Cap.17. SOX
0 recomendaciones1,121 vistas
El documento describe la Ley Sarbanes-Oxley (SOX) de 2002, la cual exige que las compañías que cotizan en bolsa establezcan controles internos efectivos sobre la información financiera. La SOX busca proteger a los inversionistas y mejorar la exactitud de la información pública de las corporaciones. La sección 404 requiere que la alta dirección evalúe y certifique la efectividad de los controles internos de la compañía sobre la información financiera.
Cap.17. SOX
- 1. Universidad Veracruzana •Carrión Mendiola Alina Leticia •Montalvo Sacramento Amayrani Samantha •Prieto Santos Ana Karen UNIDAD 4 Sergio Gómez Landero Pérez
- 2. Aprobada por el Congreso de Estados Unidos de Norte de América el 30 de julio del 2002 y es la norma de aplicación a todas las compañías que cotizan en la Bolsa de Valores de EEUU. La SOX dice “proteger a los inversionistas, mejorar la exactitud y confiabilidad de la información publicada por las corporaciones, y que la misma sea realizada de acuerdo a las leyes existentes”.
- 3. L a SOX exige básicamente la existencia de un sistema de control interno sobre la información de manera tal que si cualquier actividad dentro del desarrollo de los diferentes procesos del negocio de la empresa tuviera una ejecución no adecuada a las practicas formales y controladas, este evento pudiera ser detectado y corregido. CONTROL INTERNO DE COSO Necesidad de control de los informes financieros Cumplimiento legal Eficacia y eficiencia de las operaciones
- 4. SECCIÓN 404 En esta sección se promueven los mecanismos de supervisión y control para permitir el cumplimiento del espíritu de la ley en materia de transparencia. En esta sección se establece la responsabilidad de la alta dirección de la compañía para desarrollar, implantar y mantener una estructura de control interno adecuado para cumplir con los objetivos de la ley. En esta sección se debe garantizar: Todas las transacciones autorizadas Los activos se encuentren protegidos contra usos no autorizados Las transacciones estén correctamente registradas
- 5. La sección 404 exige a los Directivos que anualmente cumplan con: Declare su responsabilidad sobre el establecimiento, mantenimiento y operatividad de una estructura y unos procedimientos de control interno adecuados a efectos del informe financiero. Identifique el marco sobre el que opera para determinar las validez de los controles citados. Realice y soporte documentalmente la evaluación de la efectividad de los procedimientos y controles de la compañía. Su informe sea refrendado por su Auditor Externo.
- 6. Certificación por parte del CEO Y CFO del informe anual. Para cumplir con el objetivo principal de la ley se debe desagregar la empresa en los diferentes procesos de negocio que realiza, identificando las siguientes características: Riesgos del negocio y el impacto en sus procesos Procesos significativos en su impacto en estados contables Cuentas significativas
- 7. Las TSI son herramientas de gestión de información, su relación con los procesos- cuentas contables no es directa, sino que los procesos de TSI son soportes de la gestión de las cuentas (seguridad física del procesamiento de datos, calidad de copias de resguardo). Los procesos de TSI son agrupados por la PCAOB de la siguiente manera: Desarrollo de aplicaciones Control de cambios a producción Actividades de explotación de sistemas Accesos a programas y datos
- 9. El ITGI expone los controles de la siguiente manera: Controles de Entity Level Controles de Aplicación Controles generales de TSI • Son los controles que se vinculan a la estructura de control, análisis de riesgo, supervisión y comunicación e información del modelo COSO. • Se relacionan con las gestión de las normas, metodologías, formalización, difusión, seguimiento y actualización. • Son los controles que existen dentro de las aplicaciones que dan soporte a los procesos de negocio. • Controles que se realizan sobre los procesos de TSI y que son diseñados para dar garantía de que la gestión de los procesos de sistema se realizan de manera efectiva y controlada. • Son procesos generales de TSI
- 10. Objetivos de Control de TSI para SOX: 1. Adquisición y mantenimiento de aplicaciones de software 2. Adquisición y mantenimiento de la infraestructura tecnológica 3. Desarrollo de los procesos de TSI. Organización 4. Instalar y acreditar soluciones y cambio 5. Gestión de cambios 6. Definir y gestionar niveles de servicio 7. Gestionar servicios de terceras partes 8. Asegurar la seguridad de los sistemas 9. Gestión de las configuraciones 10. Gestión de problemas e incidencias 11. Gestión de datos 12. Gestión de entorno físico y operaciones
- 11. El ITGI nos dice que el PCAOB Auditing Standar Nro. 2 toca el tema de la relación entre las tecnologías de información y el control interno de la información financiera. El PCAOB dice: “… los controles deberían ser aprobados, incluyendo los controles sobre aseveraciones de importancia referidos a los informes relacionados con todas las cuentas significativas de la empresa, y con impacto en los estados financieros. Generalmente estos controles incluyen: Controles, incluidos los controles generales sobre las tecnologías de la información, de los cuales otros controles son dependientes.”
- 12. El PCAOB sienta las bases para describir el proceso mediante el cual los auditores deberán determinar los objetivos de control: Identificar las partidas significativas de los estados financieros Identificar las posibles aserciones erróneas Identificar las aserciones acertadas para evaluar entre otros, la naturaleza y complejidad de los sistemas, incluyendo el uso de TSI con las que se procesan y controlan Este estándar determina que es tarea del auditor analizar el alcance de las TSI en el proceso de cierre de la información financiera.
- 13. Se consideran deficiencias a las incidencias de control interno que puedan producir que una de las afirmaciones (errores potenciales) ocasionados por un riesgo no está cubierto por una actividad de control documentada, diseñada y que se opere correctamente durante un periodo de tiempo sustancial. La probabilidad de ocurrencia se gradúa en tres categorías: Remota Posible Probable Mientras que los errores pueden ser: Intrascendentes Trascendentes Materiales
- 14. Es una deficiencia de control, o combinación de deficiencias de control, que afecta de forma adversa a la capacidad de la compañía para iniciar, autorizar, registrar, procesar o reportar información financiera de manera fiable de acuerdo con los principios de contabilidad aceptados. DEFICIENCIA SIGNIFICATIVA DEBILIDAD MATERIAL Es una deficiencia significativa o combinación de las mismas, que llevan a que, una probabilidad superior a remota, no se pueda prevenir o detectar un error material.
- 15. Procesos inadecuadamente diseñados, con insuficientes actividades de control Diseño incorrecto de actividades de control Funcionamiento incorrecto de las actividades de control Actividades de control no documentadas Motivos de las deficiencias: