1 Sarbanes-Oxley Senador Paul Spyros Sarbanes (D-Maryland) Congresista Michael Oxley (R-Ohio)
Aug 14, 2015
1
Sarbanes-Oxley
Senador Paul Spyros Sarbanes
(D-Maryland)
CongresistaMichael Oxley (R-Ohio)
2
¿Qué es Sarbanes Oxley?
• Una Ley del Congreso americano cuya emisión fue acelerada con motivo de escándalos financieros y de gobierno corporativo (Junio 30, 2002)
• Aplicable a las compañías que cotizan en la Bolsa americana y sus subsidiarias
• Requiere que las compañías evalúen sus controles internos sobre la preparación de los reportes financieros
• Requiere un informe de “atestacion” por el auditor independiente
3
La Sarbanes-Oxley Act of 2002 (SOA)- tres ideas -
• La SOA tiene por objeto principal la protección del accionista, mediante la prevención de fraudes financieros y el aseguramiento de que la información presentada a los mercados (SEC) es precisa, completa, fiable, comprensible y se presenta en plazo.
• Se produce una regulación legislativa que afecta a todos los agentes que intervienen en el juego de información a los mercados (Gestores / Auditores / Abogados / Analistas / Asesores /…)
• Se establecen importantes responsabilidades penales por falsedades e inclumplimientos (hasta 20 años / 5 MM USD).
4
La Sarbanes-Oxley Act of 2002 (SOA)- Contenido -
• Título 1: Supervisión de Firmas de Auditoría
• Título 2: Independencia del Auditor
• Título 3: Responsabilidad Corporativa
• Título 4: Publicación de Información Financiera
• Título 5: Conflictos de Interés de Analistas
• Título 6: Recursos y Autoridad de la Comisión
• Título 7: Estudios e Informes
• Título 8: Responsabilidad Corporativa y Fraude contable
• Título 9: Penas por Crímenes de Gestores
• Título 10: Declaraciones Fiscales
• Título 11: Fraude Corporativo
5
La Sarbanes-Oxley Act of 2002 (SOA)- Aspectos Relevantes para la Auditoría Interna -
• Título 1: Supervisión de Firmas de Auditoría
• Título 2: Independencia del Auditor
• Título 3: Responsabilidad Corporativa• Título 4: Publicación de Información Financiera
• Título 5: Conflictos de Interés de Analistas
• Título 6: Recursos y Autoridad de la Comisión
• Título 7: Estudios e Informes
• Título 8: Responsabilidad Corporativa y Fraude contable
• Título 9: Penas por Crímenes de Gestores
• Título 10: Declaraciones Fiscales
• Título 11: Fraude Corporativo
Se establecen las responsabilidades sobre la veracidad de los EEFF. Se exigen una serie de controles internos, así como la creación de un Comité de Auditoría y la Certificación de Informes Anuales.
• Título 1: Supervisión de Firmas de Auditoría
• Título 2: Independencia del Auditor
• Título 3: Responsabilidad Corporativa
• Título 4:Publicación de Información Financiera• Título 5: Conflictos de Interés de Analistas
• Título 6: Recursos y Autoridad de la Comisión
• Título 7: Estudios e Informes
• Título 8: Responsabilidad Corporativa y Fraude contable
• Título 9: Penas por Crímenes de Gestores
• Título 10: Declaraciones Fiscales
• Título 11: Fraude Corporativo
Se establecen mejoras en los términos de la información presentada a los mercados. Se establece el interés tanto por la información presentada como el procedimiento por el que se ha obtenido internamente (ICI sobre el Reporte Financiero)
6
Sección 404 Obligación de anexar un Informe de Control Interno
Las normas propuestas en la Sección 404 serán aplicables a los ejercicios terminados a partir del 15 de abril de 2005, inclusive.
Exige a la dirección que, anualmente,:• Declare su responsabilidad sobre el establecimiento (“design effectiveness”), mantenimiento y operatividad (“operating effectiveness”) de una estructura y unos procedimientos de control interno adecuados para el reporte financiero
• Identifique el marco sobre el que opera la Dirección para determinar la evaluación de la efectividad de los controles de la compañía sobre reporte financiero.
• Realice y documente una evaluación de la efectividad de los procedimientos y controles internos de la compañía para el reporte financiero
Exige al auditor externo que:Emita un informe validando las declaraciones efectuadas por la dirección
La Sarbanes-Oxley Act of 2002 (SOA)- Sec 404 -
7
Secti
on
40
4
S404 = Evaluación de Controles Internos
• Establece la responsabilidad del management para establecer y mantener una estructura de control interno y procedimientos de reportes financieros adecuados.• Contiene una evaluación de la efectividad de la estructura y los procedimientos. • Los Auditores Externos deben “atestar” las afirmaciones hechas por los gerentes en sus evaluaciones.
S404 = Evaluación de Controles Internos Financieros
La Compañía debe tener procesos diseñados para proveer certeza de que:
• Las Transacciones son autorizadas adecuadamente.• Los Activos son salvaguardados contra el uso impropio o no autorizado.• Las Transacciones son registradas y reportadas adecuadamente.
De esta manera, los reportes financieros pueden ser preparados en concordancia con los principios de contabilidad generalmente aceptados.
El marco usado para justificar esta estructura de control interno es el COSO.
8
Antecedentes: Ley Mandatoria para mantenerse en el mercado de valores (US stock market).
Objetivos : 1- Identificar cuentas significativas y revelaciones en los EE.FF. 2- Identificar los grupos de procesos significativos y relevantes.
3- Todas las brechas y debilidades materiales deben ser resueltas antes de desarrollar un test.
Alcance : Los procesos
Principios : 1- Cambiar el pensamiento gerencial / focalizarse en controles 2- Revisión y Auditoria
3- Reportes/Follow up/Decisiones 4- Documentación / crear evidencia
5- Comunicación / Información en cascada 6- Segregación de funciones
7- Acceso a los Sistemas Restringido
Ley SOX en las Organizaciones
9
Marco requerido por SOX
Aserciones
Controles
Riesgos
Objetivos
Integridad, Exactitud, Validez,Acceso Restringido
Preventivo o Correctivo
Integridad
Existencia
Valuación
Derechos y obligaciones
Presentación y exposición
Falla en cumplimientode objetivos
10
Seccio
n 4
04
Alcancey Establec.-
Document
Procesos
Y todos loscontroles
De Asesor. Procesos
Y diseño de controles
claves
Planes de Prueba de la
operatividadEfectiva de
Test / Evaluación
Atestar y
Pre-test
Remediación de Gaps en Controles Claves
Management
Fase de Documentación para Q1
Pruebas Internas
Q4 2005 Finales Q3 2005
1104
Key controlAud. ext
11
Secció
n 4
04
Estatus de Procesos con alcance SOX finalizados:
1) Fondeo adecuado de Financiamiento a Clientes2) Venta de Mayoristas de Financiamiento a Clientes3) Venta al por menor de Financiamiento a Clientes
4) Contabilidad General5) Taxes Especial – Servicios de Contracion (Objetivos de Control + Riesgos + Gaps) ** 2005 May / Alcance de SOX no finalizado:
6) Reportes Financieros7) Control Gerencial (equipo del lugar)8) TI – influenciado por proyectos independientes
No empezadoEmpezadoA medio caminoCompletadoEnviado para su revisionFinalizado
Incluye una lista de planes de remediación firmado por el dueño del proceso.
?
EvaluaciónDocumentación
X
X
12
Sección 302 Obligación de certificación por parte del CEO / CFO del Informe Anual en formato 20F.
Se ha de sustentar, con sus certificaciones, entre otros:
Que se ha revelado a la Comisión de Auditoría y Control y al Auditor Externo cualquier fraude y deficiencia significativa detectada que pudiera afectar negativamente a la capacidad de la compañía para registrar, procesar, resumir y comunicar datos financieros
Que se ha evaluado la eficacia de los controles y procedimientos de comunicación de la información (“Disclosure controls”) en los 90 días previos a la presentación del Informe Anual en formato 20F
La Sarbanes-Oxley Act of 2002 (SOA)- Sec 302 -
13
INFORMES DE CONTROL INTERNO PARA TERCEROS
14
INFORMES A TERCEROS ( COSO )
En los Estados Unidos muchas entidades incluyen informes de la dirección sobre control interno en sus informes anuales (MEMORIAS).
Estos informes tratan del Sistema de Control Interno aplicado en el proceso de información de los estados financieros públicos.
Marco Temporal: Estos informes pueden referirse a un período de tiempo o su situación en un momento concreto.
Vigencia del Informe: ¿Durante cuánto tiempo?Las suposiciones de eficacia de un control suelen perder validezcon el paso del tiempo.
15
INFORMES A TERCEROS ( COSO )
CONTENIDO DEL INFORMECONTENIDO DEL INFORME
1. Declaración de Responsabilidad de la Dirección2. Análisis de elementos específicos - Comité de auditoría - Establecimiento y comunicación de políticas - Personal - Código de conducta - Programa de auditoría interna 3. Limitaciones inherentes al Control Interno4. Firmas del informe
16
Informe de control para terceros
La compañía XYZ mantiene un sistema de control interno sobre el sistema de reporte financiero, el cuál está diseñado para proveer una seguridad razonable al comité ejecutivo de la compañía y a la gerencia de la misma en lo que respecta a la preparación del reporte de estados financieros publicados. El sistema contiene mecanismos de automonitoreo y se ejecutan acciones para corregir las deficiencias a medida que estas se identifican. Aún en los sistemas de control interno efectivos, y sin importar qué tan bien diseñados se encuentren, se encuentran limitaciones inherentes incluyendo la posibilidad de engaños y por tanto éste sólo puede proveer una seguridad razonable con respecto a la preparación de los reportes de estados financieros. Adicionalmente, a causa de los cambios en condiciones, la efectividad del sistema de control interno puede variar con el tiempo.
17
Informe de control para terceros
La compañía evaluó su sistema de control interno el 31 de Diciembre 19XX en relación con los criterios para la eficiencia del sistema de control interno sobre el reporte de estado financiero y que se describe en - Control interno - estructura integrada - y que editó por el comité de Organizaciones Referencia de la Comisión Treadway. Basados en este conjunto, la compañía considera que, a diciembre de 19XX, el sistema de control interno sobre el reporte de estado financiero cumple adecuadamente con los criterios allí descritas.
Compañía XYZ
Por _______________________ Por _______________________Firma Nº1 Gerente General Firma Nº2 Presidente de Directorio
Fecha ___/___/___
18
Relación entre las secciones 302 y 404:
302:
Certificación de la Gerencia relacionada
con los controles y procedimientos de divulgación (DC&P) de la información
financiera
Controles internos de la presentación
de la información Financiera
404:
Base para la evaluación del auditor
y sus pruebas302:
19
Sección 906
• Establece sanciones de hasta 20 años de prisión para los directivos de una empresa si se considera que emitieron o avalaron la emisión de información financiera intencionalmente incorrecta.
• Requiere que los informes periódicos de la emisora que contienen los estados financieros, se acompañen con una certificación del CEO y el CFO indicando:Que el reporte periódico que contiene los estados
financieros cumple totalmente con la Ley de la Bolsa de Valores y.
Que la información contenida en el informe periódico presenta razonablemente en todos sus aspectos significativos la situación financiera y los resultados de las operaciones de la emisora.
20
Proyecto Sarbox–Etapas del proceso para la evaluación y certificación de controles
21
Tipo de Control (IEVA)
Integridad Todas las transacciones registradas son aceptadas por el sistema/ Los envíos duplicados son rechazados por el sistema / Cualquier transacción rechazada es direccionada y ajustada.
Exactitud Los elementos que son registrados e ingresados en la computadora son correctos / Los cambios existentes en los datos son ingresados exactamente.
Validez Las Transacciones, inclusive las alteraciones de datos existentes son aprobadas / archivos de datos existentes no son ficticios y se relacionan con el negocio.
Acceso Rest. Las enmiendas no autorizadas de los datos son excluidas del sistema / La confiabilidad de los datos es restringida / La segregación de las tareas esta asegurada.
Reason Key/Standard
SOX Applications
Co
mp
lete
nes
s
Acc
ura
cy
Val
idit
y
Res
tric
ted
Acc
ess
Exi
sten
ce o
r O
ccu
rren
ce
Co
mp
lete
nes
s
Val
uat
ion
or
All
oca
tio
n
Rig
hts
an
d O
bli
gat
ion
s
Pre
sen
tati
on
an
d D
iscl
osu
re
Key
Co
ntr
ol
Sta
nd
ard
Co
ntr
ol
Un
reli
able
Info
rmal
Sta
nd
ard
ized
Mo
nit
ore
d
Op
tim
ized
Co
mm
ents
Iden
tify
SO
X A
pp
lica
tio
ns
that
th
e co
ntr
ol
reli
es o
n
Maturity Target "As Is"
Control Type CAVR
Financial Statement Assertions
Significance
Assessment Matrix
22
Estados Financieros Aserciones
Existencia Activos y pasivos existen en una fecha dada y durante un periodo dado.
Integridad Todo lo que debe incluirse se incluirá.
Valuación Activos, Pasivos, Patrimonio, Ingresos y Gastos en montos apropiados.
Derech./Oblig. Derechos y obligaciones en fechas dadas
Presentación Componentes de los EE.FF. son adecuadamente clasificados, descritos y publicados.
Reason Key/Standard
SOX Applications
Co
mp
lete
nes
s
Acc
ura
cy
Val
idit
y
Res
tric
ted
Acc
ess
Exi
sten
ce o
r O
ccu
rren
ce
Co
mp
lete
nes
s
Val
uat
ion
or
All
oca
tio
n
Rig
hts
an
d O
bli
gat
ion
s
Pre
sen
tati
on
an
d D
iscl
osu
re
Key
Co
ntr
ol
Sta
nd
ard
Co
ntr
ol
Un
reli
able
Info
rmal
Sta
nd
ard
ized
Mo
nit
ore
d
Op
tim
ized
Co
mm
ents
Iden
tify
SO
X A
pp
lica
tio
ns
that
th
e co
ntr
ol
reli
es o
n
Maturity Target "As Is"
Control Type CAVR
Financial Statement Assertions
Significance
Assessment Matrix
23
Cual es la diferencia?
• Nivel Transaccional Como funciona el control? Cuan efectivo es el control?
• Nivel Agregado Como el control apoya las
representaciones de la gerencia respecto a la presentación adecuada de los estados financieros?
IEVA• Integridad• Exactitud• Validez• Acceso Restringido
Aserciones de los Estados Financieros• Existencia o Ocurrencia• Integridad• Valuación o Alocación• Derechos y Obligaciones• Presentación y exposición
No hay relación uno-a-uno y son usados con diferentes propósitos.No hay relación uno-a-uno y son usados con diferentes propósitos.
24
Reason Key/Standard
SOX Applications
Co
mp
lete
ness
Accu
racy
Va
lid
ity
Restr
icte
d A
ccess
Ex
iste
nc
e o
r O
cc
urr
en
ce
Co
mp
lete
ness
Va
luati
on
or
All
oca
tio
n
Rig
hts
an
d O
bli
gati
on
s
Pre
se
nta
tio
n a
nd
Dis
clo
su
re
Key C
on
tro
l
Sta
nd
ard
Co
ntr
ol
Un
reli
ab
le
Info
rma
l
Sta
nd
ard
ize
d
Mo
nit
ore
d
Op
tim
ized
Co
mm
en
ts
Ide
nti
fy S
OX
Ap
pli
cati
on
s
tha
t th
e c
on
tro
l re
lies o
n
Maturity Target "As Is"
Control Type CAVR
Financial Statement Assertions
Significance
Assessment Matrix
Significancía
Control Clave: Si el control falla, hay una probabilidad de
que un error material en los reportes financieros pueda ocurrir
Control Estandard : Cualquier control interno
operacional no determina un control clave
25
Agregación de las deficiencias
• Deficiencias de control
interno pueden en forma
agregada convertirse a
“Deficiencia significativa”
• Deficiencias significativas
pueden en forma
agregada convertirse a
“Debilidad material”
26
Reason Key/Standard
SOX Applications
Co
mp
lete
ne
ss
Acc
ura
cy
Va
lid
ity
Res
tric
ted
Ac
ces
s
Ex
iste
nce o
r O
cc
urr
en
ce
Co
mp
lete
ne
ss
Va
lua
tio
n o
r A
llo
ca
tio
n
Rig
hts
an
d O
bli
ga
tio
ns
Pre
se
nta
tio
n a
nd
Dis
clo
su
re
Key
Co
ntr
ol
Sta
nd
ard
Co
ntr
ol
Un
reli
ab
le
Info
rma
l
Sta
nd
ard
ize
d
Mo
nit
ore
d
Op
tim
ized
Co
mm
en
ts
Ide
nti
fy S
OX
Ap
pli
cati
on
s
that
the c
on
tro
l re
lie
s o
n
Maturity Target "As Is"
Control Type CAVR
Financial Statement Assertions
Significance
Assessment Matrix
Madurez “tal como es”y la Madurez Target “A ser”
No Confiable- Ambiente impredecible donde los controles no están diseñados o no existen
No Confiable- Ambiente impredecible donde los controles no están diseñados o no existen
Informal- Los Controles están diseñados y existen pero no están adecuadamente documentados
Informal- Los Controles están diseñados y existen pero no están adecuadamente documentados
Estandarizado - Los controles
están diseñados y están adecuadamente documentados
Estandarizado - Los controles
están diseñados y están adecuadamente documentados
Monitoreado- Controles
estandarizados con pruebas periódicas para un diseño y operaciones efectivas con reportes a la gerencia
Monitoreado- Controles
estandarizados con pruebas periódicas para un diseño y operaciones efectivas con reportes a la gerencia
Optimizado- Controles
internos Integrados con monitoreo en tiempo real por parte de la gerencia y mejoras continuas
Optimizado- Controles
internos Integrados con monitoreo en tiempo real por parte de la gerencia y mejoras continuas
27
De
cte
cti
ve
Pre
ve
nti
ve
Matc
hin
g
Au
tho
riza
tio
n
Re
co
nc
ilia
tio
n
Re
str
icte
d A
cce
ss
Oth
er
Man
ua
l
Au
tom
ate
d
Se
mi-
au
tom
ate
d
Un
reli
ab
le
Info
rma
l
Sta
nd
ard
ized
Mo
nit
ore
d
Op
tim
ized
Ev
en
t-d
rive
n
Da
te D
rive
n
An
nu
all
y
Tw
ice
a Y
ear
Da
ily
Tw
ice
a w
ee
k
We
ek
ly
Mo
nth
ly
Qu
art
erl
y
Dis
clo
su
re
Inte
rna
l
Inte
rvie
w/
Inq
uir
y
Re
perf
orm
an
ce
Pro
ce
ss W
alk
thro
ug
h
Inte
rna
l A
ud
it R
evie
w
Sa
mp
lin
g
Ob
se
rvati
on
Oth
er
Automation ValuesNature of Control
Control Purpose
Attributes Matrix
Test Attributes (To be decided before developing the Test plans)
Maturity Target "To Be"
Control Trigger
Control Relevanc
eFrequency if Date Driven
Propósito del Control
Control Detectivo: • Diseñado para detectar una transacción errónea o no intencional que ha occurrido
Ejemplo: Revisión trimestral del acceso restringido a los sistemas contables; Las pruebas de auditoria de los sistemas contables monitorean cualquier cambio contable en el Maestro.
Control Preventivo: • Diseñado para prevenir la ocurrencia de una transacción errónea o no intencionada.
Ejemplo: El control del análisis de crédito subjetivo.
28
De
cte
cti
ve
Pre
ve
nti
ve
Matc
hin
g
Au
tho
riza
tio
n
Re
co
nc
ilia
tio
n
Re
str
icte
d A
cce
ss
Oth
er
Man
ua
l
Au
tom
ate
d
Se
mi-
au
tom
ate
d
Un
reli
ab
le
Info
rma
l
Sta
nd
ard
ized
Mo
nit
ore
d
Op
tim
ized
Ev
en
t-d
rive
n
Da
te D
rive
n
An
nu
all
y
Tw
ice
a Y
ear
Da
ily
Tw
ice
a w
ee
k
We
ek
ly
Mo
nth
ly
Qu
art
erl
y
Dis
clo
su
re
Inte
rna
l
Inte
rvie
w/
Inq
uir
y
Re
perf
orm
an
ce
Pro
ce
ss W
alk
thro
ug
h
Inte
rna
l A
ud
it R
evie
w
Sa
mp
lin
g
Ob
se
rvati
on
Oth
er
Automation ValuesNature of Control
Control Purpose
Attributes Matrix
Test Attributes (To be decided before developing the Test plans)
Maturity Target "To Be"
Control Trigger
Control Relevanc
eFrequency if Date Driven
Naturaleza del Control
Comparación
(Matching)
Los Datos ingresados son sujetos a chequeos o comparación con archivos de control aprobados.
Ejemplo:Los Datos ingresados al sistema contable deben ser validados con información importante como por ejemplo: validación del margen, costeo de fondos e información del valor razonable.
Autorización Asegurar que la transacción sea aprobada adecuadamente
Ejemplo: El proceso de pago electrónico considera dos palabras claves de autorización.
Reconciliación Asegurar que el balance este de acuerdo con la evidencia objetiva.
Ejemplos: reconciliación bancaria; reconciliación de deudas.
Acceso
Restringido
Proteger contra cambios de información no autorizados y salvaguarda de activos fijos y electrónicos.
Ejemplo: Acceso Restringido para producir artículos financieramente negativos.
29
Valores de Automatización
Manual:
Control realizado por una persona sin ayuda de
sistemas
De
cte
cti
ve
Pre
ven
tiv
e
Matc
hin
g
Au
tho
riza
tio
n
Re
co
nc
ilia
tio
n
Re
str
icte
d A
cce
ss
Oth
er
Man
ua
l
Au
tom
ate
d
Se
mi-
au
tom
ate
d
Un
reli
ab
le
Info
rma
l
Sta
nd
ard
ized
Mo
nit
ore
d
Op
tim
ized
Ev
en
t-d
rive
n
Da
te D
rive
n
An
nu
all
y
Tw
ice
a Y
ear
Da
ily
Tw
ice
a w
eek
We
ek
ly
Mo
nth
ly
Qu
art
erl
y
Dis
clo
su
re
Inte
rna
l
Inte
rvie
w/
Inq
uir
y
Re
perf
orm
an
ce
Pro
ce
ss W
alk
thro
ug
h
Inte
rna
l A
ud
it R
evie
w
Sa
mp
lin
g
Ob
se
rvati
on
Oth
er
Automation ValuesNature of Control
Control Purpose
Attributes Matrix
Test Attributes (To be decided before developing the Test plans)
Maturity Target "To Be"
Control Trigger
Control Relevanc
eFrequency if Date Driven
Automático:
El Control es automáticamente realizado por un sistema de
TI
Semi automático:
Manual pero apoyado por Sistemas
30
Control direccionante & frecuencia
De
cte
cti
ve
Pre
ve
nti
ve
Matc
hin
g
Au
tho
riza
tio
n
Re
co
nc
ilia
tio
n
Re
str
icte
d A
cce
ss
Oth
er
Man
ua
l
Au
tom
ate
d
Se
mi-
au
tom
ate
d
Un
reli
ab
le
Info
rma
l
Sta
nd
ard
ized
Mo
nit
ore
d
Op
tim
ized
Ev
en
t-d
rive
n
Da
te D
rive
n
An
nu
all
y
Tw
ice
a Y
ear
Da
ily
Tw
ice
a w
ee
k
We
ek
ly
Mo
nth
ly
Qu
art
erl
y
Dis
clo
su
re
Inte
rna
l
Inte
rvie
w/
Inq
uir
y
Re
perf
orm
an
ce
Pro
ce
ss W
alk
thro
ug
h
Inte
rna
l A
ud
it R
evie
w
Sa
mp
lin
g
Ob
se
rvati
on
Oth
er
Automation ValuesNature of Control
Control Purpose
Attributes Matrix
Test Attributes (To be decided before developing the Test plans)
Maturity Target "To Be"
Control Trigger
Control Relevanc
eFrequency if Date Driven
Evento Direccionado
• Cuando ha ocurrido algo de importancia.
Fecha Direccionada
• De acuerdo al Plan de Tiempos.
Frecuencia si fecha es Direccionada
• La Frecuencia indica con que frecuencia un control es direccionado dentro de un proceso, y no con que frecuencia se realiza la evaluación o prueba ( a pesar de que los conceptos pueden estar relacionados).
31
Relevancia del Control
De
cte
cti
ve
Pre
ven
tiv
e
Matc
hin
g
Au
tho
riza
tio
n
Re
co
nc
ilia
tio
n
Re
str
icte
d A
cce
ss
Oth
er
Man
ua
l
Au
tom
ate
d
Se
mi-
au
tom
ate
d
Un
reli
ab
le
Info
rma
l
Sta
nd
ard
ized
Mo
nit
ore
d
Op
tim
ized
Ev
en
t-d
rive
n
Da
te D
rive
n
An
nu
all
y
Tw
ice
a Y
ear
Da
ily
Tw
ice
a w
eek
We
ek
ly
Mo
nth
ly
Qu
art
erl
y
Dis
clo
su
re
Inte
rna
l
Inte
rvie
w/
Inq
uir
y
Re
perf
orm
an
ce
Pro
ce
ss W
alk
thro
ug
h
Inte
rna
l A
ud
it R
evie
w
Sa
mp
lin
g
Ob
se
rvati
on
Oth
er
Automation ValuesNature of Control
Control Purpose
Attributes Matrix
Test Attributes (To be decided before developing the Test plans)
Maturity Target "To Be"
Control Trigger
Control Relevanc
eFrequency if Date Driven
Revelación
• La revelación de los controles y procedimientos sobre las operaciones y reportes financieros, sección 302
Interno
• La efectividad del control interno sobre los reportes financieros, sección 404.
32
Desde la MatrizDesde la Matriz
Evaluación Subjetiva:Respuesta ”satisfactoria”/ ”insatisfactoria”
(Siempre con comentarios adicionales)
Evaluación Subjetiva:Respuesta ”satisfactoria”/ ”insatisfactoria”
(Siempre con comentarios adicionales)
Firma del propietario del control de cada proceso, del propietario del proceso por cada proceso, de los propietarios de grupos de procesos por cada grupos de procesos
Nombre y Numero de Control Process: Grupo de Procesos:5.2.2 Aprobacion de la emision 5.2 Proceso de Voucher 5.0 Contabilidad General
Voucher Diario DiarioIEVA Control cubierto: Exactitud, Validez y Acceso restringido
Estados Financieros Existencia, Valuacion y Derechos/ObligacionesAserciones (EFA):
Evaluar si IEVA y EFA Satisfactorio- Hay una clara separacion entreidentificados son cumplidos el emisor y el que prepara el informe con un buenefectivamente proceso de verificacion para reportes excepcionales
Evaluar la alineacion entre Satisfactorio - Buena cobertura de los siguienteslos controles y los objetivos objetivos de control: Vouchers diarios son del Control apropiadamente aprobados
Frecuencia: Satisfactorio - este control es efectuado paracada reporte emitido por la Contabilidad general
Proposito del Control:Preventivo / Detectivo Preventivo
Conocimiento y Satisfactorio - Solo el Controller y el Contadorexperiencia de las personas pueden aprobar el registro de vouchersinvolucradas
Oportunidad en el Satisfactorio - todos los reportes son revisados antesdireccionamiento de emisiones de ser usados y las excepciones son corregidasy excepciones…… rapidamente
Confiabilidad de las fuentes deinformacion usadas en el A ser probada en el control de la aplicaciondesempeno de los controlesPeriodo cubierto por el Satisfactorio - el control cubre todos los reportescontrol emitidos en el periodoControl Owner (Propietario del Control firma aqui)Name: Richard KnappOrganization: VTB SouthDate 18-May-05
Evaluacion de Control DisenadoRespuesta Satisfactoria / Insatisfactorio y Comentarios
Apendice IV: Documentacion de Evaluacion - Ejemplo A
33
Integridad delManual
ManualValidación
Reportes deIntegridad
Integridad deSistemas
Validación de Reportes
Validación del Sistema
Efic
ienc
ia d
e C
ontr
oles
Im Mv Ri Is Vr VsAdecuación de Controles
(No Confiable Optimizado)
VFS UK Operational ExcellenceSOX Marco del Control del Sistema
Integridad + Exactitud = datos ingresados de áreas requeridas
Validez = Es elDato ingresado correcto
Controles Básicos del Sistema
Acceso Adm. = datosMaster y acceso restringido
34
La Siguiente fase en prueba pero ……Cuan usualmente las compañías fracasan en la prueba?
• Falta de evidencia
• No Control del Desempeño
• No Control de Efectividad
• No acción sobre gaps identificados
35
Integra los procesos de mapeo / Documentación del Control
Segregación de tareas (propiedad + compromiso)
Propietarios de procesos / sub-procesos enfocados sobreDiseño & calidad de controles
Propiedad a todo nivel (Ejecutivos – Managers – usuarios claves)
Mejoramiento de la gerencia del Conocimiento (evaluación + pruebas)
Asegurar un Plan de Sucesión en todos los niveles
Porque SOX 404 es prioridad # 1
36
La Sarbanes-Oxley Act of 2002 (SOA)- Ideas de Cambio -
• “Obligación legal” para la función de Auditoría Interna.
• Atención a los hechos financieros
• Supervisión de los flujos de información económico-financiera
• Evaluación de la revelación de información a los mercados
37
PreguntasPreguntas