Вы находитесь на странице: 1из 62

Ley de responsabilidad empresarial Sarbanes Oxley:

Desafíos y tendencias

Octubre 2005
Ponente: Gerardo
Herrera

Ponente:
Gerardo Herrera B.
Firma miembro de

*connectedthinking
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 1
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Introducción

Una serie de escándalos gerenciales y contables en grandes


compañías mermaron la confianza de los inversionistas.
9 Enron
9 Worldcom
9 SmallTalk

En respuesta a la crisis, el Congreso de E.U.A creó una legislación, “The


Guidelines of Sarbanes-Oxley Law”, cuyo tratado principal es mejorar la
confiabilidad en los reportes de los estados financieros de las compañías al
introducir reformas que permitan una reducción sustancial de la ocurrencia
de fraudes y errores en la generación de los mismos.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 2


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Introducción

La necesidad de ejecutar acciones

“Si aún no a empezado a preparase para evaluar el control interno, comience


a trabajar en ello inmediatamente.”

- Discurso de Scott A. Taub, Deputy Chief Accountant,


U.S. Securities and Exchange Commission. 29 de Mayo de 2003

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 3


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Introducción

Los 11 capítulos que conforman la ley de Sarbanes-Oxley

I. Public Company Accounting Oversight Board


JUNTA DE VIGILANCIA DE LAS COMPAÑIAS DE CONTABILIDAD PÚBLICA
II. Auditor Independence
INDEPENDENCIA DEL AUDITOR
III. Corporate Responsability
RESPONSABILIDAD DE LA COMPAÑÍA
IV. Enhanced Financial Disclosures
REVELACIONES FINANCIERAS MAS AMPLIAS
V. Analyst Conflicts of Interest
CONFLICTOS DE INTERES DEL ANALISTA
VI. Commission Resources and Authority
RECURSOS Y AUTORIDAD DE LA COMISION

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 4


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Introducción

Los 11 capítulos que conforman la ley de Sarbanes-Oxley

VII. Studies and Reports


ESTUDIOS E INFORMES
VIII. Corporate and Criminal Fraud Accountability
RESPONSABILIDAD DE LA COMPAÑÍA POR FRAUDE PENAL
IX. White-Collar Crime Penalty Enhancements
RESPONSABILIDAD PENAL DE EMPLEADOS
X. Corporate Tax Returns
DECLARACIONES JURADAS DE IMPUESTOS DE LA COMPAÑÍA
XI. Corporate Fraud and Accountability
FRAUDE Y RESPONSABILIDAD DE LA COMPAÑÍA

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 5


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Capítulos más relevantes de la ley

Sección 302 - Responsabilidad Corporativa

La ley “SOX” requiere que anualmente las


companías que emitan reportes a la SEC
adicionalmente incluyan un reporte periódico
que:

9 Establezca todas las deficiencias 9 Indique cualquier fraude, significativo o no, que
significativas en el diseño u operación involucre a la gerencia u otros empleados que
de los controles internos que podrían desempeñan un rol importante en los controles
afectar adversamente la habilidad del internos del emisor.
emisor para registrar, procesar,
resumir, y reportar datos financieros. 9 Se presenten las conclusiones sobre la
evaluación de la efectividad de los controles
internos fecha dentro de los 90 días antes del
informe.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 6
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Capítulos más relevantes de la ley
Capítulo IV: Enhanced Financial Disclosures
Sección 404 - Mejoras en las Divulgaciones Financieras

La ley “SOX” requiere que anualmente las companías que emitan reportes a la
SEC adicionalmente incluyan un reporte que:

Establezca la responsabilidad de la gerencia en la creación y


mantenimiento de procedimientos y estructura de control interno
adecuados para el reporte financiero.

Una evaluación (“assessment”) hecha por la gerencia de la compañía a


final de su año fiscal sobre la efectividad de sus procedimientos y
estructura de control interno para el reporte financiero.

La opinión (“attest”) del auditor externo sobre las aserciones hechas por la
gerencia con respecto a la evaluación de sus controles internos de
acuerdo a los estándares del “PCAOB”.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 7


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Capítulos más relevantes de la ley

9 Reporte de Gerencia debe incluir declaraciones de:


ƒ La responsabilidad de la gerencia para establecer y mantener
un control interno adecuado sobre los reportes financieros.
ƒ Opinión de la Gerencia sobre la efectividad de dichos
controles.
ƒ Identificación del lineamiento de trabajo utilizado para evaluar
la efectividad.
ƒ Opinión del auditor externo.

9 COSO es un estándar aceptado para emitir la opinión de la


gerencia.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 8


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Capítulos más relevantes de la ley

Monitoreo
Monitoreo
Monitoreo Actividades
Actividades de
de Control
Control
ƒLos
ƒOpinión sobre
sistemas
Opinión un
un control
sobre de control del
control del ƒƒPolíticas/procedimientos
Políticas/procedimientos
Actividades de control que
que
funcionamiento
funcionamiento del
del sistema
sistema en
en el
el aseguran
aseguran directrices
directrices gerenciales
gerenciales
interno deben ser Son las políticas
tiempo.
tiempo. son
son llevadas cabo. los
llevadas aa cabo.y
monitoreados para asegurar procedimientos de control
ƒsu
ƒCombinación
calidad. de
Combinación de evaluación
evaluación enen ƒƒRango
Rango de
de actividades
actividades incluyendo
incluyendo
proceso y separada.
proceso y separada.
que permitenautorizaciones,
aprobaciones, asegurar el
aprobaciones, autorizaciones,
Existen dos tipos de cumplimiento
verificaciones, de las
verificaciones, recomendaciones,
recomendaciones,
ƒƒActividades
Actividades gerenciales
gerenciales yy de
de
monitoreo: Evaluaciones directrices
revisiones dede
revisiones de la gerencia.
desempeño,
desempeño,
supervisión
supervisión
separadas y actividades seguridad
seguridad de
de activos
activos yy
ƒregulares
ƒ Actividadesdede
Actividades de auditoría
auditoría interna
monitoreo interna segregación
segregación de
de funciones.
funciones.

Información
Información yy Comunicación
Comunicación
Información y Ambiente
Ambientede de Control
deControl
Control Opinión
Opinión del
del Riesgo
Riesgo
Ambiente
ƒƒIdentificación,
Comunicación
Identificación, captura
captura yy ƒƒConsiste
Es
Es base
base de
deenlos
loslacontroles
controles
integridad, ƒƒLa
La opinión
opinión del
del riesgo
riesgo es
es la
la
comunicación
comunicación de
de información
información en
en
Se
un
enfoca
cierto
en la
período de
naturaleza
tiempo.
y los valores éticos, y la identificación
identificación
Evaluación yy análisis
análisis de
de riesgo
de Riesgo riesgo
un cierto período de tiempo. por
calidad de la información por conciencia
conciencia de de su
su personal.
personal. relevante para lograr
relevante para lograr los los
ƒƒnecesaria
Acceso
Acceso aa información
información generada
generada
capacidad del personal, Es la identificación
objetivos
objetivos de
de lala entidad,
y utilizado
el
entidad, utilizado
para un efectivo ƒƒasí
Factores
comoincluyen
Factores incluyen integridad,
integridad,
la filosofía de la
interna y externamente.
interna y externamente. análisis
para delas
para formar
formar losbases
las riesgos
bases que
que
control, los sistemas de valores éticos, competencia,
valores éticos, competencia,
gerencia yresponsabilidad.
el estilo determinan
que permiten
determinan las
las actividades
alcanzar los
actividades de
de
ƒƒinformación
Flujo de información
Flujo de información
usados que
que permite
permite
para autoridad,
autoridad, responsabilidad.
operativo. control.
control. y la forma cómo
objetivos
exitosamente tomar
exitosamentetaltomar acciones
acciones de
de
desarrollar información, y ƒƒBase
Base para
para todos
todos los
los demás
demás
control partiendo de instrucciones
control partiendo de instrucciones componentes deben ser gerenciados.
los
sobrereportes
las necesarios para componentes de
de control.
control.
sobre las responsabilidades
responsabilidades para
para
comunicarla
resumir
resumir los con eficacia.
los hallazgos
hallazgos de
de acciones
acciones Los cinco componentes deben realizarse
gerenciales.
gerenciales. para que un control sea efectivo.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 9
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Metodología de cumplimiento de la sección 404

Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor

Preparar
Iniciar Reporte
Documentar y Probar de Control
Proyecto y Opinar
Evaluar Diseño Remediar Efectividad
Evaluar Interno para el Y Reportar
de Controles operativa
Riesgo Reporte
Financiero

GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 10
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 1 - Iniciar el proyecto y evaluar el riesgo
9 Establecer la carta del proyecto y su
estructura.

9 Formar equipos de trabajo segregados


por procesos de negocio,
responsabilidades y objetivos.

9 Identificar unidades de negocio o


funciones pilotas a utilizar.

9 Establecer el alcance de la evaluación:


Full scope

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers Limited scope 11


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 1 - Iniciar el proyecto y evaluar el riesgo

9 Basado en el riesgo relativo, establecer la madurez del Control Interno para


cada ciclo de transacciones financieras y de áreas funcionales

Esquema de Trabajo para evaluar la Madurez del Control Interno


No Confiable Informal Estandarizado Monitoreado Optimizado
Ambiente Actividades de Actividades de Controles Controles
impredecible en control control estandarizados internos
donde las diseñadas y diseñadas, con pruebas integrados
actividades de funcionando funcionando y periódicas para con monitoreo
control no están pero no están documentadas probar diseño gerencial en
diseñadas o documentadas adecuadamente efectivo y línea y
funcionando adecuadamente operativo con mejoramiento
reportes a la continuo
gerencia

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 12


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Metodología de cumplimiento de la sección 404

Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor

Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero

GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 13
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Documentar y Evaluar Diseño de Controles

Como parte fundamental de la evaluación del control interno que establece la sección
404 de Sarbanes-Oxley, se debe hacer especial énfasis en las siguientes etapas de
documentación del diseño de controles:

Determinar procesos
y controles críticos Documentar
los resultados
Identificar obtenidos
deficiencias
de documentación Desarrollar y
y de diseño establecer
de controles estándares de
documentación

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 14


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Documentar y Evaluar Diseño de Controles
Identificar
Determinar
Desarrollar y deficiencias Documentar
procesos
establecer de documentación los resultados
y controles
estándares y de diseño obtenidos
críticos
de controles

9 Desarrollar estándares y patrones de9 Durante las entrevistas


9 Documentar
9 Identificar y revisión,
brechaselidentificar
ambiente
en yexistente
acumular
la documentación laáreasno
en(áreas no
documentación documentadas
documentación que facilitarán la identificación existente sobre acorde
actualmente las entidades
documentadas
al estándar)al estándar
y en el diseño e
de los controles principales utilizando: correspondientes y unidades de de
implementación negocio
controles
9 Revisar la documentación para el diseño efectivo e
9 Narrativas de procesos y ciclos, Mapas de ƒ Políticas yidentificar
procedimientos
9 Desarrollar donde el
acciones dediseño
contaduría
registrodepara
controles
capturar es las
inadecuad
procesos y Matrices de Control y puede
brechas
ƒ Documentación demejorar
restantes. El Registro incluirá:
procesos
9 Guías de Entrevistas
ƒ Documentación
9 ƒ Utilizar de
uncontroles
Controles proceso
que aúnpara manejar
necesiten serexcepciones
documentados para lo
9 Construir la documentación
ƒ casos emitidos
Controlesdel que durante
control la ser
interno
necesitan evaluación
para cada uno
diseñados del econtrol
9 Desarrollar excepciones para el manejo de de los componentes de COSO
9 implementados
Determinar el estado actual del control interno y
procesos para los casos de control interno
divulgados en la evaluación del diseño. ƒ asignar
Mejoras unrecomendadas
valor de madurez a la para
efectividad del diseño
las actividades de
9 Realizar un inventario dedecontroles
control casos de control emitidos con
importancia 9
significativa
Revisar las en acciones
los reportes
de financieros (Ej.:
registro y desarrollar un
9
reportes de auditoríaEstablecer
interna, un plan, asignando
certificaciones del 302 responsabilidades
). y
consenso de prioridades a remediar.
lapsos de tiempo para realizar la corrección.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 15


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Caso de Estudio

Se realiza un walkthrough (recorrido) por los ciclos de Ventas, Activo Fijo,


Tesorería y Contabilidad, mediante entrevistas con los “dueños” de los procesos.

Se verifica que los mapas de procesos y narrativas desarrollados por el personal


de la compañía XYZ, están completos y contemplan todos los subprocesos y
controles detectados a través del proceso de walkthrough.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 16


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Caso de Estudio

Se identifican y clasifican las


siguientes debilidades:

ƒ Procesos no documentados
ƒ Controles no documentados
ƒ Deficiencias de diseño de
controles

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 17


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Caso de Estudio:

Se detectaron las siguientes debilidades:

1. Proceso no documentado: Proceso de aprobación de


pagos en moneda extranjera (tesorería)

…. una vez registrada la factura del


Narrativa
proveedor extranjero, se registra la tasa de
desarrollada
cambio efectiva y se procede a aprobar el
por la
pago en el sistema ABC. Por último se
compañía
realiza la transferencia bancaria…..

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 18


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Caso de Estudio

1. Proceso no documentado: Proceso de aprobación de


pagos en moneda extranjera (tesorería)

…. una vez registrada la factura del proveedor


extranjero, se registra la tasa de cambio
efectiva y se procede a aprobar el pago en el
Proceso
sistema ABC. Seguidamente el analista de
Documentado
tesorería registra el pago en el sistema para
correctamente
ser aprobado posteriormente por el gerente
de tesorería. Por último se realiza la
transferencia bancaria…..
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 19
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Caso de Estudio
2. Control no documentado: Control automatizado del sistema ABC que rechaza
la apertura de periodos contables una vez que han sido cerrados y conciliados
(contabilidad). Matriz
Control documentado
de procesos correctamente
desarrollado por la compañía

Existen Se imprimen
Se buscan
Partidas no los saldos
Partidas no
Conciliadas? de mayor
conciliadas

Se concilian
las partidas
Se
Secierra el
realiza
pendientes
Fin del
Elperíodo
proceso
proceso contable
de cierre
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 20
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Caso de Estudio

Deficiencias de diseño:

ƒ Ventas: Las guías de despacho solo son firmadas y revisadas por el transportista,
faltando ser revisadas también por el gerente de almacén.

ƒ Contabilidad: El campo del sistema ABC que permite ingresar y validar la fecha
de registro de documentos contables; no contempla años bisiestos.

ƒ Tesorería: La anulación de pagos realizada a través del sistema ABC, no registra


como información adicional la fecha y la hora en que se efectuó la anulación.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 21


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 2 - Caso de Estudio
Documentación de resultados:
Ciclo de Control Tipo de Tipo de Nivel de
negocio control deficiencia riesgo
Tesorería Proceso de Manual / Proceso no Bajo
aprobación de Automático documentado
pagos en moneda
extranjera
Contabilidad No se pueden Automático Control no Medio
abrir periodos documentado
contables una vez
que han sido
cerrados y
conciliados
Ventas Proceso de Manual Deficiencia de Alto
aprobación de las diseño de control
guías de
despacho
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 22
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Metodología de cumplimiento de la sección 404

Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor

Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero

GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 23
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 3 - Remediación de deficiencias de diseño y documentación
Una vez detectadas las deficiencias de documentación de procesos, documentación
de controles y/o deficiencia de diseño de controles, se debe obtener la siguiente
información de la gerencia:

Plan ejecutivo de remediación

Fechas estimadas de entrega

Responsable del plan de acción

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 24


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Metodología de cumplimiento de la sección 404

Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor

Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero

GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 25
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 – Probar efectividad operativa

Al momento de evaluar controles y


procesos bajo la sección 404 de
Sarbanes-Oxley, se debe tomar en
cuenta los siguientes lineamientos:

9 Enfoque orientado a controles

9 Naturaleza de la prueba

9 Universo de la muestra

9 Remediación de controles
deficientes
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 26
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 – Probar efectividad operativa: Enfoque orientado a controles
9 Solo se prueban controles claves, controles que tienen incidencia directa en los estados
financieros.
9 No se realizan pruebas sobre indicadores de gestión (KPIs).
9 Se evita el desarrollo de pruebas sustantivas y de detalle (recálculos, reconstrucciones
y conciliaciones).
9 Los casos de estudio se construyen en base a una selección muestral.
9 Se evalúan controles manuales como automáticos.
9 No se prueban controles catalogados como deficientes por la gerencia.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 27


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 - Prueba Sustantiva vs Prueba EJE
M PLO
Enfoque de controles Sustantiva

Recibo
Archivo Cálculo Control Interfaz Control Archivo
De pago
Maestro Maestro

Proceso de corrida de nómina

Enfoque a
Controles
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 28
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 – Probar efectividad operativa: Naturaleza de la prueba

Nivel de confianza alta Consiste en repetir el control


ejecutado por un sistema o
Reprocesamiento persona. A veces es la única
Semanera
enfocade probar
a la un control
inspección de
automático.
registros, Se procesaron
documentos y
los pagos paracon
reconciliaciones identificar
el fin de
Examinación pagosevidencia
que estuvieran
Constituye
obtener en observarde que un
aplicados
control ha sidoa proveedores
correctamenteno
directamente el comportamiento
existentes
aplicado. Se en el maestro
verificó que el de
de un control. Se observó que el
proveedores.
Observación Determinar
reporte de si excepciones
un control es se
sistema asigna los correlativos
emite y
utilizado o revisa mensualmente
no a través de un
de facturas automáticamente
conjunto de preguntas orales o
Entrevista escritas. ¿Como hace usted
para aprobar las órdenes de
Nivel de confianza baja
compra?
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 29
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404

Fase 4 – Probar efectividad operativa: Universo de la muestra

9 Nivel de materialidad de los ítems


seleccionados: Se deben seleccionar
los casos que tengan mayor impacto o
materialidad en los estados
financieros

9 Cobertura del proceso: Asegurarse


de seleccionar una muestra que
incluya todas las posibles situaciones
que el control aborda.
9 Marco de tiempo: Seleccionar una muestra
distribuida a lo largo del período de evaluación,
que permita evaluar el comportamiento del
control a través del tiempo.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 30
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 – Probar efectividad operativa:
Universo de la muestra

9 Variedad de resultados: Asegurarse que la


muestra cubra resultados críticos, usuales e
inusuales, ya que en algunas oportunidades
los controles fallan cuando se presentan
situaciones de mínima ocurrencia.

9 Tipo de control: A la hora de probar


controles se debe tomar en cuenta que se
deben realizar pruebas mas extensas en los
controles manuales que en los
automáticos.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 31


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 – Probar efectividad operativa: Universo de la muestra
A nivel general, utilizando un estándar confiable para la selección de muestras para
la prueba de controles manuales, se deben probar un número de ítems acorde a la
frecuencia del control:
Diario
Anual
1 ítem
20 a 40
Semanal
ítems
Trimestral
2 ítems 5 a 15
ítems Varias
Mensual
veces al día
2 a 5 ítems
25 a 60 ítems
Este estándar se puede utilizar también de referencia al momento de probar controles automáticos.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 32
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 - Caso de Estudio
Cumpliendo con las instrucciones impartidas por casa
matriz para la compañía XYZ, se determina como parte
del alcance que se deben evaluar los siguientes controles:

9 Registro automático de las tasas de cambio aplicadas


para pagos en moneda extranjera. El usuario no puede
hacer registro manual de las mimas.

9 Acceso y segregación de funciones al módulo de


configuración de activos fijos en el sistema ABC.

9 Aprobación y revisión de los documentos de ventas a


consignación por parte del gerente de ventas.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 33


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 - Caso de Estudio

Una vez determinados los controles claves a evaluar, se determina el tamaño de


la muestra según la frecuencia del control:

Control Registro y Acceso y Aprobación de


actualización de segregación de documentos para
tasas de cambio en funciones al módulo ventas a
moneda extranjera de configuración consignación
Frecuencia Diario Mensual Semanal

Muestra 30 registros de tasas Todos los usuarios 10 legajos de


de cambio con acceso al documentos
sistema
Tipo de Examinación y Reproceso Examinación y
Prueba observación entrevista

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 34


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 - Caso de Estudio
Seleccionada la muestra se clasifican los controles, el nivel de riesgo que
mitigan y el criterio de error

Control Registro y Acceso y segregación Aprobación de


actualización de de funciones al módulo documentos para
tasas de cambio de configuración ventas a
en moneda consignación
extranjera
Tipo de Automático Automático Manual
control
Riesgo a Bajo Alto Medio
mitigar

Criterio de 9 Tasas incorrectas 9 Segregación de 9 Ausencia de


9 Fecha de registro funciones no adecuada documentos
error
incorrectas 9 Accesos no autorizados 9 Firmas y
aprobaciones no
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers autorizadas 35
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 4 - Caso de Estudio
Por último se documentan y clasifican los resultados:
Acceso y Aprobación de
Registro y actualización
segregación de documentos para
Control de tasas de cambio en
funciones al módulo ventas a
moneda extranjera
de configuración consignación
Todas los documentos
Se encontró personal de ventas poseen el
Se encontraron 4 días con
fuera del área de activo legajo completo de
tasas de cambio
Resultados fijo que posee acceso documentos. Todas
incorrectas para dólares,
al módulo de están firmadas y
euros y libras esterlinas
configuración aprobadas por el
gerente de ventas.

Comportamiento
Deficiente Deficiente Adecuado
del control

Parametrizar
Acción a tomar Rediseñar el control N/A
correctamente la interfaz

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 36


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Metodología de cumplimiento de la sección 404

Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor

Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero

GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 37
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 3 – Remediación de controles deficientes
Basado en las excepciones encontradas durante la etapa de prueba, la gerencia
debe buscar remediar sus deficiencias de control interno

Documentar Se documentan y evalúan


y evaluar nuevamente los controles
previamente remediados.
Se vuelve a probar la
Probar efectividad operativa usando
efectividad los mismos criterios de prueba
operativa para cuando se detectaron
empleados para detectar
Si se encuentran
deficiencias operativas
excepciones se remedia
Remediar nuevamente. Sino se
procede a la siguiente
fase
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 38
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 3 - Remediación de controles deficientes
Los controles remediatorios deben ser puestos a prueba por un periodo de
tiempo determinado, con el fin de garantizar que el plan de remediación y que
las modificaciones realizadas en el diseño del control, pueden asegurar un
comportamiento efectivo del mismo.
Mínima cantidad de tiempo Número mínimo de ítems a
Frecuencia del control ser probados
de operación del control

Trimestral 2 trimestres 2

Mensual 2 meses 2

Semanal 5 semanas 2

Diario 20 días 10

25 veces sobre un
Varias veces al día 25
período de varios días
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 39
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 3 – Caso de estudio
Determinadas las deficiencias operativas y el plan de remediación, se ponen a
prueba según su frecuencia los controles detectados como deficientes en la fase
anterior:

Registro y actualización de tasas


de cambio en moneda extranjera
Acceso y segregación de
funciones al módulo de
Frecuencia: Diaria configuración

Frecuencia: Mensual
Período de prueba mínimo: 20 días

Período de prueba mínimo: 2 meses


Número de ítems a probar: 10

Número de ítems a probar: 2

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 40


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Metodología de cumplimiento de la sección 404

Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor

Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero

GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 41
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 5 - Preparar Reporte de Control Interno para el Reporte Financiero

Una vez terminada la etapa de levantamiento de información, prueba y


remediación, los especialistas del comité de auditoría o de la firma de auditoría
externa, deben haber completado la siguiente documentación:

9 Matriz de controles y riesgo: Información detallada de cada uno de los


controles detectados durante el levantamiento de información y recorrido de
procesos. Se debe indicar el riesgo asociado al control y la clasificación de
este.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 42


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404

Fase 5 - Preparar Reporte de Control Interno para el Reporte Financiero


9 Documentación de procesos: Narrativas y/o mapas de procesos donde se indiquen
cada uno de las actividades y controles de un proceso de negocio. Se debe incluir el
detalle de los sub procesos asociados.

9 Sumario de deficiencias agregadas (Summary of Aggregated Deficiencies SAD):


Matriz detallada donde se indican las deficiencias de diseño y operación de los controles
sometidos a prueba, el conjunto de procesos recorridos y documentados, los resultados
de las pruebas y los planes de remediación ejecutados a lo largo del proceso de revisión.
Las deficiencias de clasifican en: operativa, diseño y documentación.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 43
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 5 - Caso de Estudio

Antes de generar el reporte de control interno, los especialistas del comité


de auditoría o de la firma de auditoría externa, deben completar los
siguientes pasos:

Clasificar Construir la
Clasificar Clasificar
las deficiencias matriz final
la documentación la efectividad
de diseño y de
de procesos operativa
documentación resultados

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 44


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 5 - Caso de estudio

1- Clasificar la documentación de procesos: Todos los anexos referentes a la


documentación de procesos de la compañía XYZ deben ser clasificados en los
siguientes 6 grupos:

Matriz de Riesgos de
Mapas de procesos
Controles Negocio

Políticas
Manuales
Narrativas y
de Operación
Procedimientos

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 45


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 5 - Caso de Estudio
2- Clasificar las deficiencias de diseño y documentación
Ciclo de Proceso Tipo de Tipo de Nivel de
negocio control deficiencia riesgo

Tesorería Proceso de Manual / Proceso no Bajo


aprobación de Automático documentado
pagos en moneda
extranjera
Contabilidad No se pueden Automático Control no Medio
abrir periodos documentado
contables una vez
que han sido
cerrados y
conciliados
Ventas Proceso de Manual Deficiencia de Alto
aprobación de las diseño de control
guías de
despacho
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 46
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 5 - Caso de Estudio
3- Clasificar la efectividad operativa
Control Registro y Acceso y Aprobación de
actualización de segregación de documentos para
tasas de cambio en funciones al módulo ventas a
moneda extranjera de configuración consignación
Resultados Se encontraron 4 días Se encontró personal Todas los documentos
con tasas de cambio fuera del área de activo de ventas poseen el
incorrectas para fijo que posee acceso legajo completo de
dólares, euros y libras al módulo de documentos. Todas
esterlinas configuración están firmadas y
aprobadas por el
gerente de ventas.
Comportamiento del Deficiente Deficiente Adecuado
control

Acción a tomar Parametrizar Rediseñar el control N/A


correctamente la
interfaz
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 47
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 5 - Caso de Estudio
4- Matriz final de resultados y Sumario de deficiencias agregadas (SAD)
Proceso Registro y Acceso y Aprobación de Proceso de No se pueden Proceso de
actualización de segregación de documentos aprobación de abrir periodos aprobación de
tasas de cambio funciones al para ventas a pagos en contables una las guías de
en moneda módulo de consignación moneda vez que han sido despacho
extranjera configuración extranjera cerrados y
conciliados

Ciclo de negocio Tesorería Activos Fijos Ventas Tesorería Contabilidad Ventas

Resultados Se encontraron 4 Se encontró Todas los Proceso no Control no Deficiencia de


días con tasas de personal fuera documentos de documentado documentado diseño de
cambio del área de ventas poseen el control
incorrectas para activo fijo que legajo completo
dólares, euros y posee acceso al de documentos.
libras esterlinas módulo de Todas están
configuración firmadas y
aprobadas por el
gerente de
ventas.
Tipo de Operativa Operativa Operativa Documentación Documentación Diseño
deficiencia

Comportamiento Deficiente Deficiente Adecuado N/A N/A N/A


del control

Riesgo Bajo Alto Medio Bajo Medio Alto

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 48


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Metodología de cumplimiento de la sección 404

Mejoramiento
Mejoramiento Continuo
Continuo
Gerencia Auditor

Preparar
Reporte
Iniciar Proyecto Documentar y Probar de Control Opinar
y Evaluar Evaluar Diseño Remediar Efectividad
Riesgo de Controles operativa Interno para el Y Reportar
Reporte
Financiero

GCC:
GCC: General
General Computer
Computer Controls
Controls
Soporte
Soporte del
del Proyecto
Proyecto de
de la
la Gerencia
Gerencia
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 49
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 6 - Opinar y reportar:

En la etapa final del proceso de revisión los especialistas del comite de auditoría o
de la firma de auditoría externa, deben cumplir con los siguientes aspectos:

9 La filial de la compañía evaluada reporta los


resultados de la evaluación a la casa matriz

9 Los especialistas del comité de auditoría o de la firma


de auditoría externa a nivel de casa matriz, emiten una
opinión ante la SEC sobre el control interno de la
compañía.
9 La SEC evalúa los resultados de la evaluación 404 y
hace publica esta información a través de su página
Web.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 50
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Metodología de cumplimiento de la sección 404
Fase 6 - Caso de estudio

Una vez completado el proceso de evaluación, la compañía XYZ debe someterse


a publicar y difundir la siguiente información:

9 La filial de XZY en Venezuela reporta los resultados de la evaluación a la casa matriz en Berlín

9 Los especialistas de la firma de auditoría externa clasifican el control interno de la filial en


Venezuela como operativo y satisfactorio. A su vez se reportan las deficiencias encontradas.

9 Los especialistas de la firma de auditoría externa a nivel de casa matriz, reportan ante la SEC
como eficiente, el control interno de la compañía XYZ

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 51


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Participación de los especialistas de procesos y
tecnología de información
Alcance de los especialistas de IT y procesos en una revisión 404

9 Controles generales de cómputo:

Constituyen todos los controles


manuales y automáticos existentes en
un departamento de informática,
necesarios para asegurar la continuidad
de operaciones del mismo, así como
resguardar y asegurar el correcto trafico
y disposición de los activos de
información.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 52


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Participación de los especialistas de procesos y
tecnología de información
Ámbitos a evaluar en los controles generales de cómputo (GCC)

Cuando los controles automáticos son parte


significante de un proceso de negocio, se debe
comprender y evaluar la efectividad del diseño del
control así como probar el mismo para cada uno de
los siguientes cinco dominios:

Desarrollo de Acceso a
programas programas
y datos
Cambios a
programas
Ambiente de
Operaciones control de
de cómputo tecnología
de información
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 53
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Participación de los especialistas de procesos y
tecnología de información
Indicadores de fraude
9 Son un conjunto de indicadores
cuantitativos, basados en una
metodología estadística, los cuales
permiten medir el riesgo de fraude de una
corporación.

9 Los indicadores de fraude no buscan la


detección de fraude ni la determinación
de la ocurrencia de este, por el contrario,
son una familia de los indicadores de
gestión, que le permiten a la compañía
obtener en términos numéricos la
ocurrencia de eventos que comúnmente
aparecen en situaciones de fraude.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 54
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Participación de los especialistas de procesos y
tecnología de información
Porque se deben realizar indicadores de fraude

La sección 302 de Sarbanes – Oxley (Responsabilidad Corporativa), establece


que las compañías deben reportar periódicamente si hubo un fraude
significativo o no, así como realizar pruebas que midan la ocurrencia de
posibles eventos que sean comunes en situaciones de fraude.

Los indicadores de fraude permiten a la gerencia involucrada tomar acciones


de remediación que fortalezcan los procedimientos de control interno con el fin
de disminuir el riesgo de fraude.

Proporcionan a la gerencia un valoración cualitativa sobre el comportamiento


del control interno.

Permiten determinar desviaciones en el comportamiento normal de cuentas


contables.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 55


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Datos estadísticos
Algunos datos estadísticos del año 2004
En una encuesta realizada a 441 compañías
sujetas a los requerimientos de la ley
Sarbanes-Oxley, se determinó lo siguiente:

De las compañías participantes tienen


42% ingresos de más de $ 1 billón al año.

De las compañías encuestadas


90% mantuvo estable o incrementó su
personal de auditoría interna.

De las compañías encuestadas


afirmaron que los recursos actuales
37% dedicados a Sarbanes-Oxley fueron
mas elevados de lo que estaba
estipulado originalmente
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 56
Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Datos estadísticos
Algunos datos estadísticos del año 2004

De las compañías tuvieron como naturaleza


62% principal, los temas de recorrido y
documentación de procesos.

De las compañías dedicaron un promedio


54% de 48% sus recursos de auditoría interna, a
los esfuerzos de cumplimiento de
Sarbanes-Oxley.

De las compañías participantes eran de


70% carácter publico.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 57


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Datos estadísticos
Algunos datos estadísticos del año 2004
En un sumario de encuestas realizadas a mas de 180 ejecutivos experimentados en
finanzas, se determinó lo siguiente:

Del ambiente de control prevalece en los controles

53% automáticos mediante el uso de sistemas ERP


(Enterprise Resource Planning) en vez de los
controles manuales

73% De los encuestados establece prioridad alta o


moderada el automatizar su ambiente de control
interno en los próximos 12 meses.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 58


Ley de responsabilidad empresarial Sarbanes
Oxley: Desafíos y tendencias
Datos estadísticos
Algunos datos estadísticos del año 2004

32%
De los beneficios esperados con el
cumplimiento de SOX, son el entendimiento,
efectividad y comunicación de los procesos de
negocio.

29%
De los beneficios esperados con el
cumplimiento de SOX, es el descubrir
debilidades potencialmente dañinas

De los esfuerzos de optimización y remediación

48% del control interno serán dedicados al ambiente


de control y al entendimiento de los procesos de
negocio.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 59


Desafíos
9 Resideñar los procesos de negocio con el fin
de obtener un ambiente de control interno
“suficiente”.

9 Minimizar los riesgos asociados a la


plataforma tecnológica.

9 Opinión pública del control interno por parte


de la SEC.

9 Impacto de la ley SOX en los mercados


globales de capitales.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 60


Tendencias
9 Gestión y monitoreo orientado al ambiente
de control interno

9 Mayor participación de los responsables de


los procesos en el ambiente de control
interno.

9 El comité de Auditoría tendrá mayor


autoridad.

9 Mayores esfuerzos en la automatización de


procesos.

9 Importancia significativa en la implantación


de programas antifraude.

Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 61


Sus Mundos Nuestra Gente*

© 2004 PricewaterhouseCoopers. All rights reserved. PricewaterhouseCoopers refers to the network


of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and
independent legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers.
Espiñeira Sheldon y Asociados firma miembro de PricewaterhouseCoopers 62