Post on 18-Apr-2020
PwC*connectedthinking
*
Sarbanes Oxley:un nuevo reto*
29 de Abril de 2004
PwC*connectedthinking
Age
nda 1. Requerimientos e importancia de la
regulación2. Punto de vista de PwC sobre el
proceso de cumplimiento requerido3. Dificultades más comunes que se
observan4. Sesión de preguntas y respuestas
página 2
29 de abril de 2004
página 3PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Ley Sarbanes-Oxley
Ejecutivos Consejo Auditores Analistas Inversionistas
Emisores de estándares
Reguladores
Tecnologías
Ley Sarbanes-Oxley
página 4PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Ejecutivos Consejo Auditores Analistas Inversionistas
Emisores de estándares
Reguladores
Tecnologías
Ley Sarbanes-Oxley
página 5PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Ejecutivos Consejo Auditores Analistas Inversionistas
Emisores de estándares
Reguladores
Tecnologías
Ley Sarbanes-Oxley
página 6PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Ejecutivos Consejo Auditores Analistas Inversionistas
Emisores de estándares
Reguladores
Tecnologías
Ley Sarbanes-Oxley
página 7PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Ejecutivos Consejo Auditores Analistas Inversionistas
Emisores de estándares
Reguladores
Tecnologías
Ley Sarbanes-Oxley
página 8PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Ejecutivos Consejo Auditores Analistas Inversionistas
Emisores de estándares
Reguladores
Tecnologías
Ley Sarbanes-Oxley
página 9PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Ejecutivos Consejo Auditores Analistas Inversionistas
Emisores de estándares
Reguladores
Tecnologías
Ley Sarbanes-Oxley
página 10PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Ley Sarbanes-Oxley
• Reforma más significativa a las leyes de valores y al entorno regulatorio de las empresas públicas
• Objetivo enunciado: Restaurar la confianza en la información financiera que éstas presentan
• Cambio fundamental en cómo los Comités de Auditoría, la Administración y los Auditores cumplen sus responsabilidades e interactúan
• Establece un nuevo paradigma corporativo sobre responsabilidad, medición, transparencia y conducta
• Inicio de una nueva era en materia regulatoria
página 11
29 de abril de 2004
• Título I – Public Company Accounting Oversight Board
• Título II – Independencia de los Auditores
• Título III – Responsabilidad Corporativa
• Título IV – Revelaciones adicionales
• Título V – Conflictos de interés de analistas• Título VI – Autoridad y recursos de la SEC
• Título VII – Estudios adicionales requeridos• Título VIII – Fraude Corporativo
• Título IX – Responsabilidades Penales
• Título X – Declaraciones Jurídicas Fiscales• Título XI – Fraudes Corporativos
Ley
Sar
bane
s-O
xley
página 12
29 de abril de 2004
Certificaciones del CEO y CFO
La ley establece tres requerimientos relevantes en relación con la confiabilidad de la información financiera y los procesos que la generan• Veracidad de la información presentada
– Sección 9061
• Calidad de los procesos de emisión de información y los controles internos
– Sección 4042
– Sección 3021
1 Vigentes, deben presentarse con cada 10 K / 10 Q (emisores domésticos) o 20 F o registro intermedio (emisores extranjeros)
2 Vigencia para FY 04 (emisores domésticos) o FY 05 (emisores extranjeros)
Cont...
Sección 404• Vigente a partir del FY 04 (emisores domésticos) – FY 05
(emisores extranjeros)• Cada reporte anual debe incluir un informe de la gerencia:
– Aceptando su responsabilidad por establecer y mantener una estructura adecuada de control y procedimientos para reporte (incluyendo controles sobre salvaguarda de activos)
– Conteniendo su evaluación respecto de la efectividad de dichos controles y procedimientos al cierre del ejercicio
• Los auditores externos deberán emitir un informe de “attestation” relativo a las manifestaciones de la gerencia, basado en las reglas recientemente emitidas por el PCAOB
página 14PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Cont...
Sección 404Los Auditores deberán reportar• El ALCANCE de las pruebas del control interno y
procedimientos aplicados • Los RESULTADOS de las pruebas de controles• Su EVALUACIÓN acerca de si los procedimientos y controles
proveen razonable seguridad acerca del registro de transacciones para permitir la preparación de estados financieros de acuerdo con PCGA, la autorización de ingresos y gastos, y la salvaguarda de activos
• La DESCRIPCIÓN de cualquier debilidad significativa o incumplimiento relevante detectados
página 15PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Cont...
• No basta con certificaciones (“roll-up”) hacia el CEO y CFO
• Nada sustituye a la debida diligencia de los mismos• No basta con algún tipo de “negative assurance” de
Auditoría Interna o del Auditor Externo
¿Qué se requiere ? • Implantar un proceso adecuado• Basado en los requerimientos del estándar del
PCAOB
página 16PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 17PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Actividades a realizar por la gerencia
• Establecer y comunicar estándares
• Mapear componentes de los E/F
• Documentar procesos, políticas y procedimientos
• Documentar controles
• Evaluar su diseño
• Probar su efectividad
• Formular “Management Assertion”
• Implantar un proceso de monitoreo continuo
Actividades a realizar por el Auditor
• Walk-throughs
• Evaluar el diseño de los controles
• Evaluar el impacto de debilidades
• Probar los controles clave
• Informe de Attestation
página 18PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
¡Podemos dejarlopara más
adelante!
Plan y enfoque
del proyecto
31.121.1.Fecha dereporte
página 20PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Documentar controles
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Plan y enfoque
del proyecto
página 21PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Documentar controles
Evaluardiseño
decontroles
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Plan y enfoque
del proyecto
página 22PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Documentar controles
Evaluardiseño
decontroles
ControlesControlesclaveclaveDeficienciasDeficiencias
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Plan y enfoque
del proyecto
página 23PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Documentar controles
Evaluardiseño
decontroles
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Plan y enfoque
del proyecto
página 24PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Documentar controles
Evaluardiseño
decontroles
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
Remediar oimplantarcontroles
alternativos
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Plan y enfoque
del proyecto
página 25PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Documentar controles
Evaluardiseño
decontroles
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
Remediar oimplantarcontroles
alternativos
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Plan y enfoque
del proyecto
página 26PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Probar efectividadoperativa
de controles
Documentar controles
Evaluardiseño
decontroles
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
Remediar oimplantarcontroles
alternativos
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Plan y enfoque
del proyecto
página 27PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Probar efectividadoperativa
de controles
Documentar controles
Evaluardiseño
decontroles
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
Remediar oimplantarcontroles
alternativos
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Tab
lero
de
cont
rol
Plan y enfoque
del proyecto
página 28PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Probar efectividadoperativa
de controles
Documentar controles
Evaluardiseño
decontroles
• Actualizar la evaluación• Cubrir procesos de cierre
Actualizar pruebas
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
Remediar oimplantarcontroles
alternativos
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Tab
lero
de
cont
rol
Plan y enfoque
del proyecto
página 29PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Probar efectividadoperativa
de controles
Documentar controles
Evaluardiseño
decontroles
• Actualizar la evaluación• Cubrir procesos de cierre
Actualizar pruebas
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
Remediar oimplantarcontroles
alternativos
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Tab
lero
de
cont
rol
Monitoreo continuoMedidas correctivas implantadas
Cambios (procesos, controles, gente, etc.)Nuevos problemas identificados
Plan y enfoque
del proyecto
Probar efectividadoperativa
de controles
Documentar controles
Evaluardiseño
decontroles
• Actualizar la evaluación• Cubrir procesos de cierre
Actualizar pruebas
Inputs adicionales• Ajustes• Auditorías
evaluación dedebilidades y su impacto
Identificación de cambios y su impacto
“ManagementAssertion”
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
Remediar oimplantarcontroles
alternativos
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Tab
lero
de
cont
rol
Monitoreo continuoMedidas correctivas implantadas
Cambios (procesos, controles, gente, etc.)Nuevos problemas identificados
Plan y enfoque
del proyecto
Probar efectividadoperativa
de controles
Documentar controles
Evaluardiseño
decontroles
• Actualizar la evaluación• Cubrir procesos de cierre
Actualizar pruebas
InformesInformes404404
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
Remediar oimplantarcontroles
alternativos
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Tab
lero
de
cont
rol
Monitoreo continuoMedidas correctivas implantadas
Cambios (procesos, controles, gente, etc.)Nuevos problemas identificados
Plan y enfoque
del proyecto
Inputs adicionales• Ajustes• Auditorías
evaluación dedebilidades y su impacto
Identificación de cambios y su impacto
“ManagementAssertion”
Plan y enfoque
del proyecto
Probar efectividadoperativa
de controles
Documentar controles
Evaluardiseño
decontroles
• Actualizar la evaluación• Cubrir procesos de cierre
Actualizar pruebas
InformesInformes404404
ControlesControlesclaveclaveDeficienciasDeficiencias
Evaluarimpacto
Remediar oimplantarcontroles
alternativos
31.1231.121.1.1.1. Fecha deFecha dereportereporte
Tab
lero
de
cont
rol
Monitoreo continuoMedidas correctivas implantadas
Cambios (procesos, controles, gente, etc.)Nuevos problemas identificados
Inputs adicionales• Ajustes• Auditorías
evaluación dedebilidades y su impacto
Identificación de cambios y su impacto
“ManagementAssertion”
1. Asignar un equipo de proyecto sólido! Compromiso y soporte de la alta gerencia
" “Disclosure Committe” o equivalente! Líder del proyecto con “empowerment” y proactividad! Equipo multi-funcional
" Contraloría" Unidades de negocio clave" TI" Auditoría Interna
2. Establecer mecanismos de control del proyecto" Proyectos complejos: oficina de soporte" Proceso de aseguramiento de calidad
3. Definir prácticas de evaluación alineadas a la cultura de la organización! “Self-assessment”
" Talleres" Mecanismos para evitar el sesgo en las evaluaciones
! Algunas organizaciones no tienen la madurez necesaria" Enfoque más tradicional
Definir el enfoque, equipo y plan de proyecto apropiados
1
Buenas prácticas relativas al proyecto
4. Definir prácticas de documentación de la evaluación! estandarizar! Pero mantener flexibilidad! Las normas de Sox 404 no prescriben ninguna práctica en particular
" Flujogramas" Narrativas" Matrices de riesgos y controles
5. Definir un cronograma realista! Identificar claramente las actividades del proyecto! Asignar tiempos razonables a las mismas! Entender y considerar las dependencias! No dejar que las actividades se desfasen hacia finales del ejercicio! Prever “colchones” para reprocesos! Prever “colchones” para amortiguar retrasos
6. Comunicar y entrenar
! Explicar la importancia del requerimiento del cumplimiento! Recordar que muchas personas no tienen los conocimientos y
destrezas apropiados
Definir el enfoque, equipo y plan de proyecto apropiados
1C
ont…
página 35
29 de abril de 2004
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2C
ont…
página 36PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2
página 37PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Con
t…
Tab
lero
de
con
tro
l
Relacionar• Componentes de los EEFF,
cuentas importantes y notas• Aserciones relevantes
implícitas en los mismos
• Procesos y sistemas que generan la información
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2C
ont…
página 38PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 39PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
- Existencia u ocurrencia- Integridad- Valuación- Derechos / obligaciones-Presentación
Relacionar• Componentes de los EEFF,
cuentas importantes y notas• Aserciones relevantes
implícitas en los mismos
• Procesos y sistemas que generan la información
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2C
ont…
página 39PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 40PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
El estándar requiere la evaluación de los controles relativos a todaslas aserciones relevantes referidas a todos los rubros y revelaciones en los estados financieros
- Existencia u ocurrencia- Integridad- Valuación- Derechos / obligaciones- Presentación
Relacionar• Componentes de los EEFF,
cuentas importantes y notas• Aserciones relevantes
implícitas en los mismos
• Procesos y sistemas que generan la información
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2C
ont…
página 40PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 41PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Considerar todas las áreas prescriptas en el estándar
3
Relacionar• Componentes de los EEFF,
cuentas importantes y notas• Aserciones relevantes
implícitas en los mismos
• Procesos y sistemas que generan la información
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2 Cont…
página 41PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 42PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Controles sobre:• Transacciones
- Inicio- Autorización- Registro- Procesamiento- Reporte
Considerar todas las áreas prescriptas en el estándar
3
Relacionar• Componentes de los EEFF,
cuentas importantes y notas• Aserciones relevantes
implícitas en los mismos
• Procesos y sistemas que generan la información
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2 Cont…
página 42PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 43PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
- Operaciones- Desarrollo / Implantación- Mantenimiento- Seguridad- DRP no incluido
Controles sobre:• Transacciones• Tecnología
Considerar todas las áreas prescriptas en el estándar
3
Relacionar• Componentes de los EEFF,
cuentas importantes y notas• Aserciones relevantes
implícitas en los mismos
• Procesos y sistemas que generan la información
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2 Cont…
página 43PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 44PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
- Ambiente de control- evaluación de riesgos- Controles de monitoreo- Monitoreo de controles- Procesos de cierre- Políticas corporativas- Comité de Auditoría- Codigo de conducta- “Whistle-blowing”
Controles sobre:• Transacciones• Tecnología
““Company-level controls”
Considerar todas las áreas prescriptas en el estándar
3
Relacionar• Componentes de los EEFF,
cuentas importantes y notas• Aserciones relevantes
implícitas en los mismos
• Procesos y sistemas que generan la información
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2 Cont…
página 44PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 45PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Controles sobre:•Transacciones•Tecnología
“Company-level controls”Controles sobre transacciones no rutinarias
Considerar todas las áreas prescriptas en el estándar
3
Relacionar• Componentes de los EEFF,
cuentas importantes y notas• Aserciones relevantes
implícitas en los mismos
• Procesos y sistemas que generan la información
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2 Cont…
página 45PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 46PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Relacionar• Componentes de los EEFF,
cuentas importantes y notas• Aserciones relevantes
implícitas en los mismos
• Procesos y sistemas que generan la información
Riesgo de error material > remoto
Identificar cuentas significativas
Determinar procesos, sistemas y áreas a ser evaluados
2
Controles sobre:•Transacciones•Tecnología
“Company-level controls”Controles sobre transacciones no rutinariasControles antifraude
Considerar todas las áreas prescriptas en el estándar
3
Cont…
página 46PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 47PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
4 Establecer el marcode la evaluación
COSOGrado necesario de customizaciónRequerimientos de NYSERequerimientos regulatoriosCOBIT y otros estándares para TI
Cont…
página 47PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 48PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
• Ambiente de control• evaluación de riesgo• Actividades de control• información y
comunicación• Monitoreo de controles
4 Establecer el marcode la evaluación
COSOGrado necesario de customizaciónRequerimientos de NYSERequerimientos regulatoriosCOBIT y otros estándares para TI
Cont…
página 48PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 49PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
5 Definir el alcance de la evaluación
Asegurar una adecuada cobertura de entidades y locaciones
• Ambiente de control• evaluación de riesgo• Actividades de control• información y
comunicación• Monitoreo de controles
4 Establecer el marcode la evaluación
COSOGrado necesario de customizaciónRequerimientos de NYSERequerimientos regulatoriosCOBIT y otros estándares para TI
Cont…
página 49PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 50PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
• Regla del 70 %• Grado de cobertura de las restantes
unidades de negocio y locaciones• Requerimientos de documentación
mínima• Enfoque para entidades con un alto
número de locaciones
5 Definir el alcance de la evaluación
Asegurar una adecuada cobertura de entidades y locaciones
• Ambiente de control• evaluación de riesgo• Actividades de control• información y
comunicación• Monitoreo de controles
4 Establecer el marcode la evaluación
COSOGrado necesario de customizaciónRequerimientos de NYSERequerimientos regulatoriosCOBIT y otros estándares para TI
Cont…
página 50PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
página 51PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
• Regla del 70 %• Grado de cobertura de las restantes
unidades de negocio y locaciones• Requerimientos de documentación
mínima• Enfoque para entidades con un alto
número de locaciones
5 Definir el alcance de la evaluación
Asegurar una adecuada cobertura de entidades y locaciones
• Ambiente de control• evaluación de riesgo• Actividades de control• información y
comunicación• Monitoreo de controles
4 Establecer el marcode la evaluación
COSOGrado necesario de customizaciónRequerimientos de NYSERequerimientos regulatoriosCOBIT y otros estándares para TI
Cont…
página 51PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Dificultades más comunes Finding: Nearly 3.4 of respondents have seen a significant increase in the level of effort required to comply with Sarbanes-Oxley 404, as compared with their original estimates. About 1/3 have seen an increase on the order of 25%, another 1/3 have seen an increase on the order of 50% and the remainder have seen an increase on the order of 75% or more.
Increase in estimated level of effort to comply with section 404
73%
22%
5%
Yes
No
Don´t Know
10%
5%
15%
37%
33%
About 25%
About 50%
About 75%
About 100%
More than 100%
If Yes, Percentage IncreaseSignificant increase?
Cont...
Finding: While 95% of executives expect their companies to meet the deadline for Section 404 compliance, more than half of those expect it will be difficult to do so.
Concerns about Company´s Ability to Meet its Deadline for 404 Compliance
31%
64%
5%
Confident will meetdeadline WITHOUTdifficulty
Confident will meetdeadline WITH difficulty
Concerned about ability tomeet deadline
página 54PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Cont...
• Finding: Respondents reported their company has had the most difficulty in preparing for the 404 management
• assertion in the following three áreas:
– Level of testing needed (69%)– Level of documentation needed (69%)– Evaluating or identifying internal control deficiencies (39%)
página 55PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Cont...
PwC Comment: The fact that most survey respondents rated documentation and testing as posing the most difficulty probably reflects the implementation stage they are in today. As they getcloser to making the management assertion, companies are going to recognize that identifying and evaluating the significance of internal control deficiencies is one of the most difficult steps they have to take because of the judgment involved.
Cont...
Finding: Respondents reported their company has had difficulty in preparing for the management assertion in the following areas:
• Level of testing needed (94%)• Level of documentation needed (89%)• Multiple locations (65%)• Evaluating or identifying internal control deficiencies (63%)• Initial scoping: significant accounts, control activities, financial
statement assertions (59%)• Outsourced processes (46%)• Global support (35%)• Specialty processes such as treasury, tax (33%)
Cont...
Finding: Most respondents reported that they expect their company’s testing to be more extensive (e.g., sample sizes/number of items to be tested for each control) than the testing they anticipate their company’s external auditor will perform.
How Much Testing – Compared with Testing Respondents
Anticipate Companyps External Auditor will Perform?
12%
29%59%
Company w ill test less than external auditor
Company w ill test approximately the same number ofitems for each control as external auditor
Company w ill test more than external auditor
página 58PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Cont...
Finding: Respondents reported that áreas in which their companies are likely to need to fix problems in order to comply with Section 404 of Sarbanes-Oxley include:
• Manual controls over significant transactions (72%)• Computer controls, not including security (65%)• Security controls (54%)• Fraud programs (44%)• Financial reporting process (35%)• Audit committee oversight (13%)
Cont...Finding: Nearly 90% of companies had acquired or were planning to acquire new technology for compliance withSarbanes-Oxley. Further, more than 45% of executives view the use of technology as an essential facilitator of compliance with Sarbanes-Oxley.
Use of Technology to Facilitate SO Compliance
Acquired?
89%
11%
Yes No
Importance?
47%
36%
15%2%
Essential
Very Important
Somewhat Important
Not important
página 60PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
Documentación de controles1
• Insuficiente nivel de detalle
• ¿Cómo? ¿Dónde? ¿Quién?• ¿Evidencia? ¿Supervisión?• ¿Frecuencia? ¿Atributos?• Mapeo a transacciones en los
sistemas
• Falta de políticas y procedimientos escritos en áreas importantes
Dificultades más comunes
página 61PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
POSIBLES CONSECUENCIAS
Dificultades para ejecutar “Walk-throughs”y otras actividades de la auditoría externa
Falta de información para la evaluación de diseño de controles
Opinión adversa sobre:• el proceso seguido por la gerencia• la efectividad del control interno
1
• Insuficiente nivel de detalle
• ¿Cómo? ¿Dónde? ¿Quién?• ¿Evidencia? ¿Supervisión?• ¿Frecuencia? ¿Atributos?• Mapeo a transacciones en los
sistemas
• Falta de políticas y procedimientos escritos en áreas importantes
Documentación de controles
Cont…
• Objetivos de control no definidos o bien ambiguos
• Factores de riesgo no identificados o bien redundantes
• Falta de escepticismo en la evaluación
• Falta de involucramiento de personas con conocimientos y destrezas de control
• No consideración de la curva de aprendizaje
• No se identifican adecuadamente los controles clave
• Inadecuada consideración de aspectos de segregación de funciones
Evaluación del diseño de controles2
Cont…
página 63PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
• Inadecuada consideración de las autorizaciones reflejadas en los perfiles de seguridad
• Informes de SAS 70 para procesos y servicios tercerizados
• No se identifican deficiencias de control interno
• No se evalúa adecuadamente su impacto
• Falta de actividades de corroboración de los controles identificados
• Evaluación del diseño no documentada/ documentación incompleta
Evaluación del diseño de controles2
Cont…
página 64PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
POSIBLES CONSECUENCIAS
• Proceso inadecuado• Falta de sustento para el
“Management Assertion”• Eventualmente, opinión adversa
sobre el proceso• Debilidades no identificadas
• “Management Assertion” erróneo
• Dificultades para determinar las pruebas requeridas
• Mayor esfuerzo de prueba• Sorpresas de último minuto
• En las pruebas• Durante la auditoría
• Limitaciones al alcance de la auditoría externa
• Eventualmente:• Imposibilidad de opinar sobre los
controles• Opinión adversa
• Inadecuada consideración de las autorizaciones reflejadas en los perfiles de seguridad
• Informes de SAS 70 para procesos y servicios tercerizados
• No se identifican deficiencias de control interno
• No se evalúa adecuadamente su impacto
• Falta de actividades de corroboración de los controles identificados
• Evaluación del diseño no documentada/ documentación incompleta
Evaluación del diseño de controles2
Cont…
página 65PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
¡¡¡¡ Conforme con la redacción actual del estándar, UNA sola deficiencia material basta para originar una opinión ADVERSA!!!!
A MATERIAL WEAKNESS is a significant deficiency or combination of significant deficiencies, that results in more than a remote likelihood that a material misstatement of the annual or interim financial statements will not be prevented or detected.
A SIGNIFICANT DEFFICIENY is an internal control deficiency, or combination of control deficiencies, that adversely affects the company’s ability to initiate, record, process, or report external financial data reliably in accordance with GAAP such that there is more than a remote likelihood that a misstatement of the annual or interim financial statements that is more than inconsequential in amount will not be prevented or detected.
Evaluación del impacto de deficiencias3
LAS DEFINICIONES DEL ESTÁNDAR RESULTARÁN EN LA IDENTIFICACIÓN DE UN MAYOR NUMERO DE DEBILIDADES POTENCIALMENTE REPORTABLES
Cont…
página 66PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
• ¡¡¡La mayoría de las empresas no ha llegado aún a esta etapa!!!
Pruebas de controles4
Cont…
página 66PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
• Planes de prueba inadecuados
• Alcances insuficientes
• Uso de personal no entrenado
• Sesgo en la ejecución de las pruebas
• No existe evidencia apropiada de la ejecución de los controles
• Nivel de excepciones aceptado > 10%
• Documentación soporte de las pruebas insuficiente o inadecuada
Pruebas de controles4
Cont…
• ¡¡¡La mayoría de las empresas no ha llegado aún a esta etapa!!!
POSIBLES CONSECUENCIASPOSIBLES CONSECUENCIAS
• Proceso inadecuado• Falta de sustento para el
“Management Assertion”• Eventualmente, opinión adversa
sobre el proceso• Problemas de cumplimiento no
identificados• “Management Assertion”
erróneo• Tiempos adicionales significativos en
el trabajo de auditoría externa• Limitaciones al alcance de la
auditoría externa• Eventualmente:
• Imposibilidad de opinar sobre los controles
• Opinión adversa
• Planes de prueba inadecuados
• Alcances insuficientes
• Uso de personal no entrenado
• Sesgo en la ejecución de las pruebas
• No existe evidencia apropiada de la ejecución de los controles
• Nivel de excepciones aceptado > 10%
• Documentación soporte de las pruebas insuficiente o inadecuada
Pruebas de controles4
Cont…
• ¡¡¡La mayoría de las empresas no ha llegado aún a esta etapa!!!
página 69PricewaterhouseCoopers
Sarbanes Oxley: un nuevo reto*
29 de abril de 2004
¿Preguntas?