CosoI 3SOXEducation Package[1]

1

Sarbanes-Oxley

Senador Paul Spyros Sarbanes

(D-Maryland)

CongresistaMichael Oxley (R-Ohio)

2

¿Qué es Sarbanes Oxley?

• Una Ley del Congreso americano cuya emisión fue acelerada con motivo de escándalos financieros y de gobierno corporativo (Junio 30, 2002)

• Aplicable a las compañías que cotizan en la Bolsa americana y sus subsidiarias

• Requiere que las compañías evalúen sus controles internos sobre la preparación de los reportes financieros

• Requiere un informe de “atestacion” por el auditor independiente

3

La Sarbanes-Oxley Act of 2002 (SOA)- tres ideas -

• La SOA tiene por objeto principal la protección del accionista, mediante la prevención de fraudes financieros y el aseguramiento de que la información presentada a los mercados (SEC) es precisa, completa, fiable, comprensible y se presenta en plazo.

• Se produce una regulación legislativa que afecta a todos los agentes que intervienen en el juego de información a los mercados (Gestores / Auditores / Abogados / Analistas / Asesores /…)

• Se establecen importantes responsabilidades penales por falsedades e inclumplimientos (hasta 20 años / 5 MM USD).

4

La Sarbanes-Oxley Act of 2002 (SOA)- Contenido -

• Título 1: Supervisión de Firmas de Auditoría

• Título 2: Independencia del Auditor

• Título 3: Responsabilidad Corporativa

• Título 4: Publicación de Información Financiera

• Título 5: Conflictos de Interés de Analistas

• Título 6: Recursos y Autoridad de la Comisión

• Título 7: Estudios e Informes

• Título 8: Responsabilidad Corporativa y Fraude contable

• Título 9: Penas por Crímenes de Gestores

• Título 10: Declaraciones Fiscales

• Título 11: Fraude Corporativo

5

La Sarbanes-Oxley Act of 2002 (SOA)- Aspectos Relevantes para la Auditoría Interna -



• Título 3: Responsabilidad Corporativa• Título 4: Publicación de Información Financiera

• Título 5: Conflictos de Interés de Analistas







Se establecen las responsabilidades sobre la veracidad de los EEFF. Se exigen una serie de controles internos, así como la creación de un Comité de Auditoría y la Certificación de Informes Anuales.



• Título 3: Responsabilidad Corporativa

• Título 4:Publicación de Información Financiera• Título 5: Conflictos de Interés de Analistas







Se establecen mejoras en los términos de la información presentada a los mercados. Se establece el interés tanto por la información presentada como el procedimiento por el que se ha obtenido internamente (ICI sobre el Reporte Financiero)

6

Sección 404 Obligación de anexar un Informe de Control Interno

Las normas propuestas en la Sección 404 serán aplicables a los ejercicios terminados a partir del 15 de abril de 2005, inclusive.

Exige a la dirección que, anualmente,:• Declare su responsabilidad sobre el establecimiento (“design effectiveness”), mantenimiento y operatividad (“operating effectiveness”) de una estructura y unos procedimientos de control interno adecuados para el reporte financiero

• Identifique el marco sobre el que opera la Dirección para determinar la evaluación de la efectividad de los controles de la compañía sobre reporte financiero.

• Realice y documente una evaluación de la efectividad de los procedimientos y controles internos de la compañía para el reporte financiero

Exige al auditor externo que:Emita un informe validando las declaraciones efectuadas por la dirección

La Sarbanes-Oxley Act of 2002 (SOA)- Sec 404 -

7

Secti

on

40

4

S404 = Evaluación de Controles Internos

• Establece la responsabilidad del management para establecer y mantener una estructura de control interno y procedimientos de reportes financieros adecuados.• Contiene una evaluación de la efectividad de la estructura y los procedimientos. • Los Auditores Externos deben “atestar” las afirmaciones hechas por los gerentes en sus evaluaciones.

S404 = Evaluación de Controles Internos Financieros

La Compañía debe tener procesos diseñados para proveer certeza de que:

• Las Transacciones son autorizadas adecuadamente.• Los Activos son salvaguardados contra el uso impropio o no autorizado.• Las Transacciones son registradas y reportadas adecuadamente.

De esta manera, los reportes financieros pueden ser preparados en concordancia con los principios de contabilidad generalmente aceptados.

El marco usado para justificar esta estructura de control interno es el COSO.

8

Antecedentes: Ley Mandatoria para mantenerse en el mercado de valores (US stock market).

Objetivos : 1- Identificar cuentas significativas y revelaciones en los EE.FF. 2- Identificar los grupos de procesos significativos y relevantes.

3- Todas las brechas y debilidades materiales deben ser resueltas antes de desarrollar un test.

Alcance : Los procesos

Principios : 1- Cambiar el pensamiento gerencial / focalizarse en controles 2- Revisión y Auditoria

3- Reportes/Follow up/Decisiones 4- Documentación / crear evidencia

5- Comunicación / Información en cascada 6- Segregación de funciones

7- Acceso a los Sistemas Restringido

Ley SOX en las Organizaciones

9

Marco requerido por SOX

Aserciones

Controles

Riesgos

Objetivos

Integridad, Exactitud, Validez,Acceso Restringido

Preventivo o Correctivo

Integridad

Existencia

Valuación

Derechos y obligaciones

Presentación y exposición

Falla en cumplimientode objetivos

10

Seccio

n 4

04

Alcancey Establec.-

Document

Procesos

Y todos loscontroles

De Asesor. Procesos

Y diseño de controles

claves

Planes de Prueba de la

operatividadEfectiva de

Test / Evaluación

Atestar y

Pre-test

Remediación de Gaps en Controles Claves

Management

Fase de Documentación para Q1

Pruebas Internas

Q4 2005 Finales Q3 2005

1104

Key controlAud. ext

11

Secció

n 4

04

Estatus de Procesos con alcance SOX finalizados:

1) Fondeo adecuado de Financiamiento a Clientes2) Venta de Mayoristas de Financiamiento a Clientes3) Venta al por menor de Financiamiento a Clientes

4) Contabilidad General5) Taxes Especial – Servicios de Contracion (Objetivos de Control + Riesgos + Gaps) ** 2005 May / Alcance de SOX no finalizado:

6) Reportes Financieros7) Control Gerencial (equipo del lugar)8) TI – influenciado por proyectos independientes

No empezadoEmpezadoA medio caminoCompletadoEnviado para su revisionFinalizado

Incluye una lista de planes de remediación firmado por el dueño del proceso.

?

EvaluaciónDocumentación

X

X

12

Sección 302 Obligación de certificación por parte del CEO / CFO del Informe Anual en formato 20F.

Se ha de sustentar, con sus certificaciones, entre otros:

Que se ha revelado a la Comisión de Auditoría y Control y al Auditor Externo cualquier fraude y deficiencia significativa detectada que pudiera afectar negativamente a la capacidad de la compañía para registrar, procesar, resumir y comunicar datos financieros

Que se ha evaluado la eficacia de los controles y procedimientos de comunicación de la información (“Disclosure controls”) en los 90 días previos a la presentación del Informe Anual en formato 20F

La Sarbanes-Oxley Act of 2002 (SOA)- Sec 302 -

13

INFORMES DE CONTROL INTERNO PARA TERCEROS

14

INFORMES A TERCEROS ( COSO )

En los Estados Unidos muchas entidades incluyen informes de la dirección sobre control interno en sus informes anuales (MEMORIAS).

Estos informes tratan del Sistema de Control Interno aplicado en el proceso de información de los estados financieros públicos.

Marco Temporal: Estos informes pueden referirse a un período de tiempo o su situación en un momento concreto.

Vigencia del Informe: ¿Durante cuánto tiempo?Las suposiciones de eficacia de un control suelen perder validezcon el paso del tiempo.

15

INFORMES A TERCEROS ( COSO )

CONTENIDO DEL INFORMECONTENIDO DEL INFORME

1. Declaración de Responsabilidad de la Dirección2. Análisis de elementos específicos - Comité de auditoría - Establecimiento y comunicación de políticas - Personal - Código de conducta - Programa de auditoría interna 3. Limitaciones inherentes al Control Interno4. Firmas del informe

16

Informe de control para terceros

La compañía XYZ mantiene un sistema de control interno sobre el sistema de reporte financiero, el cuál está diseñado para proveer una seguridad razonable al comité ejecutivo de la compañía y a la gerencia de la misma en lo que respecta a la preparación del reporte de estados financieros publicados. El sistema contiene mecanismos de automonitoreo y se ejecutan acciones para corregir las deficiencias a medida que estas se identifican. Aún en los sistemas de control interno efectivos, y sin importar qué tan bien diseñados se encuentren, se encuentran limitaciones inherentes incluyendo la posibilidad de engaños y por tanto éste sólo puede proveer una seguridad razonable con respecto a la preparación de los reportes de estados financieros. Adicionalmente, a causa de los cambios en condiciones, la efectividad del sistema de control interno puede variar con el tiempo.

17

Informe de control para terceros

La compañía evaluó su sistema de control interno el 31 de Diciembre 19XX en relación con los criterios para la eficiencia del sistema de control interno sobre el reporte de estado financiero y que se describe en - Control interno - estructura integrada - y que editó por el comité de Organizaciones Referencia de la Comisión Treadway. Basados en este conjunto, la compañía considera que, a diciembre de 19XX, el sistema de control interno sobre el reporte de estado financiero cumple adecuadamente con los criterios allí descritas.

Compañía XYZ

Por _______________________ Por _______________________Firma Nº1 Gerente General Firma Nº2 Presidente de Directorio

Fecha ___/___/___

18

Relación entre las secciones 302 y 404:

302:

Certificación de la Gerencia relacionada

con los controles y procedimientos de divulgación (DC&P) de la información

financiera

Controles internos de la presentación

de la información Financiera

404:

Base para la evaluación del auditor

y sus pruebas302:

19

Sección 906

• Establece sanciones de hasta 20 años de prisión para los directivos de una empresa si se considera que emitieron o avalaron la emisión de información financiera intencionalmente incorrecta.

• Requiere que los informes periódicos de la emisora que contienen los estados financieros, se acompañen con una certificación del CEO y el CFO indicando:Que el reporte periódico que contiene los estados

financieros cumple totalmente con la Ley de la Bolsa de Valores y.

Que la información contenida en el informe periódico presenta razonablemente en todos sus aspectos significativos la situación financiera y los resultados de las operaciones de la emisora.

20

Proyecto Sarbox–Etapas del proceso para la evaluación y certificación de controles

21

Tipo de Control (IEVA)

Integridad Todas las transacciones registradas son aceptadas por el sistema/ Los envíos duplicados son rechazados por el sistema / Cualquier transacción rechazada es direccionada y ajustada.

Exactitud Los elementos que son registrados e ingresados en la computadora son correctos / Los cambios existentes en los datos son ingresados exactamente.

Validez Las Transacciones, inclusive las alteraciones de datos existentes son aprobadas / archivos de datos existentes no son ficticios y se relacionan con el negocio.

Acceso Rest. Las enmiendas no autorizadas de los datos son excluidas del sistema / La confiabilidad de los datos es restringida / La segregación de las tareas esta asegurada.

Reason Key/Standard

SOX Applications

Co

mp

lete

nes

s

Acc

ura

cy

Val

idit

y

Res

tric

ted

Acc

ess

Exi

sten

ce o

r O

ccu

rren

ce

Co

mp

lete

nes

s

Val

uat

ion

or

All

oca

tio

n

Rig

hts

an

d O

bli

gat

ion

s

Pre

sen

tati

on

an

d D

iscl

osu

re

Key

Co

ntr

ol

Sta

nd

ard

Co

ntr

ol

Un

reli

able

Info

rmal

Sta

nd

ard

ized

Mo

nit

ore

d

Op

tim

ized

Co

mm

ents

Iden

tify

SO

X A

pp

lica

tio

ns

that

th

e co

ntr

ol

reli

es o

n

Maturity Target "As Is"

Control Type CAVR

Financial Statement Assertions

Significance

Assessment Matrix

22

Estados Financieros Aserciones

Existencia Activos y pasivos existen en una fecha dada y durante un periodo dado.

Integridad Todo lo que debe incluirse se incluirá.

Valuación Activos, Pasivos, Patrimonio, Ingresos y Gastos en montos apropiados.

Derech./Oblig. Derechos y obligaciones en fechas dadas

Presentación Componentes de los EE.FF. son adecuadamente clasificados, descritos y publicados.

Reason Key/Standard

SOX Applications

Co

mp

lete

nes

s

Acc

ura

cy

Val

idit

y

Res

tric

ted

Acc

ess

Exi

sten

ce o

r O

ccu

rren

ce

Co

mp

lete

nes

s

Val

uat

ion

or

All

oca

tio

n

Rig

hts

an

d O

bli

gat

ion

s

Pre

sen

tati

on

an

d D

iscl

osu

re

Key

Co

ntr

ol

Sta

nd

ard

Co

ntr

ol

Un

reli

able

Info

rmal

Sta

nd

ard

ized

Mo

nit

ore

d

Op

tim

ized

Co

mm

ents

Iden

tify

SO

X A

pp

lica

tio

ns

that

th

e co

ntr

ol

reli

es o

n


Control Type CAVR


Significance

Assessment Matrix

23

Cual es la diferencia?

• Nivel Transaccional Como funciona el control? Cuan efectivo es el control?

• Nivel Agregado Como el control apoya las

representaciones de la gerencia respecto a la presentación adecuada de los estados financieros?

IEVA• Integridad• Exactitud• Validez• Acceso Restringido

Aserciones de los Estados Financieros• Existencia o Ocurrencia• Integridad• Valuación o Alocación• Derechos y Obligaciones• Presentación y exposición

No hay relación uno-a-uno y son usados con diferentes propósitos.No hay relación uno-a-uno y son usados con diferentes propósitos.

24

Reason Key/Standard

SOX Applications

Co

mp

lete

ness

Accu

racy

Va

lid

ity

Restr

icte

d A

ccess

Ex

iste

nc

e o

r O

cc

urr

en

ce

Co

mp

lete

ness

Va

luati

on

or

All

oca

tio

n

Rig

hts

an

d O

bli

gati

on

s

Pre

se

nta

tio

n a

nd

Dis

clo

su

re

Key C

on

tro

l

Sta

nd

ard

Co

ntr

ol

Un

reli

ab

le

Info

rma

l

Sta

nd

ard

ize

d

Mo

nit

ore

d

Op

tim

ized

Co

mm

en

ts

Ide

nti

fy S

OX

Ap

pli

cati

on

s

tha

t th

e c

on

tro

l re

lies o

n


Control Type CAVR


Significance

Assessment Matrix

Significancía

Control Clave: Si el control falla, hay una probabilidad de

que un error material en los reportes financieros pueda ocurrir

Control Estandard : Cualquier control interno

operacional no determina un control clave

25

Agregación de las deficiencias

• Deficiencias de control

interno pueden en forma

agregada convertirse a

“Deficiencia significativa”

• Deficiencias significativas

pueden en forma

agregada convertirse a

“Debilidad material”

26

Reason Key/Standard

SOX Applications

Co

mp

lete

ne

ss

Acc

ura

cy

Va

lid

ity

Res

tric

ted

Ac

ces

s

Ex

iste

nce o

r O

cc

urr

en

ce

Co

mp

lete

ne

ss

Va

lua

tio

n o

r A

llo

ca

tio

n

Rig

hts

an

d O

bli

ga

tio

ns

Pre

se

nta

tio

n a

nd

Dis

clo

su

re

Key

Co

ntr

ol

Sta

nd

ard

Co

ntr

ol

Un

reli

ab

le

Info

rma

l

Sta

nd

ard

ize

d

Mo

nit

ore

d

Op

tim

ized

Co

mm

en

ts

Ide

nti

fy S

OX

Ap

pli

cati

on

s

that

the c

on

tro

l re

lie

s o

n


Control Type CAVR


Significance

Assessment Matrix

Madurez “tal como es”y la Madurez Target “A ser”

No Confiable- Ambiente impredecible donde los controles no están diseñados o no existen

No Confiable- Ambiente impredecible donde los controles no están diseñados o no existen

Informal- Los Controles están diseñados y existen pero no están adecuadamente documentados

Informal- Los Controles están diseñados y existen pero no están adecuadamente documentados

Estandarizado - Los controles

están diseñados y están adecuadamente documentados

Estandarizado - Los controles

están diseñados y están adecuadamente documentados

Monitoreado- Controles

estandarizados con pruebas periódicas para un diseño y operaciones efectivas con reportes a la gerencia

Monitoreado- Controles

estandarizados con pruebas periódicas para un diseño y operaciones efectivas con reportes a la gerencia

Optimizado- Controles

internos Integrados con monitoreo en tiempo real por parte de la gerencia y mejoras continuas

Optimizado- Controles

internos Integrados con monitoreo en tiempo real por parte de la gerencia y mejoras continuas

27

De

cte

cti

ve

Pre

ve

nti

ve

Matc

hin

g

Au

tho

riza

tio

n

Re

co

nc

ilia

tio

n

Re

str

icte

d A

cce

ss

Oth

er

Man

ua

l

Au

tom

ate

d

Se

mi-

au

tom

ate

d

Un

reli

ab

le

Info

rma

l

Sta

nd

ard

ized

Mo

nit

ore

d

Op

tim

ized

Ev

en

t-d

rive

n

Da

te D

rive

n

An

nu

all

y

Tw

ice

a Y

ear

Da

ily

Tw

ice

a w

ee

k

We

ek

ly

Mo

nth

ly

Qu

art

erl

y

Dis

clo

su

re

Inte

rna

l

Inte

rvie

w/

Inq

uir

y

Re

perf

orm

an

ce

Pro

ce

ss W

alk

thro

ug

h

Inte

rna

l A

ud

it R

evie

w

Sa

mp

lin

g

Ob

se

rvati

on

Oth

er

Automation ValuesNature of Control

Control Purpose

Attributes Matrix

Test Attributes (To be decided before developing the Test plans)

Maturity Target "To Be"

Control Trigger

Control Relevanc

eFrequency if Date Driven

Propósito del Control

Control Detectivo: • Diseñado para detectar una transacción errónea o no intencional que ha occurrido

Ejemplo: Revisión trimestral del acceso restringido a los sistemas contables; Las pruebas de auditoria de los sistemas contables monitorean cualquier cambio contable en el Maestro.

Control Preventivo: • Diseñado para prevenir la ocurrencia de una transacción errónea o no intencionada.

Ejemplo: El control del análisis de crédito subjetivo.

28

De

cte

cti

ve

Pre

ve

nti

ve

Matc

hin

g

Au

tho

riza

tio

n

Re

co

nc

ilia

tio

n

Re

str

icte

d A

cce

ss

Oth

er

Man

ua

l

Au

tom

ate

d

Se

mi-

au

tom

ate

d

Un

reli

ab

le

Info

rma

l

Sta

nd

ard

ized

Mo

nit

ore

d

Op

tim

ized

Ev

en

t-d

rive

n

Da

te D

rive

n

An

nu

all

y

Tw

ice

a Y

ear

Da

ily

Tw

ice

a w

ee

k

We

ek

ly

Mo

nth

ly

Qu

art

erl

y

Dis

clo

su

re

Inte

rna

l

Inte

rvie

w/

Inq

uir

y

Re

perf

orm

an

ce

Pro

ce

ss W

alk

thro

ug

h

Inte

rna

l A

ud

it R

evie

w

Sa

mp

lin

g

Ob

se

rvati

on

Oth

er


Control Purpose

Attributes Matrix



Control Trigger

Control Relevanc


Naturaleza del Control

Comparación

(Matching)

Los Datos ingresados son sujetos a chequeos o comparación con archivos de control aprobados.

Ejemplo:Los Datos ingresados al sistema contable deben ser validados con información importante como por ejemplo: validación del margen, costeo de fondos e información del valor razonable.

Autorización Asegurar que la transacción sea aprobada adecuadamente

Ejemplo: El proceso de pago electrónico considera dos palabras claves de autorización.

Reconciliación Asegurar que el balance este de acuerdo con la evidencia objetiva.

Ejemplos: reconciliación bancaria; reconciliación de deudas.

Acceso

Restringido

Proteger contra cambios de información no autorizados y salvaguarda de activos fijos y electrónicos.

Ejemplo: Acceso Restringido para producir artículos financieramente negativos.

29

Valores de Automatización

Manual:

Control realizado por una persona sin ayuda de

sistemas

De

cte

cti

ve

Pre

ven

tiv

e

Matc

hin

g

Au

tho

riza

tio

n

Re

co

nc

ilia

tio

n

Re

str

icte

d A

cce

ss

Oth

er

Man

ua

l

Au

tom

ate

d

Se

mi-

au

tom

ate

d

Un

reli

ab

le

Info

rma

l

Sta

nd

ard

ized

Mo

nit

ore

d

Op

tim

ized

Ev

en

t-d

rive

n

Da

te D

rive

n

An

nu

all

y

Tw

ice

a Y

ear

Da

ily

Tw

ice

a w

eek

We

ek

ly

Mo

nth

ly

Qu

art

erl

y

Dis

clo

su

re

Inte

rna

l

Inte

rvie

w/

Inq

uir

y

Re

perf

orm

an

ce

Pro

ce

ss W

alk

thro

ug

h

Inte

rna

l A

ud

it R

evie

w

Sa

mp

lin

g

Ob

se

rvati

on

Oth

er


Control Purpose

Attributes Matrix



Control Trigger

Control Relevanc


Automático:

El Control es automáticamente realizado por un sistema de

TI

Semi automático:

Manual pero apoyado por Sistemas

30

Control direccionante & frecuencia

De

cte

cti

ve

Pre

ve

nti

ve

Matc

hin

g

Au

tho

riza

tio

n

Re

co

nc

ilia

tio

n

Re

str

icte

d A

cce

ss

Oth

er

Man

ua

l

Au

tom

ate

d

Se

mi-

au

tom

ate

d

Un

reli

ab

le

Info

rma

l

Sta

nd

ard

ized

Mo

nit

ore

d

Op

tim

ized

Ev

en

t-d

rive

n

Da

te D

rive

n

An

nu

all

y

Tw

ice

a Y

ear

Da

ily

Tw

ice

a w

ee

k

We

ek

ly

Mo

nth

ly

Qu

art

erl

y

Dis

clo

su

re

Inte

rna

l

Inte

rvie

w/

Inq

uir

y

Re

perf

orm

an

ce

Pro

ce

ss W

alk

thro

ug

h

Inte

rna

l A

ud

it R

evie

w

Sa

mp

lin

g

Ob

se

rvati

on

Oth

er


Control Purpose

Attributes Matrix



Control Trigger

Control Relevanc


Evento Direccionado

• Cuando ha ocurrido algo de importancia.

Fecha Direccionada

• De acuerdo al Plan de Tiempos.

Frecuencia si fecha es Direccionada

• La Frecuencia indica con que frecuencia un control es direccionado dentro de un proceso, y no con que frecuencia se realiza la evaluación o prueba ( a pesar de que los conceptos pueden estar relacionados).

31

Relevancia del Control

De

cte

cti

ve

Pre

ven

tiv

e

Matc

hin

g

Au

tho

riza

tio

n

Re

co

nc

ilia

tio

n

Re

str

icte

d A

cce

ss

Oth

er

Man

ua

l

Au

tom

ate

d

Se

mi-

au

tom

ate

d

Un

reli

ab

le

Info

rma

l

Sta

nd

ard

ized

Mo

nit

ore

d

Op

tim

ized

Ev

en

t-d

rive

n

Da

te D

rive

n

An

nu

all

y

Tw

ice

a Y

ear

Da

ily

Tw

ice

a w

eek

We

ek

ly

Mo

nth

ly

Qu

art

erl

y

Dis

clo

su

re

Inte

rna

l

Inte

rvie

w/

Inq

uir

y

Re

perf

orm

an

ce

Pro

ce

ss W

alk

thro

ug

h

Inte

rna

l A

ud

it R

evie

w

Sa

mp

lin

g

Ob

se

rvati

on

Oth

er


Control Purpose

Attributes Matrix



Control Trigger

Control Relevanc


Revelación

• La revelación de los controles y procedimientos sobre las operaciones y reportes financieros, sección 302

Interno

• La efectividad del control interno sobre los reportes financieros, sección 404.

32

Desde la MatrizDesde la Matriz

Evaluación Subjetiva:Respuesta ”satisfactoria”/ ”insatisfactoria”

(Siempre con comentarios adicionales)

Evaluación Subjetiva:Respuesta ”satisfactoria”/ ”insatisfactoria”

(Siempre con comentarios adicionales)

Firma del propietario del control de cada proceso, del propietario del proceso por cada proceso, de los propietarios de grupos de procesos por cada grupos de procesos

Nombre y Numero de Control Process: Grupo de Procesos:5.2.2 Aprobacion de la emision 5.2 Proceso de Voucher 5.0 Contabilidad General

Voucher Diario DiarioIEVA Control cubierto: Exactitud, Validez y Acceso restringido

Estados Financieros Existencia, Valuacion y Derechos/ObligacionesAserciones (EFA):

Evaluar si IEVA y EFA Satisfactorio- Hay una clara separacion entreidentificados son cumplidos el emisor y el que prepara el informe con un buenefectivamente proceso de verificacion para reportes excepcionales

Evaluar la alineacion entre Satisfactorio - Buena cobertura de los siguienteslos controles y los objetivos objetivos de control: Vouchers diarios son del Control apropiadamente aprobados

Frecuencia: Satisfactorio - este control es efectuado paracada reporte emitido por la Contabilidad general

Proposito del Control:Preventivo / Detectivo Preventivo

Conocimiento y Satisfactorio - Solo el Controller y el Contadorexperiencia de las personas pueden aprobar el registro de vouchersinvolucradas

Oportunidad en el Satisfactorio - todos los reportes son revisados antesdireccionamiento de emisiones de ser usados y las excepciones son corregidasy excepciones…… rapidamente

Confiabilidad de las fuentes deinformacion usadas en el A ser probada en el control de la aplicaciondesempeno de los controlesPeriodo cubierto por el Satisfactorio - el control cubre todos los reportescontrol emitidos en el periodoControl Owner (Propietario del Control firma aqui)Name: Richard KnappOrganization: VTB SouthDate 18-May-05

Evaluacion de Control DisenadoRespuesta Satisfactoria / Insatisfactorio y Comentarios

Apendice IV: Documentacion de Evaluacion - Ejemplo A

33

Integridad delManual

ManualValidación

Reportes deIntegridad

Integridad deSistemas

Validación de Reportes

Validación del Sistema

Efic

ienc

ia d

e C

ontr

oles

Im Mv Ri Is Vr VsAdecuación de Controles

(No Confiable Optimizado)

VFS UK Operational ExcellenceSOX Marco del Control del Sistema

Integridad + Exactitud = datos ingresados de áreas requeridas

Validez = Es elDato ingresado correcto

Controles Básicos del Sistema

Acceso Adm. = datosMaster y acceso restringido

34

La Siguiente fase en prueba pero ……Cuan usualmente las compañías fracasan en la prueba?

• Falta de evidencia

• No Control del Desempeño

• No Control de Efectividad

• No acción sobre gaps identificados

35

Integra los procesos de mapeo / Documentación del Control

Segregación de tareas (propiedad + compromiso)

Propietarios de procesos / sub-procesos enfocados sobreDiseño & calidad de controles

Propiedad a todo nivel (Ejecutivos – Managers – usuarios claves)

Mejoramiento de la gerencia del Conocimiento (evaluación + pruebas)

Asegurar un Plan de Sucesión en todos los niveles

Porque SOX 404 es prioridad # 1

36

La Sarbanes-Oxley Act of 2002 (SOA)- Ideas de Cambio -

• “Obligación legal” para la función de Auditoría Interna.

• Atención a los hechos financieros

• Supervisión de los flujos de información económico-financiera

• Evaluación de la revelación de información a los mercados

37

PreguntasPreguntas

CosoI 3SOXEducation Package[1]

Documents

auditor ttulo

auditora ttulo

gestores ttulo

analistas ttulo

comisin ttulo

auditora y

informacin financiera

los controles