sarbanes oxley: un nuevo reto - introducciónpd] documen… · ley sarbanes-oxley • reforma más...

PwC*connectedthinking

*

Sarbanes Oxley:un nuevo reto*

29 de Abril de 2004

PwC*connectedthinking

Age

nda 1. Requerimientos e importancia de la

regulación2. Punto de vista de PwC sobre el

proceso de cumplimiento requerido3. Dificultades más comunes que se

observan4. Sesión de preguntas y respuestas

página 2

29 de abril de 2004

PricewaterhouseCoopers

Sarbanes Oxley: un nuevo reto*

29 de abril de 2004

Ley Sarbanes-Oxley

Ejecutivos Consejo Auditores Analistas Inversionistas

Emisores de estándares

Reguladores

Tecnologías

Ley Sarbanes-Oxley

página 4PricewaterhouseCoopers


29 de abril de 2004



Reguladores

Tecnologías

Ley Sarbanes-Oxley



29 de abril de 2004

Ley Sarbanes-Oxley

• Reforma más significativa a las leyes de valores y al entorno regulatorio de las empresas públicas

• Objetivo enunciado: Restaurar la confianza en la información financiera que éstas presentan

• Cambio fundamental en cómo los Comités de Auditoría, la Administración y los Auditores cumplen sus responsabilidades e interactúan

• Establece un nuevo paradigma corporativo sobre responsabilidad, medición, transparencia y conducta

• Inicio de una nueva era en materia regulatoria

página 11

29 de abril de 2004

• Título I – Public Company Accounting Oversight Board

• Título II – Independencia de los Auditores

• Título III – Responsabilidad Corporativa

• Título IV – Revelaciones adicionales

• Título V – Conflictos de interés de analistas• Título VI – Autoridad y recursos de la SEC

• Título VII – Estudios adicionales requeridos• Título VIII – Fraude Corporativo

• Título IX – Responsabilidades Penales

• Título X – Declaraciones Jurídicas Fiscales• Título XI – Fraudes Corporativos

Ley

Sar

bane

s-O

xley

página 12

29 de abril de 2004

Certificaciones del CEO y CFO

La ley establece tres requerimientos relevantes en relación con la confiabilidad de la información financiera y los procesos que la generan• Veracidad de la información presentada

– Sección 9061

• Calidad de los procesos de emisión de información y los controles internos

– Sección 4042

– Sección 3021

1 Vigentes, deben presentarse con cada 10 K / 10 Q (emisores domésticos) o 20 F o registro intermedio (emisores extranjeros)

2 Vigencia para FY 04 (emisores domésticos) o FY 05 (emisores extranjeros)

Cont...

Sección 404• Vigente a partir del FY 04 (emisores domésticos) – FY 05

(emisores extranjeros)• Cada reporte anual debe incluir un informe de la gerencia:

– Aceptando su responsabilidad por establecer y mantener una estructura adecuada de control y procedimientos para reporte (incluyendo controles sobre salvaguarda de activos)

– Conteniendo su evaluación respecto de la efectividad de dichos controles y procedimientos al cierre del ejercicio

• Los auditores externos deberán emitir un informe de “attestation” relativo a las manifestaciones de la gerencia, basado en las reglas recientemente emitidas por el PCAOB



29 de abril de 2004

Cont...

Sección 404Los Auditores deberán reportar• El ALCANCE de las pruebas del control interno y

procedimientos aplicados • Los RESULTADOS de las pruebas de controles• Su EVALUACIÓN acerca de si los procedimientos y controles

proveen razonable seguridad acerca del registro de transacciones para permitir la preparación de estados financieros de acuerdo con PCGA, la autorización de ingresos y gastos, y la salvaguarda de activos

• La DESCRIPCIÓN de cualquier debilidad significativa o incumplimiento relevante detectados



29 de abril de 2004

Cont...

• No basta con certificaciones (“roll-up”) hacia el CEO y CFO

• Nada sustituye a la debida diligencia de los mismos• No basta con algún tipo de “negative assurance” de

Auditoría Interna o del Auditor Externo

¿Qué se requiere ? • Implantar un proceso adecuado• Basado en los requerimientos del estándar del

PCAOB



29 de abril de 2004



29 de abril de 2004

Actividades a realizar por la gerencia

• Establecer y comunicar estándares

• Mapear componentes de los E/F

• Documentar procesos, políticas y procedimientos

• Documentar controles

• Evaluar su diseño

• Probar su efectividad

• Formular “Management Assertion”

• Implantar un proceso de monitoreo continuo

Actividades a realizar por el Auditor

• Walk-throughs

• Evaluar el diseño de los controles

• Evaluar el impacto de debilidades

• Probar los controles clave

• Informe de Attestation



29 de abril de 2004

¡Podemos dejarlopara más

adelante!

Plan y enfoque

del proyecto

31.121.1.Fecha dereporte



29 de abril de 2004

Documentar controles

31.1231.121.1.1.1. Fecha deFecha dereportereporte

Plan y enfoque

del proyecto



29 de abril de 2004


Evaluardiseño

decontroles


Plan y enfoque

del proyecto



29 de abril de 2004


Evaluardiseño

decontroles

ControlesControlesclaveclaveDeficienciasDeficiencias


Plan y enfoque

del proyecto



29 de abril de 2004


Evaluardiseño

decontroles


Evaluarimpacto


Plan y enfoque

del proyecto



29 de abril de 2004


Evaluardiseño

decontroles


Evaluarimpacto

Remediar oimplantarcontroles

alternativos


Plan y enfoque

del proyecto



29 de abril de 2004


Evaluardiseño

decontroles


Evaluarimpacto


alternativos


Plan y enfoque

del proyecto



29 de abril de 2004

Probar efectividadoperativa

de controles


Evaluardiseño

decontroles


Evaluarimpacto


alternativos


Plan y enfoque

del proyecto



29 de abril de 2004


de controles


Evaluardiseño

decontroles


Evaluarimpacto


alternativos


Tab

lero

de

cont

rol

Plan y enfoque

del proyecto



29 de abril de 2004


de controles


Evaluardiseño

decontroles

• Actualizar la evaluación• Cubrir procesos de cierre

Actualizar pruebas


Evaluarimpacto


alternativos


Tab

lero

de

cont

rol

Plan y enfoque

del proyecto



29 de abril de 2004


de controles


Evaluardiseño

decontroles


Actualizar pruebas


Evaluarimpacto


alternativos


Tab

lero

de

cont

rol

Monitoreo continuoMedidas correctivas implantadas

Cambios (procesos, controles, gente, etc.)Nuevos problemas identificados

Plan y enfoque

del proyecto


de controles


Evaluardiseño

decontroles


Actualizar pruebas

Inputs adicionales• Ajustes• Auditorías

evaluación dedebilidades y su impacto

Identificación de cambios y su impacto

“ManagementAssertion”


Evaluarimpacto


alternativos


Tab

lero

de

cont

rol



Plan y enfoque

del proyecto


de controles


Evaluardiseño

decontroles


Actualizar pruebas

InformesInformes404404


Evaluarimpacto


alternativos


Tab

lero

de

cont

rol



Plan y enfoque

del proyecto





Plan y enfoque

del proyecto


de controles


Evaluardiseño

decontroles


Actualizar pruebas

InformesInformes404404


Evaluarimpacto


alternativos


Tab

lero

de

cont

rol







1. Asignar un equipo de proyecto sólido! Compromiso y soporte de la alta gerencia

" “Disclosure Committe” o equivalente! Líder del proyecto con “empowerment” y proactividad! Equipo multi-funcional

" Contraloría" Unidades de negocio clave" TI" Auditoría Interna

2. Establecer mecanismos de control del proyecto" Proyectos complejos: oficina de soporte" Proceso de aseguramiento de calidad

3. Definir prácticas de evaluación alineadas a la cultura de la organización! “Self-assessment”

" Talleres" Mecanismos para evitar el sesgo en las evaluaciones

! Algunas organizaciones no tienen la madurez necesaria" Enfoque más tradicional

Definir el enfoque, equipo y plan de proyecto apropiados

1

Buenas prácticas relativas al proyecto

4. Definir prácticas de documentación de la evaluación! estandarizar! Pero mantener flexibilidad! Las normas de Sox 404 no prescriben ninguna práctica en particular

" Flujogramas" Narrativas" Matrices de riesgos y controles

5. Definir un cronograma realista! Identificar claramente las actividades del proyecto! Asignar tiempos razonables a las mismas! Entender y considerar las dependencias! No dejar que las actividades se desfasen hacia finales del ejercicio! Prever “colchones” para reprocesos! Prever “colchones” para amortiguar retrasos

6. Comunicar y entrenar

! Explicar la importancia del requerimiento del cumplimiento! Recordar que muchas personas no tienen los conocimientos y

destrezas apropiados

Definir el enfoque, equipo y plan de proyecto apropiados

1C

ont…

página 35

29 de abril de 2004

Identificar cuentas significativas

Determinar procesos, sistemas y áreas a ser evaluados

2C

ont…



29 de abril de 2004

Riesgo de error material > remoto



2



29 de abril de 2004

Con

t…

Tab

lero

de

con

tro

l

Relacionar• Componentes de los EEFF,

cuentas importantes y notas• Aserciones relevantes

implícitas en los mismos

• Procesos y sistemas que generan la información




2C

ont…



29 de abril de 2004



29 de abril de 2004

- Existencia u ocurrencia- Integridad- Valuación- Derechos / obligaciones-Presentación








2C

ont…



29 de abril de 2004



29 de abril de 2004

El estándar requiere la evaluación de los controles relativos a todaslas aserciones relevantes referidas a todos los rubros y revelaciones en los estados financieros

- Existencia u ocurrencia- Integridad- Valuación- Derechos / obligaciones- Presentación








2C

ont…



29 de abril de 2004



29 de abril de 2004

Considerar todas las áreas prescriptas en el estándar

3








2 Cont…



29 de abril de 2004



29 de abril de 2004

Controles sobre:• Transacciones

- Inicio- Autorización- Registro- Procesamiento- Reporte


3








2 Cont…



29 de abril de 2004



29 de abril de 2004

- Operaciones- Desarrollo / Implantación- Mantenimiento- Seguridad- DRP no incluido

Controles sobre:• Transacciones• Tecnología


3








2 Cont…



29 de abril de 2004



29 de abril de 2004

- Ambiente de control- evaluación de riesgos- Controles de monitoreo- Monitoreo de controles- Procesos de cierre- Políticas corporativas- Comité de Auditoría- Codigo de conducta- “Whistle-blowing”

Controles sobre:• Transacciones• Tecnología

““Company-level controls”


3








2 Cont…



29 de abril de 2004



29 de abril de 2004

Controles sobre:•Transacciones•Tecnología

“Company-level controls”Controles sobre transacciones no rutinarias


3








2 Cont…



29 de abril de 2004



29 de abril de 2004








2

Controles sobre:•Transacciones•Tecnología

“Company-level controls”Controles sobre transacciones no rutinariasControles antifraude


3

Cont…



29 de abril de 2004



29 de abril de 2004

4 Establecer el marcode la evaluación

COSOGrado necesario de customizaciónRequerimientos de NYSERequerimientos regulatoriosCOBIT y otros estándares para TI

Cont…



29 de abril de 2004



29 de abril de 2004

• Ambiente de control• evaluación de riesgo• Actividades de control• información y

comunicación• Monitoreo de controles



Cont…



29 de abril de 2004



29 de abril de 2004

5 Definir el alcance de la evaluación

Asegurar una adecuada cobertura de entidades y locaciones





Cont…



29 de abril de 2004



29 de abril de 2004

• Regla del 70 %• Grado de cobertura de las restantes

unidades de negocio y locaciones• Requerimientos de documentación

mínima• Enfoque para entidades con un alto

número de locaciones







Cont…



29 de abril de 2004

Dificultades más comunes Finding: Nearly 3.4 of respondents have seen a significant increase in the level of effort required to comply with Sarbanes-Oxley 404, as compared with their original estimates. About 1/3 have seen an increase on the order of 25%, another 1/3 have seen an increase on the order of 50% and the remainder have seen an increase on the order of 75% or more.

Increase in estimated level of effort to comply with section 404

73%

22%

5%

Yes

No

Don´t Know

10%

5%

15%

37%

33%

About 25%

About 50%

About 75%

About 100%

More than 100%

If Yes, Percentage IncreaseSignificant increase?

Cont...

Finding: While 95% of executives expect their companies to meet the deadline for Section 404 compliance, more than half of those expect it will be difficult to do so.

Concerns about Company´s Ability to Meet its Deadline for 404 Compliance

31%

64%

5%

Confident will meetdeadline WITHOUTdifficulty

Confident will meetdeadline WITH difficulty

Concerned about ability tomeet deadline



29 de abril de 2004

Cont...

• Finding: Respondents reported their company has had the most difficulty in preparing for the 404 management

• assertion in the following three áreas:

– Level of testing needed (69%)– Level of documentation needed (69%)– Evaluating or identifying internal control deficiencies (39%)



29 de abril de 2004

Cont...

PwC Comment: The fact that most survey respondents rated documentation and testing as posing the most difficulty probably reflects the implementation stage they are in today. As they getcloser to making the management assertion, companies are going to recognize that identifying and evaluating the significance of internal control deficiencies is one of the most difficult steps they have to take because of the judgment involved.

Cont...

Finding: Respondents reported their company has had difficulty in preparing for the management assertion in the following areas:

• Level of testing needed (94%)• Level of documentation needed (89%)• Multiple locations (65%)• Evaluating or identifying internal control deficiencies (63%)• Initial scoping: significant accounts, control activities, financial

statement assertions (59%)• Outsourced processes (46%)• Global support (35%)• Specialty processes such as treasury, tax (33%)

Cont...

Finding: Most respondents reported that they expect their company’s testing to be more extensive (e.g., sample sizes/number of items to be tested for each control) than the testing they anticipate their company’s external auditor will perform.

How Much Testing – Compared with Testing Respondents

Anticipate Companyps External Auditor will Perform?

12%

29%59%

Company w ill test less than external auditor

Company w ill test approximately the same number ofitems for each control as external auditor

Company w ill test more than external auditor



29 de abril de 2004

Cont...

Finding: Respondents reported that áreas in which their companies are likely to need to fix problems in order to comply with Section 404 of Sarbanes-Oxley include:

• Manual controls over significant transactions (72%)• Computer controls, not including security (65%)• Security controls (54%)• Fraud programs (44%)• Financial reporting process (35%)• Audit committee oversight (13%)

Cont...Finding: Nearly 90% of companies had acquired or were planning to acquire new technology for compliance withSarbanes-Oxley. Further, more than 45% of executives view the use of technology as an essential facilitator of compliance with Sarbanes-Oxley.

Use of Technology to Facilitate SO Compliance

Acquired?

89%

11%

Yes No

Importance?

47%

36%

15%2%

Essential

Very Important

Somewhat Important

Not important



29 de abril de 2004

Documentación de controles1

• Insuficiente nivel de detalle

• ¿Cómo? ¿Dónde? ¿Quién?• ¿Evidencia? ¿Supervisión?• ¿Frecuencia? ¿Atributos?• Mapeo a transacciones en los

sistemas

• Falta de políticas y procedimientos escritos en áreas importantes

Dificultades más comunes



29 de abril de 2004

POSIBLES CONSECUENCIAS

Dificultades para ejecutar “Walk-throughs”y otras actividades de la auditoría externa

Falta de información para la evaluación de diseño de controles

Opinión adversa sobre:• el proceso seguido por la gerencia• la efectividad del control interno

1

• Insuficiente nivel de detalle

• ¿Cómo? ¿Dónde? ¿Quién?• ¿Evidencia? ¿Supervisión?• ¿Frecuencia? ¿Atributos?• Mapeo a transacciones en los

sistemas

• Falta de políticas y procedimientos escritos en áreas importantes

Documentación de controles

Cont…

• Objetivos de control no definidos o bien ambiguos

• Factores de riesgo no identificados o bien redundantes

• Falta de escepticismo en la evaluación

• Falta de involucramiento de personas con conocimientos y destrezas de control

• No consideración de la curva de aprendizaje

• No se identifican adecuadamente los controles clave

• Inadecuada consideración de aspectos de segregación de funciones

Evaluación del diseño de controles2

Cont…



29 de abril de 2004

• Inadecuada consideración de las autorizaciones reflejadas en los perfiles de seguridad

• Informes de SAS 70 para procesos y servicios tercerizados

• No se identifican deficiencias de control interno

• No se evalúa adecuadamente su impacto

• Falta de actividades de corroboración de los controles identificados

• Evaluación del diseño no documentada/ documentación incompleta


Cont…



29 de abril de 2004

POSIBLES CONSECUENCIAS

• Proceso inadecuado• Falta de sustento para el

“Management Assertion”• Eventualmente, opinión adversa

sobre el proceso• Debilidades no identificadas

• “Management Assertion” erróneo

• Dificultades para determinar las pruebas requeridas

• Mayor esfuerzo de prueba• Sorpresas de último minuto

• En las pruebas• Durante la auditoría

• Limitaciones al alcance de la auditoría externa

• Eventualmente:• Imposibilidad de opinar sobre los

controles• Opinión adversa

• Inadecuada consideración de las autorizaciones reflejadas en los perfiles de seguridad

• Informes de SAS 70 para procesos y servicios tercerizados

• No se identifican deficiencias de control interno

• No se evalúa adecuadamente su impacto

• Falta de actividades de corroboración de los controles identificados

• Evaluación del diseño no documentada/ documentación incompleta


Cont…



29 de abril de 2004

¡¡¡¡ Conforme con la redacción actual del estándar, UNA sola deficiencia material basta para originar una opinión ADVERSA!!!!

A MATERIAL WEAKNESS is a significant deficiency or combination of significant deficiencies, that results in more than a remote likelihood that a material misstatement of the annual or interim financial statements will not be prevented or detected.

A SIGNIFICANT DEFFICIENY is an internal control deficiency, or combination of control deficiencies, that adversely affects the company’s ability to initiate, record, process, or report external financial data reliably in accordance with GAAP such that there is more than a remote likelihood that a misstatement of the annual or interim financial statements that is more than inconsequential in amount will not be prevented or detected.

Evaluación del impacto de deficiencias3

LAS DEFINICIONES DEL ESTÁNDAR RESULTARÁN EN LA IDENTIFICACIÓN DE UN MAYOR NUMERO DE DEBILIDADES POTENCIALMENTE REPORTABLES

Cont…



29 de abril de 2004

• ¡¡¡La mayoría de las empresas no ha llegado aún a esta etapa!!!

Pruebas de controles4

Cont…



29 de abril de 2004

• Planes de prueba inadecuados

• Alcances insuficientes

• Uso de personal no entrenado

• Sesgo en la ejecución de las pruebas

• No existe evidencia apropiada de la ejecución de los controles

• Nivel de excepciones aceptado > 10%

• Documentación soporte de las pruebas insuficiente o inadecuada


Cont…


POSIBLES CONSECUENCIASPOSIBLES CONSECUENCIAS

• Proceso inadecuado• Falta de sustento para el

“Management Assertion”• Eventualmente, opinión adversa

sobre el proceso• Problemas de cumplimiento no

identificados• “Management Assertion”

erróneo• Tiempos adicionales significativos en

el trabajo de auditoría externa• Limitaciones al alcance de la

auditoría externa• Eventualmente:

• Imposibilidad de opinar sobre los controles

• Opinión adversa

• Planes de prueba inadecuados

• Alcances insuficientes

• Uso de personal no entrenado

• Sesgo en la ejecución de las pruebas

• No existe evidencia apropiada de la ejecución de los controles

• Nivel de excepciones aceptado > 10%

• Documentación soporte de las pruebas insuficiente o inadecuada


Cont…




29 de abril de 2004

¿Preguntas?

sarbanes oxley: un nuevo reto - introducciónpd] documen… · ley sarbanes-oxley • reforma más...

Documents