E

La Ley Sarbanes-Oxley
una
Visión Hacia el Futuro
 E

Antecedentes y
Elementos Claves de
la Ley
Sarbanes Oxley
¿Que sucedió? E

El día 25 de Julio, de 2002, a raíz de varios fraudes y desfalcos corporativos de

proporciones históricos, el congreso de los Estados Unidos, por un muy amplio margen,
ratificó la Ley Sarbanes Oxley (en 45 días). Esta ley fue posteriormente adoptada y
reglamentada por la SEC (Securities and Exchange Comisión) para todas las empresas
que caen bajo su manto regulatorio.
Los Autores de la Ley: E
Proceso Regulatorio: E
Congreso y Presidente
De los EEUU

Ley La SEC
A través del
Sarbanes Interpreta y Compañías
PCAOB
Oxley Aplica Registradas

Lineamientos Auditores
del PCAOB
Estándares
1 al 4 Publico
Inversionista
Perspectiva Histórica: E

La Ley Sarbanes – Oxley, es la ley reglamentaria de mercados de

valores más amplia ratificada desde los años 30´s (cuando se creo la
SEC como ente regulador de los mercados de valores de los EEUU).

Al igual que las leyes de mercados de valores de los años 30´s,

Sarbanes Oxley se emitió en respuesta a una crisis de confianza
inversionista.

La ley, establece nuevos requerimientos y sanciones diseñados para

asegurar que las Compañías que participan en las bolsas de valores de
los EEUU cuenten con un adecuado control interno contable, así como
procesos confiables para reportar información financiera.
Aplicación de la Ley a Empresas
Extranjeras: E

La “Ley” es obligatoria y aplica a todas las empresas que

coticen en la Bolsa de los Estados Unidos y estén
reguladas por la SEC, sin considerar su domicilio legal o
fiscal. La Ley es “internacional” y la SEC no delimita su
jurisdicción. La única variación entre la aplicación de la ley
para empresas Norte Americanas y extranjeras (Foreign
Private Issuers) es la fecha inicial de implementación.

• Empresas extranjeras (fuera de USA)

2006
registradas en SEC “Foreign Registrants”

• Subsidiarias en el extranjero (fuera de

USA) de Empresas registradas en SEC 2004
Permanencia de la Ley: E

¡La Ley Sarbanes Oxley no desaparece! Es más, los estándares

promulgados por la ley se están usando como base para nuevas leyes y
regulaciones de bolsas de valores en todo el mundo .

Impactará la forma en que las empresas que cotizan en las bolsas

estadounidenses y de todo el mundo operarán en el futuro, particularmente
en sus procesos de administración y control interno. Estas empresas
tendrán que crear procesos de cumplimiento con Sarbanes Oxley y leyes
similares a largo plazo.

Es decir, cada año la empresa tendrá que ejecutar procesos específicos

para actualizar, monitorear, probar, evaluar, documentar y finalmente
certificar sus sistemas de control interno.
Secciones Críticas de la Ley: E

• Secciones 301 y 407 - Requieren tener un

Comité de Auditoria compuesto de miembros
independientes a la Compañía contando como
mínimo con un experto financiero. El Comité tiene
el derecho de contratar los auditores externos y a
cualquier asesor que consideren necesario, los
cuales reportaran directamente al comité.

•Secciones 201 y 202 – Establece limitaciones sobre

los servicios que pude ofrecer el auditor externo por
cuestiones de Independencia. También establece un
requerimiento de pre-aprobación para otros servicios no
prohibidos.
Secciones Críticas de la Ley: E

•Sección 302 – Certificación trimestral por parte del

CFO y CEO de la validez de las cifras presentadas en
sus estados financieros y la suficiencia del sistema
actual de control interno. Para emisoras
extranjeras esta certificación es solamente
anual y comenzó con el 20Fdel 2002.

Secciones 906 y 1102 - Nuevas penas

corporales y civiles por violar la ley y
defraudar inversionistas. Multas
económicas de hasta $5 millones de
dólares y prisión de hasta 20 años.
Secciones Críticas de la Ley: E

•Sección 404 – Informe anual de control interno

La sección 404 es quizás la sección más amplia y
novedosa de la Ley y la que ha requerido
mayores recursos tanto económicos como
humanos para ser implementada. La Sección
404 requiere que las empresas que cotizan en la
bolsa de valores en Estados Unidos presenten
una declaración anual sobre el estado que
guardan sus sistemas de control interno contable.
Dicha declaración es posteriormente dictaminada
por el auditor externo de la empresa en términos
de (1) la suficiencia de la evidencia documental
que soporta la declaración de la Compañía y (2)
la condición de los sistemas de control interno de
la compañía en sí.
Pasos Generales para Cumplir
con la Sección 404: E

Fase I Fase II Fase III

• Selección / • Documentación de • Remediación de

Definición de Procesos Claves con Fallas de Control
Marco de Control sus Respectivos
Riesgos y Controles • Actualización de
• Definición del Pruebas de
Equipo de Trabajo • Ejecución de Controles
Pruebas de
• Definición del Controles Claves • Evaluación Final
Alcance del y Declaración de
Proyecto y Plan de • Evaluación de Control Interno
Trabajo Control Interno a
Nivel Empresa
 E

Resultados a la
Fecha y el
Futuro
con
Sarbanes Oxley
¿Donde estamos hoy? E

+ Resultados Positivos de SOX 404

™ Generalmente, nuestros clientes le están prestando más atención a los
temas de gobierno corporativo, control interno e independencia.
™ Casi la mitad de las compañías que encuestamos señalaron que sus
procesos financieros mejoraron. Más de la tercera parte anticipa la
ejecución de mejoras generales a sus sistemas.
™ La composición de los Comités de Auditoría de estas empresas ha
cambiado drásticamente, se han fortalecido y sus actividades han
incrementado.
™ Muchas de estas compañías reportan haber incrementado su inversión
en Infraestructura de Control (Contraloría, Auditoría Interna, etc).
™ La mayoría de nuestros clientes hoy día trabajan con al menos dos
firmas externas, una para la auditoría externa y una para todos los
demás servicios incluyendo apoyo en el tema de Sarbanes Oxley.
¿Donde estamos hoy? E

- Resultados Negativos de SOX 404

™ Con base en las estadísticas disponibles, el costo de
implementación de Sarbanes Oxley ha sido de entre un 0.1% y un
0.24% de los ingresos totales, una cifra impresionante.
™ La reacción de los mercados de valores a los reportes de
deficiencia y/o debilidades de control ha sido variado.
™ El impacto con respecto a la estabilidad laboral de los CFO´s de
las Compañías que reportan debilidades.
™ Actualmente, muchas empresas están estimando que entre un 50%
y 75% del esfuerzo del primer año será requerido para los años
subsecuentes. Algunos reportan cifras aún mas altas.
™ Muchos departamentos de auditoría interna han reportado que
más del 50% de sus horas disponibles en el 2004 se dedicaron
a trabajos de Sarbanes Oxley.
 E

El futuro
con
Sarbanes Oxley
Ciclo de vida SOX E

El Ciclo de vida de SOX es un concepto que

básicamente lleva a la empresa desde una etapa de
implementación y cumplimiento a un nivel de
optimización de controles y enfoque en valor agregado
en el proceso de mantenimiento de Sarbanes-Oxley.

Básicamente este ciclo de vida tiene 4 etapas que se

presentan en orden secuencial, aun que, como
veremos en la próxima sección de esta presentación,
no necesariamente tienen que seguir este orden.
Ciclo de vida SOX E
De Implementación a Valor:
Año 1 Año 2 en Adelante

1 2 3 4
Monitoreo, Optimización
Implementación Integración de Controles
Mantenimiento
SOX 404 Operacional e
y
y Actualización y Integración de
Validación
de Doc. Estabilización Valor
de Control

($) $ $ $
Costo Posible Posible Posible
Ahorro Ahorro y Ahorro
“no sorpresas”
Ciclo de vida SOX E

$ Optimización del proceso

de cumplimiento

$ Optimización de procesos
claves de SOX y sus
controles

$ Integración de otros
controles claves a los
sistemas de monitoreo y
validación de SOX
Ciclo de vida SOX E

1 Implementación
Enfoque = Cumplimiento
SOX 404

Tareas:
- Definición del alcance de los proyectos de CI
- Alcance, Organización, Planeación y Equipo
- Evaluar el Control Interno a nivel de Entidad
- Evaluar los Controles Internos a nivel de:
Procesos, Transacciones y Aplicaciones
> Documentación y Pruebas de Controles
- Identificación de Áreas de Oportunidad
- Remediaciones de los Controles Claves
- Evaluar la efectividad General de los Controles
- Reportar sobre los Controles Internos
Retos:
- Entendimiento de los Requerimientos SOX 404
- Interpretación del PCAOB #2
- Gerencia de Proyectos
- Recursos / Limitaciones de Staff
- Cumplimiento Oportuno
- Control de Calidad
- Consistencia en la Documentación
- Coordinación con los Auditores Externos
 Ciclo de vida SOX E

Integración
2 Operacional Enfoque = Estabilización y
y
Estabilización Sostenimiento

Tareas:
- Seguimiento a las Remediaciones de los
Controles Claves
- Actualizar las Estrategias de Remediación
- Integración de nuevos Controles Operacionales
- Desarrollo de nuevas Políticas y Procedimientos
- Asignación de Responsabilidades en el
Mantenimiento de SOX 404
Retos:
- Requerimiento de un cambio Cultural
- Gerencia de Cambios
- Falta de Desarrollo en la Aplicación de nuevos
Controles
- Inconsistencia en la Aplicación de nuevos Controles
- Transición de Proyectos SOX a Procesos SOX
- Limitación de Recursos / Staff
- Falta de conocimiento / Expertise
- Sección 302 "Certificación"
Ciclo de vida SOX E

Monitoreo,
Mantenimiento
3 y Enfoque = Consistencia
Validación “No Sorpresas”
de Control

Tareas:
- Establecer un Proceso de Monitoreo permanente
- Identificación y Actualización de los Cambios
En los Controles
- Validación Periódica de Controles
- Identificación de Fallas de Control
- Seguimiento a las Fallas de Control
- Documentación de Pruebas de Control
Retos:
- Visión hacia los Cambios de Controles
- Visión de las Fallas de Controles
- Limitaciones de tiempo y Recursos
- Costos
- Sección 302 "Certificación"
Ciclo de vida SOX E

Optimización
de Controles
4 e Enfoque = Eficiencia y Valor,
Integración de Retorno de Inversión
Valor

Tareas: Retos:

- Racionalización de Controles - Consideraciones de Costo / Beneficios

- Automatización de Controles Claves
- Estandarización de Procesos Claves
- Integración de los otros Controles Claves
(Operacionales y de Cumplimiento Interno)
en el sistema de Mantenimiento SOX 404
- Control del alcance de proyecto
- Inversión adicional en SOX
- Recursos / Limitaciones de Staff
- Falta de conocimiento / Expertise
- Limitantes de tiempo particularmente dado
Requerimientos de Certificación
El Futuro con Sarbanes Oxley: E
Nuevas Responsabilidades y Obligaciones de las Empresas y
sus Gerencias
La Ley Sarbanes - Oxley le ha creado nuevas responsabilidades y obligaciones a la
empresas y sus gerencias, no solo desde un punto de vista de implementación de la ley,
sino también en términos del desarrollo y mantenimiento de los sistemas que ayudarán a
asegurar su cumplimiento, a largo plazo, por parte de la empresa.

Responsabilidades: Obligaciones
¾ Actualizar Documentación de Control Certificación de
Interno Contable Control Interno
¾ Monitorear Condición de los sistemas Secciones 302 y 404
de Control Interno (Evitar Sorpresas)
¾ Corregir Cualquier Falla de Control
que Surja
¾ Probar y Validar Periódicamente la
Efectividad Operativa de los Controles
¾ Presentar la evidencia y la
Documentación correspondiente al
Auditor Externo
El Futuro con Sarbanes Oxley: E
Nuevas Responsabilidades y Obligaciones de las Empresas y
sus Gerencias
Sin embargo, también hay otras consideraciones practicas que también se tienen que
considerar para lograr un adecuado balance entre el cumplimiento con Sarbanes-Oxley y
otro objetivos básicos de negocio.

Responsabilidades y
*Otras Consideraciones Practicas
Obligaciones

™ Actualizar ™ Riesgo de Incumplimiento

™ Monitorear ™ Costo
™ Corregir ™ Recursos
™ Probar ™ ¿Proceso Sostenible?
™ Validar
™ Tiempo
™ Documentar
™ Certificar ™ ¿Valor Agregado?
El Futuro con Sarbanes Oxley: E

¿Como están Reaccionando las Empresas?

Varias Compañías han comenzado analizar la forma de hacer que el
proceso de cumplimento con la Ley Sarbanes-Oxley sea operativamente y
económicamente sostenible.

™ La mayoría piensa incorporar recursos de tiempo completo para

coordinar, monitorear y periódicamente validar los sistemas y
procesos de cumplimento.
™ Muchas planean el uso de alguna forma de proceso de auto-
evaluación de control para monitorear la eficacia de los controles.
™ Entre el 40% y 50% planea implementar algún sistema de monitoreo
sistemático sobre controles claves.
™ Muchas dependerán, por lo menos en parte, sobre cuestionarios
básicos de control interno.
El Futuro con Sarbanes Oxley: E

¿Como están Reaccionando

las Empresas?

™ Incrementar el tamaño y las $

responsabilidades de su función R
Mayor Inversión
de Auditoría Interna. E
S
en
™ Formar o ampliar un equipo o U Infraestructura
departamento dedicado a temas L de Control:
de Control Interno y Sarbanes- T
Oxley. A Control Interno
D y
™ Continuar con el uso de Recursos O Auditoría Interna
Externos, particularmente para la
ejecución / validación de pruebas
periódicas de control (objetividad).
Impacto Sobre Auditoría Interna E
¿El nuevo rol del Auditor Interno?
Debido a que Sarbanes-Oxley ha impactado a las áreas de Auditoría Interna de
las compañías afectadas, Ernst & Young patrocina una mesa redonda de
Directores de Comités de Auditoria de algunas de la empresas mas importantes
del mundo incluyendo: Texas Instruments, Wal Mart, General Electric, Viacom y
Newwell Rubbermaid. En sesiones llevadas a cabo en el 2004 ellos ya
destacaron lo siguiente:

“ Las demandas requeridas a la auditoria interna están

cambiando en la medida en que las compañías luchan por
mejorar su gobierno corporativo, manejar sus riesgos más
eficazmente y crear un proceso sustentable de cumplimiento
con Sarbanes-Oxley. El Ejecutivo de Auditoria, en especial,
está en la mira corporativa con mucha más frecuencia. Para el
equipo de auditoria interna, el actual entorno presenta una
nueva serie de retos, además de una vigorizante oportunidad de
contribuir a la agenda organizacional y aportar verdadero valor.”
Impacto Sobre Auditoría Interna E

Presiones sobre de Auditoría Interna

Dueños e Inversionistas P
P Mayoritarios y Minoritarios r
r Requisitos e
e Ejecutivos y y
Expectativas Reguladores de s
s Directores de
la Empresa oRe Mercados de i
i
Institución
qu
isi isit
os Valores e ó
ó tos
qu
Industrias
Re n
n
Auditoría
Interna M
I
e
n tiva
s Exp
ec t
ec ta ativ Auditores r
t Gerencias Exp as
Operativas y Externos y c
e Requisitos
Administrativas y Regulatório a
r s
Expectativas d
n
Consejo de Administración y el o
a
Comité de Auditoría s
Impacto Sobre Auditoría Interna E

Presiones sobre de Auditoría Interna

 Cumplimiento con estándares internacionales de gobierno

corporativo y control
 Mayor cobertura de riesgos en más áreas del negocio -
Financieros, Operativos, Informáticos, etc.
 Mayor valor agregado en términos de mejores prácticas
operativas y optimización de procesos de negocio
 Realización de cambios operativos y resolución oportuna de
deficiencias de control
 Prevención, detección oportuna e investigación efectiva de
posibles fraudes
 Independencia, Objetividad y Conocimientos del equipo de
auditoría interna y control interno
Impacto Sobre Auditoría Interna E

Elementos de Transformación de Auditoría Interna

Enfoque
Adecuado Propósito
y Enfoque

Estructura
Equipo
Adecuado Conocimiento Desarrollo
y Capacitación de Carrera

Tecnología Medidores de
Desempeño
Herramientas
Control
Adecuadas Metodología Conocimiento de Calidad
Impacto Sobre Auditoría Interna E

Control Interno vs. Auditoría Interna

Las funciones de Auditoría Interna y Control Interno son diferentes pero
complementarias, y cada una debe mantenerse totalmente independiente de
la otra dado que la función de Control Interno, en sí, puede y debe ser sujeta
a auditoría. Es crítico que estas dos funciones complementarias mantengan
objetivos, responsabilidades y tareas perfectamente definidas para evitar la
duplicidad de funciones y maximizar su efectividad.

Control Interno: Auditoría Interna:

El principal objetivo y responsabilidad
del Control Interno es apoyar a la
gerencia a través de un proceso de
monitoreo en línea del sistema de
control interno, asegurando un
adecuado funcionamiento de los
controles mas importantes de la
organización a través de su
supervisión, y en casos específicos, su
actuación directa en las operaciones.
El principal objetivo y responsabilidad de
la Auditoría Interna es, de manera
independiente y objetiva, evaluar los
sistemas y procesos de control de la
organización en relación a sus
objetivos de negocio y lineamientos
de control, y proveer observaciones
y recomendaciones detalladas para
mejorar la integridad, efectividad y
eficiencia de los mismos.
Impacto Sobre Auditoría Interna E
Elementos Contraloría Interna
Objetivo Monitoreo, Revisión, Apoyo
Línea de Reporte Dirección General / Administración
(Apoyo en proceso de certificación).
Independencia No Independiente, pero con alta objetividad
Enfoque y Monitoreo de:
Alcance
• Controles Claves financieros y operativos
• Locales y Unidades de negocio
• Cumplimiento con normatividad interna /
externa y controles claves
• Sistemas de Auto-Evaluación
• Indicadores Claves de Control
• Aplicación de controles de TI
• Avance en resolver puntos de auditoría
• Nuevas Políticas, Procedimientos y
Desarrollos
Auditoría Interna
Evaluación y Auditoría
Comité de Auditoría
(Apoyo en supervisión del sistema de control interno).
Independiente
Auditorias de:
• Procesos Integrales, Recurrentes y
Sistémicos
• Funciones centralizadas incluyendo
funciones de control y vigilancia
• Objetivos estratégicos incluyendo Proyectos,
Contratos, e Iniciativas claves
• Eventos o transacciones importantes
• Procesos de TI e Infraestructura y
aplicaciones de sistemas incluyendo
seguridad de información y planes de
continuidad.
Conclusiones Generales E
™ El proceso de cumplimiento con Sarbanes-Oxley no se termina con su
implantación inicial. Mantener el cumplimiento con la ley es un ejercicio
igualmente importante y tan desafiante como su implantación inicial.
Esto requerirá de un modelo integral y recursos capaces de mantenerlo.

™ Existen oportunidades importantes para hacer más eficiente este

proceso de cumplimiento y complementarlo para así generar un valor
agregado para la empresa. Cuanto antes se inicie este proceso, más alta
será probabilidad que se obtengan los beneficios correspondientes.

™ Con el enfoque primordial en el proyecto de implementación de SOX, existe

un gran peligro que las compañías no perciban la importancia de establecer
un proceso sostenible de cumplimiento con Sarbanes Oxley lo antes
posible.

™ Éste proceso sostenible implicara la actuación de las funciones de Auditoría

Interna, Control Interno con nuevos enfoques individuales y
complementarios.
¿Cómo Proceder? E

¿Como proceder en el corto plazo?

• Evaluar avance de la empresa en términos de su

implementación e integración de Sarbanes-Oxley
(Ciclo de Vida SOX).

• Establecer prioridades.

• Tomar decisiones claves en términos de estructura

organizacional, responsabilidades, gente y
metodología

• Racionalizar inversiones tanto internas como

externas.
Preguntas Claves E
¿En que etapa del ciclo de vida de SOX 404 se encuentra su empresa?

¿Hacia donde quieren ir respecto a SOX (Cumplimiento, Estabilidad,

Consistencia, Eficiencia, Valor)? ¿Que estrategia existe para llegar allí?

¿Que recursos se encargarán de desarrollar el programa de mantenimiento

de SOX para que la empresa cumpla con las expectativas definidas arriba?

¿Que enfoque debería tener Auditoria Interna respecto a Sarbanes Oxley y los
demás riesgos que enfrenta la Compañía? ¿Auditoria interna esta conformada y
capacitada para cumplir este rol?

¿Que rol, responsabilidades y tareas tendrán las áreas de Control Interno

(contraloría o normatividad), Auditoría Interna y los dueños de procesos en
el desarrollo y mantenimiento de un sistema de cumplimiento con SOX?

¿Que rol, responsabilidades y tareas se llevaran a cabo por terceros (no-

empleados) en este sistema a corto y a largo plazo?
Modelo Futuro
de Auditoría y Control E
Una pregunta fundamente es ¿Quién se encargará de estas
responsabilidades y tareas? - ¿La Operación?, ¿Control Interno?,
¿Auditoría Interna?

Infraestructura de Control

Dueños de Control Auditoría

Proceso Interno Interna

Cada empresa tiene que hacer esta asignación de responsabilidades.

Modelo Futuro
de Auditoría y Control E

Proceso de Cumplimento
con SOX 302 y 404
Requisitos: Actualización Periódica Consideraciones:

Gerencia y Dueños de Proceso

de Riesgos y Controles

Infraestructura de Control
™ Actualización ™ Riesgo
™ Monitoreo Monitoreo de Controles ™ Costo
Sistemas y Auto-
Auto-Evaluaciones
™ Pruebas ™ Recursos
™ Validación Auditoría y Validación ™ Proceso
con Evidencia Documental Sostenible
™ Corrección
™ Tiempo
™ Documentación Corrección y
Conclusión de Control ™ Valor
™ Certificación

Certif. Certif.
Sección 302 Sección 404
Visión a Futuro E
¿Como están Reaccionando las Empresas?
Aprovechar la inversión en 404: Nuestras encuestas también indican que un
muchas Compañías planea extender la cobertura de sus sistemas de monitoreo
de control para incluir objetivos de control más allá de los relacionados a
información financiera.

ra n
to

es

ie ió
en

nc ac
on
im

na rm
ci
pl

ra

Fi nfo
um

pe
B

I
O
CEntorno de Control
U
Sarbanes-Oxley Sección F Alcance de Sarbanes-
S
404 – Integrado U Oxley Sección 404
Evaluación de Riesgos
N
U
C
Actividades de N
Valor Agregado T
Control I
más allá de Sección Información y Comunicación I T
404 O
Monitore S
N
o S

Con el desarrollo de COSO II, pudiéramos ver este alcance ampliado aun
mas para eventualmente incorporar objetivos de control estratégicos.
Visión a Futuro E

Ciclo de Vida de SOX 404

Control Interno

™Evaluación
Riesgo Operativo, Integración
Integración
Funciones
Funciones de
de
Financiero, Admin.
Admin. de
de Riesgo
Riesgo
de
de Admin.
Admin. de
de ™Monitoreo
Regulatorio, etc. Riesgos
Riesgos
™Mejoramiento

Auditoría Interna

Evolución de Auditoría Interna