Inducción a la Ley Sarbanes-Oxley

Transcripción

1 Inducción a la Ley Sarbanes-Oxley

2 Agenda 1. Orígenes de la Ley 2. Estructura de la Ley 3. Definición de Control Interno 4. Evaluación Efectiva de las Operaciones 5. Pasos a seguir en un proyecto SOX 6. Ejemplo de Proyecto

3 Orígenes de la Ley

4 Orígenes de la Ley A finales de la década del noventa, un conjunto de escándalos contables y financieros impactó en los mercados de capitales (Enron, WorldComm) Inversores empiezan a dudar sobre la veracidad de la información que se exponía en los estados contables. Es una condición indispensable que la información de que se dispone sea confiable, la violación o perdida de este principio hace prácticamente inviable la existencia de un mercado de capitales. Ante este descrédito, fue necesario elaborar un marco legal que volviera a reinstaurar la confianza de los inversores en la autenticidad de la unformación que las empresas difundían en materia contable.

5 Orígenes de la Ley (cont.) Es así que surge en los Estados Unidos de América la ley Sarbanes-Oxley, la cual debe su nombre a los dos congresistas que contribuyeron a su redacción. En sus considerandos, la ley establece la creación de un Comité de Vigilancia de la Contabilidad de las Empresas Publicas (en adelante el Comité), cuyas funciones entre otras, son...proteger el interés de los inversores, y más allá, el interés publico, en la preparación de reportes de auditoria informativos, exactos e independientes. El cumplimiento de las regulaciones establecidas en la ley por parte de las distintas empresas, se convierte en una especie de sello de confianza requerido por los inversores.

6 Estructura de la Ley

7 Estructura de la Ley La presente ley consta de once títulos, cada uno de los cuales trata una materia en particular, como puntos más relevantes podemos enunciar: 1. A través de la Sección 101, se crea como nueva entidad de control el Public Company Accounting Oversight Board, encargado de revisar la auditoría de las compañías públicas que están sujetas a las leyes de seguridad y otras materias relativas. 2. En su Sección 102, se establece la obligación de inscribirse, por parte de todas las firmas públicas de auditoría, en un registro establecido por dicho Comité, así como registrar el nombre de todos los emisores de estados contables, para los cuales dichas firmas preparan la información; así como la retribución que reciben por los servicios que prestan de parte de cada uno de estos emisores.

8 Estructura de la Ley (cont.) 3. En la Sección 201 se enumeran un conjunto de servicios que se encuentran fuera del alcance de las practicas del auditor, como ejemplo de dichas restricciones se pueden enumerar: Diseño e implementación de sistemas de información financiera Servicios de Actuario Outsourcing de servicios de auditoría interna 4. En la Sección 301 se establece la obligatoriedad de establecer un Comité de Auditoría y se definen las reglas de independencia de dicho Comité, es decir, que ningún miembro puede trabajar para el emisor de los estados contables. Dicho Comité deberá contar por lo menos con un experto contable.

9 Estructura de la Ley (cont.) 5. La Sección 302 determina la responsabilidad del management (CEO y CFO) por la emisión de los reportes financieros. En este caso el CEO y el CFO deberán certificar ante los organismos supervisores que los estados financieros presentan razonablemente la posición financiera de la compañía. Adicionalmente, los directivos son responsables por establecer y mantener el control interno, debiendo presentar por escrito sus conclusiones acerca de la efectividad de dichos controles a la fecha de emisión del informe. 6. En relación con la sección anterior, la Sección 404 establece la responsabilidad de la gerencia para establecer y mantener una adecuada estructura de control interno y accesoriamente, de la efectividad de dicha estructura de control relacionados con la emisión de la información financiera (TESTING)

10 Estructura de la Ley (cont.) En otras secciones de la presente ley, se tipifican y penalizan nuevos crímenes, como ser la...destrucción, alteración o falsificación con el intento de impedir o influenciar una investigación federal..., o bien se incrementan las penas para otro tipo de delitos como ser la adulteración de mail, todos estos nuevos delitos surgidos a raíz de los escándalos contables del pasado.

11 Definición de Control Interno

12 Definición de Control Interno La SEC define el control interno (utilizando un marco de referencia conocido como COSO(1)) como un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones. Fiabilidad de la información financiera. Cumplimiento de las leyes y normas aplicables. La sección 404 de la SOX se refiere a los controles necesarios para asegurar la fiabilidad de la información financiera y el cumplimiento de las leyes y regulaciones aplicables

13 Definición de Control Interno (cont.) Por lo tanto, incluye políticas, procedimientos y prácticas operativas que: Conciernen al mantenimiento de registros que con detalle razonable reflejan en forma precisa y adecuada las transacciones y disposiciones de activos de la compañía. Garantizan que las transacciones y disposiciones de activos de la compañía están autorizadas por quien corresponda. Aseguran que se efectúan los controles específicos definidos como claves en las matrices de control, Garantizan que el supervisor de la persona responsable por los controles verifica que los mismos se hayan efectuado y documentado en la forma establecida por la compañía. El Management debe estar en condiciones de certificar con su firma que todo esto se cumplió

14 Definición de Control Interno (cont.)

15 Evaluación Efectiva de las Operaciones

16 Evaluación Efectiva de las Operaciones Un Test de controles operando de forma efectiva debe incluir un mix de: Preguntas al personal apropiado Observación de las operaciones de la compañía Inspección de documentación relevante Re-ejecución de la aplicación de controles

17 Evaluación Efectiva de las Operaciones Timing of Testing Realizar pruebas de controles sobre un período de tiempo apropiado a fin de proveer soporte a partir de la fecha especificada en el reporte gerencial, de tal forma de determinar que los controles necesarios para el logro de los objetivos establecidos en el criterio de control operan de forma efectiva. Variará con la naturalez del control probado y con la frecuencia con la cual un específico control opera Controles sobre transacciones significativas no rutinarias, controles sobre cuentas o procesos con un alto grado de subjetividad o juicio, o controles sobre la registración de ajustes al cierre del período deben ser testeados más cerca de dicha fecha AS.2.202

18 Evaluación Efectiva de las Operaciones TIP: El Test de controles generales debe ser realizado de forma temprana debido a su importancia sobre los controles automáticos y a que es necesario proveer un tiempo necesario de remediación

19 Evaluación Efectiva de las Operaciones Alto Nivel de Confianza: En la determinación de la magnitud de los procedimientos a realizar, el management debe diseñar los procedimientos a fin de proporcionar un alto nivel de confianza (90% a 95% de nivel de confianza) que los controles probados están operando efectivamente. Naturaleza del control Frecuencia del control Importancia del control

20 Evaluación Efectiva de las Operaciones Extensión del Testing - Controles Automáticos El Testeo de un sólo ítem puede ser suficiente pero tener en cuenta que existen un número de atributos dentro de un control automático Al confiar en los controles automáticas, los test sobre los controles generales IT deben ser satisfechos a fin de poder confiar en dichos controles automáticos Se deben comprender y testear los controles asociados con modificación de políticas y procedimientos

21 Evaluación Efectiva de las Operaciones Extensión del Testing - Controles Manuales Cuando se testean controles manuales, basados en la frecuencia del control, los tamaños de muestra sugeridos son los siguientes:

22 Evaluación Efectiva de las Operaciones Extensión del Testing - Controles Generales de IT Los Controles Generales IT tienen un efecto profundo en el cumplimiento de muchos objetivos de control: Desarrollo de programas Cambios en programas Operaciones computarizadas Acceso a programas y datos

23 Evaluación Efectiva de las Operaciones Consideraciones sobre Fraude Evaluar todos los controles específicamente los relacionados al riesgo de fraude que tienen un razonable probabilidad de tener un efecto material sobre los estados financieros de la compañía Tales controles incluyen, pero no se limitan a: Controles que impiden la malversación de recursos de la compañía que podrían producir un error material en los estados financieros Proceso de Risk assessment Código de ética/ conducta Procedimiento para manejo de reclamaciones

24 Evaluación Efectiva de las Operaciones Tiempo necesario para demostrar que las operaciones son efectivas Los cambios a y/o remediaciones de controles necesitan tener el tiempo suficiente para permitir asegurarnos que los mismos operan efectivamente

25 Evaluación Efectiva de las Operaciones Tiempo necesario para demostrar que las operaciones son efectivas Los cambios a y/o remediaciones de controles necesitan tener el tiempo suficiente para permitir asegurarnos que los mismos operan efectivamente

26 Pasos a seguir en un proyecto SOX

27 Pasos a seguir en un proyecto SOX 1. Analizar la documentación existente a fin de proveer el grado necesario de conocimiento de los procesos para un correcto test: Posibles formas de documentación Flowcharts del flujo de transacciones Narrativa a fin de entender como las transacciones son inicialadas, autorizadas, registradas e informadas Matrices de control identificando los controles claves Key Controls Documentación que mapee y ayude a comprender la relación entre los estados contables y la documentación de los procesos y transacciones Walkthrougs del proceso

28 Pasos a seguir en un proyecto SOX 2. (Si no existiera) elaborar el plan de testing para cada Key Control. 3. Definir y Documentar (Matriz de Control): Técnica de Testing Tamaño de la muestra Técnica de muestra (Azar ACL) Universo sobre el cual aplicar la muestra Documentación necesaria para confirmar la ejecución del control 4. Solicitar la información definida en el punto anterior, al sector correspondiente referente a la muestra seleccionada para ejecutar las actividades detalladas en el pto 2.

29 Pasos a seguir en un proyecto SOX 5. Documentar los hallazgos productos del punto anterior (Matriz de Control).

30 Ejemplo de Proyecto

31 Ejemplo de Proyecto

32 Ejemplo de Proyecto (cont.) ETAPAS CLAVES COMPAÑÍA AUDITOR

33 Ejemplo de Proyecto (cont.) Documentación de los Controles Clave: La Matriz de Control Para cada control clave se documenta (entre otros): El objetivo de control Como funciona Como es documentado (evidencia que el control se realizó) Quién lo realiza Quién es el responsable de asegurar que el control fue ejecutado y documentado adecuadamente Cuales son los procedimientos aplicables (cuando corresponde) Cuales son los sistemas transaccionales utilizados para realizar el control (cuando corresponda)

34 Ejemplo de Proyecto (cont.)

37