y NASDAQ, y sus
filiales, que están bajo la supervisión de la SEC, deben cumplir con todos los requerimientos de la Ley
SOX.

1. Requisitos para los Comités de Auditoría – Sección 301 Si No

 Los miembros del Comité de Auditoría son consejeros independientes y miembros 

de la Junta de directores de la Compañía.
 El Comité de Auditoría tiene políticas claras que permitan evaluar constantemente

el cumplimiento de la independencia de los miembros del Comité, e identificar 
oportunamente cualquier circunstancia que pueda afectarla.
 Al menos uno de los miembros del Comité de Auditoría es un experto financiero – 

ACFE, es decir tiene conocimientos y experiencia en el área financiera.
 Existe un programa de capacitación y educación continua para los miembros del

Comité, que les permite estar actualizados con respecto a los temas relevantes para 
su labor.
 El Comité de Auditoría promueve una cultura ética, de valores y cumplimiento en la 

compañía.
 El Comité de Auditoría cuenta con un sistema anónimo y confidencial para la

recepción de denuncias de empleados de la compañía, referente a asuntos de 
contabilidad o auditoría cuestionables.
 El Comité de Auditoría tiene su reglamento, el cual determina las características de

los miembros del Comité, las responsabilidades, las actividades a realizar, 
organización de reuniones, y establecimiento de la agenda.
 Se realiza una evaluación anual sobre el desempeño del Comité de Auditoría, con el 

fin de determinar los aspectos a mejorar.
 El Comité de Auditoría supervisa todos los procesos relacionados a la información 

financiera con el fin de identificar cualquier riesgo de error o fraude.
 El Comité de Auditoría supervisa las políticas y procesos implementados por la 

administración para la identificación y gestión de los riesgos de la compañía
 El Comité de Auditoría supervisa los controles internos sobre el Reporte Financiero

implementados por la administración de la compañía, con el fin de determinar si se 
han implementado adecuada y efectivamente.
 El Comité de Auditoría supervisa el diseño, ejecución, y monitoreo de los 

procedimientos antifraude.
  El Comité de Auditoría supervisa la función de la auditoría interna, y evalúa su 

desempeño.
 El Comité de Auditoría presenta periódicamente informes a la Junta Directiva sobre 

la función de Auditoría interna en la compañía.
 El Comité de Auditoría es responsable del nombramiento, compensación y 

supervisión del trabajo de la firma de contabilidad pública registrada.
 Existe una buena y oportuna comunicación entre el Comité de Auditoría y el auditor
externo, que permite conocer todos los temas relevantes al trabajo de auditoría, así 

como detectar cualquier situación que pueda afectar la objetividad e independencia
del auditor.
 El Comité de auditoría evalúa periódicamente el desempeño del auditor externo, y 

presenta los respectivos informes.

La Ley SOX recomienda implementar la metodología propuesta por COSO en su Marco Integrado de
Control Interno, para el diseño y evaluación de la efectividad del Control Interno de la compañía.
Cuando se habla de un Sistema de Control Interno Efectivo, se refiere a un sistema integrado y
dinámico que pueda proporcionar un grado de seguridad razonable en cuanto a la consecución de los
objetivos de la compañía en relación a: la eficacia y eficiencia de las operaciones, fiabilidad de la
información financiera, y el cumplimento de leyes y normas aplicables

2. Diseño del Sistema de Control Interno – Sección 404 Si No

 Se ha designado un equipo de trabajo para el diseño y/o actualización del Sistema 

de Control Interno de la compañía.
 Se tiene un conocimiento integral de los procesos y actividades de la empresa. 

 Se desarrolló un diagnóstico del sistema de control interno de la compañía, con el 

fin de determinar los aspectos a mejorar o cambiar.
 A partir del diagnóstico, se definen los cinco componentes, 17 principios y los puntos de 
enfoque del Marco Integrado de Control Interno, de acuerdo a los objetivos establecidos en 
la compañía.
 Definición de las políticas, procedimientos y controles internos. 


3. Efectividad del Sistema de Control Interno – Sección 404 Si No

 Valoración de la efectividad del control interno sobre el reporte financiero durante
la ejecución del proceso de reporte, desde la causa de la transacción, pasando por la 

aprobación de ésta, su registro y finalmente la presentación de las cifras en los
estados financieros.
 Revisión de diagramas de flujo de los controles internos. 

 Aplicación de pruebas a los controles por medio de la indagación, observación, y 

análisis.
 Detección de las debilidades y los riesgos potenciales asociados. 

 Definición de actividades de control que mitiguen los riesgos. 

 Plan de seguimiento para la corrección de las debilidades. 

 4. Evaluación de los Componentes del Control Interno Si No
Entorno de control
La organización cuenta con una estructura organizativa que manifiesta claramente la relación  
jerárquica funcional.
 
Existe un diagrama de la estructura organizativa.
El personal conoce los objetivos de la organización y como su función contribuye al logro de los  
mismos.
 
Existe una clara asignación de responsabilidades y segregación de funciones.
Existen procedimientos definidos para la promoción, selección, capacitación, evaluación,  
compensación, y sanción del personal.
La compañía ha elaborado un código de conducta que recopila los valores y principios éticos  
que promueve y este se ha dado a conocer a todo el personal.
Se enfatiza en la importancia de la integridad y el comportamiento ético, respetando el código  
de conducta.
La dirección demuestra un compromiso permanente con el sistema de control interno y con los  
valores éticos del mismo.
 
Los funcionarios se comportan de acuerdo al código de conducta establecido.
Se realiza un análisis de las competencias requeridas por el personal para desempeñar  
adecuadamente sus funciones.
Existe un plan de capacitación continuo que contribuya al mejoramiento de las competencias  
del personal.
Las decisiones de la compañía se toman luego de que se realizado un cuidadoso análisis de los  
riesgos asociados.
Existe un compromiso permanente hacia la elaboración responsable de información financiera,  
contable y de gestión.
Evaluación de Riesgos
 
La misión de la compañía es conocida y comprendida por la dirección y el personal.
Se han establecido los objetivos con suficiente claridad para la identificación y evaluación de los  
riesgos asociados.
 
Los objetivos establecidos concuerdan con la misión de la compañía.
 
Los objetivos son conocidos y comprendidos por todo el personal de la compañía.
Los objetivos particulares de los procesos sustantivos de la compañía se encuentran  
identificados.
 
Las herramientas de medición del grado de cumplimiento de los objetivos han sido definidas.
Los riesgos tanto internos como externos que interfieren en el cumplimiento de los objetivos  
han sido identificados.
 
Existen mecanismos de identificación de riesgos adecuados y eficaces.
 
Se tienen en cuenta las observaciones y recomendaciones de auditoria anteriores.
 
Existe una estimación de riesgos, considerando la probabilidad de ocurrencia e impacto.
 
Existen procedimientos específicos para el análisis y evaluación de los riesgos.
 
Se considera el riesgo de fraude.
Se identifican y analizan los cambios que pueden impactar el sistema de control interno.  
  
Actividades de Control
Las políticas de la compañía establecen una clara y adecuada segregación de funciones. Por lo
tanto las tareas y responsabilidades vinculadas a la autorización, aprobación, procesamiento y  
registro, pagos o recepción de fondos, auditoria y custodia de fondos, valores o bienes de la
organización, están asignadas a diferentes funcionarios.
 
Existe un flujo de información adecuado entre las distintas áreas de la compañía.
 
Los funcionarios son conscientes de cómo sus acciones influyen en toda la compañía.
La estructura del sistema de control interno está documentada, especificando políticas,  
procedimientos y controles, y están disponibles y al alcance de todo el personal de la compañía.
Los procedimientos de control aseguran que las tareas son realizadas exclusivamente por los  
funcionarios que tienen asignada esa función.
La delegación de funciones y tareas se encuentran dentro de los lineamientos establecidos por  
la dirección.
 
Las transacciones de la organización son registradas oportuna y adecuadamente.
 
Solo las personas autorizadas tienen acceso a los recursos y activos de la organización.
 
Solo las personas autorizadas tienen acceso a los registros y datos de la organización.
 
Los funcionarios se rotan en las tareas que pueden dar lugar a irregularidades.
 
Existen procedimientos que aseguran el acceso autorizado a los sistemas de información.
Los recursos tecnológicos son regularmente evaluados con el fin de corroborar que cumplen  
con los requisitos de los sistemas de información.
 
Existen indicadores y criterios para la medición de la gestión.
Los controles son evaluados periódicamente, con el fin de determinar cualquier error o  
deficiencia, para implementar las medidas correctivas apropiadas.
 
Existen manuales de procedimientos para los procesos sustantivos de la organización.
Sistemas de Información y Comunicación
Están definidos los distintos reportes que deben remitirse a los distintos niveles internos para la  
toma de decisiones.
 
La información es apropiada de acuerdo a los niveles de autoridad y responsabilidad asignados.
La información circula en todos los sentidos dentro de la organización y está disponible, de  
acuerdo a los niveles de autorización y acceso.
Los sistemas de información son revisados continuamente con el fin de comprobar su
 
efectividad para la toma de decisiones, y si la información presentada es relevante para el
cumplimiento de los objetivos de la organización.
 
La dirección es consciente de la importancia del sistema de información organizacional.
 
Existen mecanismos que aseguran la comunicación en todos los sentidos.
El sistema de comunicación proporciona oportunamente a todos los usuarios la información  
necesaria para cumplir con sus responsabilidades.
 
Existen canales de comunicación adecuados con terceros y partes externas.
Supervisión del Sistema de Control - Monitoreo
La compañía lleva a cabo evaluaciones continuas y/o independientes para determinar si los  
componentes del sistema de control interno están presentes y funcionando.
El sistema de control interno es evaluado periódicamente por la dirección con el fin de revisar  
su eficacia y efectividad.
Existen herramientas definidas de autoevaluación que permiten evaluar el sistema de control  
interno.
Se dispone de la información adecuada sobre si se están logrando los objetivos operacionales de  
la organización.
 
Se cumplen las leyes y normatividad relevantes.
Cuando se detectan deficiencias en el sistema de control interno, están son comunicadas
 
oportunamente a las partes pertinentes para la implementación de acciones correctivas o de
mejora.
 5. Norma de Auditoria de la PCAOB 2200 – Auditoría del Control Interno sobre el 
Reporte Financiero (Anteriormente estándar N. 5)
2201 – Una auditoría de Control Interno sobre el Reporte Financiero, que está integrada con
una Auditoría de Estados Financieros
Planeación de la Auditoría
 Tener conocimiento del Control Interno Sobre el Reporte Financiero
 Conocer los aspectos que afectan la industria en la que opera la compañía, como manejo
de información financiera, condiciones económicas, leyes y regulaciones, y cambios
tecnológicos. 
 Conocer y entender la estructura organizacional de la compañía.
 Conocer las deficiencias identificadas en otras auditorias, comunicadas al Comité de
Auditoría y a la administración.
 Evaluar los riesgos
 Considerar y evaluar los riesgos de fraude.
Desarrollo
 Evaluar los controles internos de la compañía, para determinar si abordan adecuadamente
los riesgos identificados de declaraciones erróneas significativas debido a fraude.
 Identificar los controles a nivel de la entidad.
 Controles sobre las transacciones significativas: Identificar transacciones inusuales
significativas-
 Controles sobre asientos diarios y ajustes realizados en el proceso de la
información financiera del periodo.
 Controles sobre las transacciones con partes relacionadas.
 Controles relacionados con estimaciones significativas de la administración.
 Controles que mitigan los incentivos y presiones sobre la administración para
falsificar o manejar inapropiadamente los resultados financieros.
 Identificar cuentas y revelaciones significativas y las aseveraciones relevantes.
 Verificar: Existencia y ocurrencia, lo completo, valoración o asignación, derechos y
obligaciones, y presentación y divulgación. 
 Revisar: Tamaño de la cuenta, susceptibilidad a error de declaración por error o
fraude, volumen de actividad, complejidad y homogeneidad de las transacciones
individuales procesadas, naturaleza de la cuenta, contabilidad o reporte de la
cuenta, exposición de perdida en la cuenta, cambios con relación al periodo
anterior.
 Identificar y analizar fuentes probables de declaraciones erróneas.
 Comprender el flujo de las transacciones.
 Identificar las circunstancias en la que se podría presentar declaraciones erróneas.
 Identificación de los controles implementados por la administración para la
prevención o detección oportuna del uso o disposición no autorizado de activos,
que puede resultar en una declaración errónea significativa en los estados
financieros.
 Selección de controles a probar, verificando la efectividad del diseño y de la operatividad
de los controles internos.
 Evaluación de las deficiencias identificadas.
Resultados
 Presentación del informe final sobre la auditoria desarrollada al control interno sobre el 
reporte financiero, donde el auditor a partir de la evaluación de la evidencia obtenida
desarrolla una opinión sobre la efectividad del control interno sobre el reporte financiero.
 6. Seguridad y Cumplimiento de los Sistemas de Información – Sección 302 Si No
 La compañía ha diseñado e implementado adecuadamente controles internos que
garantizan la seguridad de la información (Confidencialidad – Integridad –
disponibilidad).
 Controles de acceso y autenticación
 Control de segregación de funciones

 Control de autorizaciones 
 Controles sobre la retención de los datos
 Controles de interfase y conversión
 Controles de excepciones y correcciones
 Controles sobre la infraestructura de TI
 Controles sobre el software
 La compañía ha definido las políticas y procedimientos para la gestión de la

información (Creación o adquisición, disposición o publicación, retención y 
almacenamiento y destrucción)
 Periódicamente se realizan las copias de seguridad de la información relevante de la 

compañía, y estas son almacenadas en lugares seguros y adecuados.
 La compañía ha establecido una política de Recuperación ante desastres naturales,

la cual define claramente las acciones a seguir para la continuidad del negocio, 
desde el punto de vista tecnológico.
 La compañía tiene establecida la función de auditoria de sistemas, que se desarrolla 

de acuerdo a los estándares pertinentes.