Sarbanes Oxley: un nuevo reto*

Transcripción

1 * Sarbanes Oxley: un nuevo reto* 29 de Abril de 2004 *connectedthinking PwC

2 Agenda 1. Requerimientos e importancia de la regulación 2. Punto de vista de PwC sobre el proceso de cumplimiento requerido 3. Dificultades más comunes que se observan 4. Sesión de preguntas y respuestas página 2

3 Ley Sarbanes-Oxley página 3

4 Ley Sarbanes-Oxley Ejecutivos Consejo Auditores Analistas Inversionistas Emisores de estándares Reguladores Tecnologías página 4

5 Ley Sarbanes-Oxley Ejecutivos Consejo Auditores Analistas Inversionistas Emisores de estándares Reguladores Tecnologías página 5

6 Ley Sarbanes-Oxley Ejecutivos Consejo Auditores Analistas Inversionistas Emisores de estándares Reguladores Tecnologías página 6

7 Ley Sarbanes-Oxley Ejecutivos Consejo Auditores Analistas Inversionistas Emisores de estándares Reguladores Tecnologías página 7

8 Ley Sarbanes-Oxley Ejecutivos Consejo Auditores Analistas Inversionistas Emisores de estándares Reguladores Tecnologías página 8

9 Ley Sarbanes-Oxley Ejecutivos Consejo Auditores Analistas Inversionistas Emisores de estándares Reguladores Tecnologías página 9

10 Ley Sarbanes-Oxley Ejecutivos Consejo Auditores Analistas Inversionistas Emisores de estándares Reguladores Tecnologías página 10

11 Ley Sarbanes-Oxley Reforma más significativa a las leyes de valores y al entorno regulatorio de las empresas públicas Objetivo enunciado: Restaurar la confianza en la información financiera que éstas presentan Cambio fundamental en cómo los Comités de Auditoría, la Administración y los Auditores cumplen sus responsabilidades e interactúan Establece un nuevo paradigma corporativo sobre responsabilidad, medición, transparencia y conducta Inicio de una nueva era en materia regulatoria página 11

12 Ley Sarbanes-Oxley Título I Public Company Accounting Oversight Board Título II Independencia de los Auditores Título III Responsabilidad Corporativa Título IV Revelaciones adicionales Título V Conflictos de interés de analistas Título VI Autoridad y recursos de la SEC Título VII Estudios adicionales requeridos Título VIII Fraude Corporativo Título IX Responsabilidades Penales Título X Declaraciones Jurídicas Fiscales Título XI Fraudes Corporativos página 12

13 Certificaciones del CEO y CFO La ley establece tres requerimientos relevantes en relación con la confiabilidad de la información financiera y los procesos que la generan Veracidad de la información presentada Sección Calidad de los procesos de emisión de información y los internos Sección Sección Vigentes, deben presentarse con cada 10 K / 10 Q (emisores domésticos) o 20 F o registro intermedio (emisores extranjeros) 2 Vigencia para FY 04 (emisores domésticos) o FY 05 (emisores extranjeros)

14 Cont... Sección 404 Vigente a partir del FY 04 (emisores domésticos) FY 05 (emisores extranjeros) Cada reporte anual debe incluir un informe de la gerencia: Aceptando su responsabilidad por establecer y mantener una estructura adecuada de control y procedimientos para reporte (incluyendo sobre salvaguarda de activos) Conteniendo su evaluación respecto de la efectividad de dichos y procedimientos al cierre del ejercicio Los auditores externos deberán emitir un informe de attestation relativo a las manifestaciones de la gerencia, basado en las reglas recientemente emitidas por el PCAOB página 14

15 Cont... Sección 404 Los Auditores deberán reportar El ALCANCE de las pruebas del control interno y procedimientos aplicados Los RESULTADOS de las pruebas de Su EVALUACIÓN acerca de si los procedimientos y proveen razonable seguridad acerca del registro de transacciones para permitir la preparación de estados financieros de acuerdo con PCGA, la autorización de ingresos y gastos, y la salvaguarda de activos La DESCRIPCIÓN de cualquier debilidad significativa o incumplimiento relevante detectados página 15

16 Cont... No basta con certificaciones ( roll-up ) hacia el CEO y CFO Nada sustituye a la debida diligencia de los mismos No basta con algún tipo de negative assurance de Auditoría Interna o del Auditor Externo Qué se requiere? Implantar un proceso adecuado Basado en los requerimientos del estándar del PCAOB página 16

17 Actividades a realizar por la gerencia Establecer y comunicar estándares Mapear componentes de los E/F Documentar procesos, políticas y procedimientos Documentar Evaluar su diseño Probar su efectividad Formular Management Assertion Implantar un proceso de monitoreo continuo Actividades a realizar por el Auditor Walk-throughs Evaluar el diseño de los Evaluar el impacto de debilidades Probar los clave Informe de Attestation página 17

18 Podemos dejarlo para más adelante! página 18

19

20 Fecha de reporte Plan y enfoque del proyecto página 20

21 Fecha de reporte Plan y enfoque del proyecto Documentar página 21

22 Fecha de reporte Plan y enfoque del proyecto Documentar Evaluar diseño de página 22

23 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar diseño de Controles clave página 23

24 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar diseño de Controles clave Evaluar impacto página 24

25 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar diseño de Controles clave Evaluar impacto Remediar o implantar alternativos página 25

26 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar diseño de Controles clave Evaluar impacto Remediar o implantar alternativos página 26

27 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar diseño de Controles clave Evaluar impacto Remediar o implantar alternativos Probar efectividad operativa de página 27

28 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar impacto Remediar o implantar alternativos Evaluar diseño de Controles clave Probar efectividad operativa de Tablero de control página 28

29 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar impacto Remediar o implantar alternativos Evaluar diseño de Controles clave Probar efectividad operativa de Actualizar la evaluación Cubrir procesos de cierre Actualizar pruebas Tablero de control página 29

30 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar impacto Remediar o implantar alternativos Evaluar diseño de Controles clave Probar efectividad operativa de Actualizar la evaluación Cubrir procesos de cierre Actualizar pruebas Tablero de control Monitoreo continuo Medidas correctivas implantadas Cambios (procesos,, gente, etc.) Nuevos problemas identificados

31 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar impacto Remediar o implantar alternativos Evaluar diseño de Controles clave Probar efectividad operativa de Actualizar la evaluación Cubrir procesos de cierre Actualizar pruebas Tablero de control Inputs adicionales Ajustes Auditorías evaluación de debilidades y su impacto Identificación de cambios y su impacto Management Assertion Monitoreo continuo Medidas correctivas implantadas Cambios (procesos,, gente, etc.) Nuevos problemas identificados

32 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar impacto Remediar o implantar alternativos Evaluar diseño de Controles clave Probar efectividad operativa de Actualizar la evaluación Cubrir procesos de cierre Actualizar pruebas Tablero de control Inputs adicionales Ajustes Auditorías evaluación de debilidades y su impacto Identificación de cambios y su impacto Management Assertion Monitoreo continuo Medidas correctivas implantadas Cambios (procesos,, gente, etc.) Nuevos problemas identificados Informes 404

33 Fecha de reporte Plan y enfoque del proyecto Documentar Deficiencias Evaluar impacto Remediar o implantar alternativos Evaluar diseño de Controles clave Probar efectividad operativa de Actualizar la evaluación Cubrir procesos de cierre Actualizar pruebas Tablero de control Inputs adicionales Ajustes Auditorías evaluación de debilidades y su impacto Identificación de cambios y su impacto Management Assertion Monitoreo continuo Medidas correctivas implantadas Cambios (procesos,, gente, etc.) Nuevos problemas identificados Informes 404

34 Buenas prácticas relativas al proyecto 1 Definir el enfoque, equipo y plan de proyecto apropiados 1. Asignar un equipo de proyecto sólido! Compromiso y soporte de la alta gerencia " Disclosure Committe o equivalente! Líder del proyecto con empowerment y proactividad! Equipo multi-funcional " Contraloría " Unidades de negocio clave " TI " Auditoría Interna 2. Establecer mecanismos de control del proyecto " Proyectos complejos: oficina de soporte " Proceso de aseguramiento de calidad 3. Definir prácticas de evaluación alineadas a la cultura de la organización! Self-assessment " Talleres " Mecanismos para evitar el sesgo en las evaluaciones! Algunas organizaciones no tienen la madurez necesaria " Enfoque más tradicional

35 1 Definir el enfoque, equipo y plan de proyecto apropiados 4. Definir prácticas de documentación de la evaluación! estandarizar! Pero mantener flexibilidad! Las normas de Sox 404 no prescriben ninguna práctica en particular " Flujogramas " Narrativas " Matrices de riesgos y 5. Definir un cronograma realista! Identificar claramente las actividades del proyecto! Asignar tiempos razonables a las mismas! Entender y considerar las dependencias! No dejar que las actividades se desfasen hacia finales del ejercicio! Prever colchones para reprocesos! Prever colchones para amortiguar retrasos Cont 6. Comunicar y entrenar! Explicar la importancia del requerimiento del cumplimiento! Recordar que muchas personas no tienen los conocimientos y destrezas apropiados página 35

36 2 Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Cont página 36

37 2 Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Cont página 37

38 2 Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Relacionar Componentes de los EEFF, cuentas importantes y notas Aserciones relevantes implícitas en los mismos Procesos y sistemas que generan la información Cont Tablero de control página 38

39 2 Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Relacionar Componentes de los EEFF, cuentas importantes y notas Aserciones relevantes implícitas en los mismos Procesos y sistemas que generan la información - Existencia u ocurrencia - Integridad - Valuación - Derechos / obligaciones -Presentación Cont página 39

40 2 Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Relacionar Componentes de los EEFF, cuentas importantes y notas Aserciones relevantes implícitas en los mismos Procesos y sistemas que generan la información - Existencia u ocurrencia - Integridad - Valuación - Derechos / obligaciones -Presentación Cont El estándar requiere la evaluación de los relativos a todas las aserciones relevantes referidas a todos los rubros y revelaciones en los estados financieros página 40

41 2 Cont Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Relacionar Componentes de los EEFF, cuentas importantes y notas Aserciones relevantes implícitas en los mismos Procesos y sistemas que generan la información 3 Considerar todas las áreas prescriptas en el estándar página 41

42 2 Cont Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Relacionar Componentes de los EEFF, cuentas importantes y notas Aserciones relevantes implícitas en los mismos Procesos y sistemas que generan la información 3 Considerar todas las áreas prescriptas en el estándar Controles sobre: Transacciones -Inicio - Autorización - Registro - Procesamiento - Reporte página 42

43 2 Cont Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Relacionar Componentes de los EEFF, cuentas importantes y notas Aserciones relevantes implícitas en los mismos Procesos y sistemas que generan la información 3 Considerar todas las áreas prescriptas en el estándar Controles sobre: Transacciones Tecnología - Operaciones - Desarrollo / Implantación - Mantenimiento - Seguridad - DRP no incluido página 43

44 2 Cont Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Relacionar Componentes de los EEFF, cuentas importantes y notas Aserciones relevantes implícitas en los mismos Procesos y sistemas que generan la información 3 Considerar todas las áreas prescriptas en el estándar Controles sobre: Transacciones Tecnología Company-level controls - Ambiente de control - evaluación de riesgos - Controles de monitoreo - Monitoreo de - Procesos de cierre - Políticas corporativas - Comité de Auditoría - Codigo de conducta - Whistle-blowing página 44

45 2 Cont Identificar cuentas significativas Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Relacionar Componentes de los EEFF, cuentas importantes y notas Aserciones relevantes implícitas en los mismos Procesos y sistemas que generan la información 3 Considerar todas las áreas prescriptas en el estándar Controles sobre: Transacciones Tecnología Company-level controls Controles sobre transacciones no rutinarias página 45

46 2 Identificar cuentas significativas Cont Determinar procesos, sistemas y áreas a ser evaluados Riesgo de error material > remoto Relacionar Componentes de los EEFF, cuentas importantes y notas Aserciones relevantes implícitas en los mismos Procesos y sistemas que generan la información 3 Considerar todas las áreas prescriptas en el estándar Controles sobre: Transacciones Tecnología Company-level controls Controles sobre transacciones no rutinarias Controles antifraude página 46

47 Cont 4 Establecer el marco de la evaluación COSO Grado necesario de customización Requerimientos de NYSE Requerimientos regulatorios COBIT y otros estándares para TI página 47

48 Cont 4 Establecer el marco de la evaluación COSO Grado necesario de customización Requerimientos de NYSE Requerimientos regulatorios COBIT y otros estándares para TI Ambiente de control evaluación de riesgo Actividades de control información y comunicación Monitoreo de página 48

49 Cont 4 Establecer el marco de la evaluación COSO Grado necesario de customización Requerimientos de NYSE Requerimientos regulatorios COBIT y otros estándares para TI Ambiente de control evaluación de riesgo Actividades de control información y comunicación Monitoreo de 5 Definir el alcance de la evaluación Asegurar una adecuada cobertura de entidades y locaciones página 49

50 Cont 4 Establecer el marco de la evaluación COSO Grado necesario de customización Requerimientos de NYSE Requerimientos regulatorios COBIT y otros estándares para TI Ambiente de control evaluación de riesgo Actividades de control información y comunicación Monitoreo de 5 Definir el alcance de la evaluación Asegurar una adecuada cobertura de entidades y locaciones Regla del 70 % Grado de cobertura de las restantes unidades de negocio y locaciones Requerimientos de documentación mínima Enfoque para entidades con un alto número de locaciones página 50

51 Cont 4 Establecer el marco de la evaluación COSO Grado necesario de customización Requerimientos de NYSE Requerimientos regulatorios COBIT y otros estándares para TI Ambiente de control evaluación de riesgo Actividades de control información y comunicación Monitoreo de 5 Definir el alcance de la evaluación Asegurar una adecuada cobertura de entidades y locaciones Regla del 70 % Grado de cobertura de las restantes unidades de negocio y locaciones Requerimientos de documentación mínima Enfoque para entidades con un alto número de locaciones página 51

52 Dificultades más comunes Finding: Nearly 3.4 of respondents have seen a significant increase in the level of effort required to comply with Sarbanes-Oxley 404, as compared with their original estimates. About 1/3 have seen an increase on the order of 25%, another 1/3 have seen an increase on the order of 50% and the remainder have seen an increase on the order of 75% or more. Increase in estimated level of effort to comply with section 404 Significant increase? If Yes, Percentage Increase 22% 5% Yes 37% 10% 5% About 25% About 50% No 15% About 75% 73% Don t Know 33% About 100% More than 100%

53 Cont... Finding: While 95% of executives expect their companies to meet the deadline for Section 404 compliance, more than half of those expect it will be difficult to do so. Concerns about Company s Ability to Meet its Deadline for 404 Compliance 5% 31% Confident will meet deadline WITHOUT difficulty Confident will meet deadline WITH difficulty 64% Concerned about ability to meet deadline

54 Cont... Finding: Respondents reported their company has had the most difficulty in preparing for the 404 management assertion in the following three áreas: Level of testing needed (69%) Level of documentation needed (69%) Evaluating or identifying internal control deficiencies (39%) página 54

55 Cont... PwC Comment: The fact that most survey respondents rated documentation and testing as posing the most difficulty probably reflects the implementation stage they are in today. As they get closer to making the management assertion, companies are going to recognize that identifying and evaluating the significance of internal control deficiencies is one of the most difficult steps they have to take because of the judgment involved. página 55

56 Cont... Finding: Respondents reported their company has had difficulty in preparing for the management assertion in the following areas: Level of testing needed (94%) Level of documentation needed (89%) Multiple locations (65%) Evaluating or identifying internal control deficiencies (63%) Initial scoping: significant accounts, control activities, financial statement assertions (59%) Outsourced processes (46%) Global support (35%) Specialty processes such as treasury, tax (33%)

57 Cont... Finding: Most respondents reported that they expect their company s testing to be more extensive (e.g., sample sizes/number of items to be tested for each control) than the testing they anticipate their company s external auditor will perform. How Much Testing Compared with Testing Respondents Anticipate Companyps External Auditor will Perform? 12% Company w ill test less than external auditor 59% 29% Company w ill test approximately the same number of items for each control as external auditor Company w ill test more than external auditor

58 Cont... Finding: Respondents reported that áreas in which their companies are likely to need to fix problems in order to comply with Section 404 of Sarbanes-Oxley include: Manual controls over significant transactions (72%) Computer controls, not including security (65%) Security controls (54%) Fraud programs (44%) Financial reporting process (35%) Audit committee oversight (13%) página 58

59 Cont... Finding: Nearly 90% of companies had acquired or were planning to acquire new technology for compliance with Sarbanes-Oxley. Further, more than 45% of executives view the use of technology as an essential facilitator of compliance with Sarbanes-Oxley. Use of Technology to Facilitate SO Compliance Acquired? Importance? 11% 15% 2% Yes No 47% Essential Very Important Somewhat Important Not important 89% 36%

60 Dificultades más comunes 1 Documentación de Insuficiente nivel de detalle Cómo? Dónde? Quién? Evidencia? Supervisión? Frecuencia? Atributos? Mapeo a transacciones en los sistemas Falta de políticas y procedimientos escritos en áreas importantes página 60

61 Cont 1 Documentación de Insuficiente nivel de detalle POSIBLES CONSECUENCIAS Cómo? Dónde? Quién? Evidencia? Supervisión? Frecuencia? Atributos? Mapeo a transacciones en los sistemas Falta de políticas y procedimientos escritos en áreas importantes Dificultades para ejecutar Walk-throughs y otras actividades de la auditoría externa Falta de información para la evaluación de diseño de Opinión adversa sobre: el proceso seguido por la gerencia la efectividad del control interno página 61

62 Cont 2 Evaluación del diseño de Objetivos de control no definidos o bien ambiguos Factores de riesgo no identificados o bien redundantes Falta de escepticismo en la evaluación Falta de involucramiento de personas con conocimientos y destrezas de control No consideración de la curva de aprendizaje No se identifican adecuadamente los clave Inadecuada consideración de aspectos de segregación de funciones

63 Cont 2 Evaluación del diseño de Inadecuada consideración de las autorizaciones reflejadas en los perfiles de seguridad Informes de SAS 70 para procesos y servicios tercerizados No se identifican deficiencias de control interno No se evalúa adecuadamente su impacto Falta de actividades de corroboración de los identificados Evaluación del diseño no documentada/ documentación incompleta página 63

64 Cont 2 Evaluación del diseño de Inadecuada consideración de las autorizaciones reflejadas en los perfiles de seguridad Informes de SAS 70 para procesos y servicios tercerizados No se identifican deficiencias de control interno No se evalúa adecuadamente su impacto Falta de actividades de corroboración de los identificados Evaluación del diseño no documentada/ documentación incompleta POSIBLES CONSECUENCIAS Proceso inadecuado Falta de sustento para el Management Assertion Eventualmente, opinión adversa sobre el proceso Debilidades no identificadas Management Assertion erróneo Dificultades para determinar las pruebas requeridas Mayor esfuerzo de prueba Sorpresas de último minuto En las pruebas Durante la auditoría Limitaciones al alcance de la auditoría externa Eventualmente: Imposibilidad de opinar sobre los Opinión adversa página 64

65 Cont 3 Evaluación del impacto de deficiencias LAS DEFINICIONES DEL ESTÁNDAR RESULTARÁN EN LA IDENTIFICACIÓN DE UN MAYOR NUMERO DE DEBILIDADES POTENCIALMENTE REPORTABLES A SIGNIFICANT DEFFICIENY is an internal control deficiency, or combination of control deficiencies, that adversely affects the company s ability to initiate, record, process, or report external financial data reliably in accordance with GAAP such that there is more than a remote likelihood that a misstatement of the annual or interim financial statements that is more than inconsequential in amount will not be prevented or detected. A MATERIAL WEAKNESS is a significant deficiency or combination of significant deficiencies, that results in more than a remote likelihood that a material misstatement of the annual or interim financial statements will not be prevented or detected. Conforme con la redacción actual del estándar, UNA sola deficiencia material basta para originar una opinión ADVERSA!!!! página 65

66 Cont 4 Pruebas de La mayoría de las empresas no ha llegado aún a esta etapa!!! página 66

67 Cont 4 Pruebas de La mayoría de las empresas no ha llegado aún a esta etapa!!! Planes de prueba inadecuados Alcances insuficientes Uso de personal no entrenado Sesgo en la ejecución de las pruebas No existe evidencia apropiada de la ejecución de los Nivel de excepciones aceptado > 10% Documentación soporte de las pruebas insuficiente o inadecuada

68 Cont 4 Pruebas de La mayoría de las empresas no ha llegado aún a esta etapa!!! Planes de prueba inadecuados Alcances insuficientes Uso de personal no entrenado Sesgo en la ejecución de las pruebas No existe evidencia apropiada de la ejecución de los Nivel de excepciones aceptado > 10% Documentación soporte de las pruebas insuficiente o inadecuada POSIBLES CONSECUENCIAS Proceso inadecuado Falta de sustento para el Management Assertion Eventualmente, opinión adversa sobre el proceso Problemas de cumplimiento no identificados Management Assertion erróneo Tiempos adicionales significativos en el trabajo de auditoría externa Limitaciones al alcance de la auditoría externa Eventualmente: Imposibilidad de opinar sobre los Opinión adversa

69 página 69

70 Preguntas?