Embed Size (px)
Citation preview
MENU
Ley Sarbanes Oxley
Página Principal
Introducción
Ley Sarbanes-Oxley
Análisis de la ley
Impacto de la SOX en
el área informática
MENU
Introducción (1)
En el mundo se recuerda los escándalos contables de Enrom y Wordcom en Estados Unidos y Parmalat en Europa, éstos no fueron casos aislados, sino que fue la punta del iceberg de una grave crisis que venía desde una década atrás y que afectó la profesión contable en el mundo.
La responsabilidad de estos y otros escándalos
corporativos recayó, en gran medida, sobre las firmas de contadores ya que éstos asesoraban a estas empresas como auditoras, tal fue el caso de Arthur Andersen, firma que prestaba al mismo tiempo servicios contables y otros relacionados, enfrentando la independencia de sus criterios como auditores.
Introducción
MENU
Introducción (2)
Los daños causados económicamente fueron cuantiosos, sin embargo, el daño más grave fue producido por la pérdida de confianza de los inversionistas, lo que ocasionó una fuerte caída de la bolsa de valores y un temor generalizado de los inversionistas.
Debido a lo anterior el gobierno norteamericano
tomó cartas en el asunto, dando paso a una profunda reforma legislativa iniciada por su Congreso y la Comisión de Valores de los Estados Unidos (SEC), con el único fin de reestablecer la confianza en los informes financieros
corporativos.
Introducción
MENU
Introducción (3)
De esta manera nace la ley Sarbanes-Oxley, ( LEY SOX ) como una herramienta estatal para controlar las prácticas anti éticas en el mundo corporativo.
En ella se señalan los nuevos lineamientos en materia de Contaduría, Auditoria y manejo financiero al interior de las empresas.
Introducción
MENU
Mentalizadores: Fueron los representantes de los estados: Ohio y
Maryland, Michal G. Oxley y Paul Sarbanes siendo firmado, por parte del presidente, como ley el 30 de julio del 2002.
La Ley Sarbanes-Oxley (SOX) establece para las compañías cotizadas en las bolsas de valores de los EE.UU., la obligatoriedad de presentar una evaluación anual sobre la efectividad del control interno y su revisión por parte de una firma auditora.
Objetivo de la ley SOX: Generar un marco de transparencia para las
actividades y reportes financieros de las empresas que cotizan en Bolsa de valores y darle mayor certidumbre y confianza a inversionistas y al propio Estado.
Ley Sarbanes-Oxley
MENU
Alcance de la ley SOX (1)
Abarca no solo a las compañías que cotizan en la bolsa sino también, a múltiples empresas de otras latitudes que cotizan en bolsas americanas, las subsidiarias de empresas registradas con la SEC (Comisión de Valores de los Estados Unidos), los emisores domésticos o extranjeros que están registrados con la SEC, e incluso, a los proveedores de estas compañías.
En Ecuador, deberán responder a la ley todas las sucursales, subsidiarias o filiales de empresas norteamericanas, europeas y también latinoamericanas que emitan valores en Estados Unidos.
Ley Sarbanes-Oxley
MENU
Alcance de la ley SOX (2)
La Ley Sarbanes- Oxley abarcar a dos grandes grupos que son:
a.- Auditor b.- Empresa
AuditorPara el cual se definen reglas de:
a.- Independencia. b.- Prohibición de prestar ciertos servicios
a sus clientes de auditoría. c.- Supeditar su contratación y
fiscalización al Comité de Auditoría, entre otras.
Ley Sarbanes-Oxley
MENU
Alcance de la ley SOX (3)
Empresa Pone reglas al ejecutivo principal (CEO) y al
director financiero (CFO) para que certifiquen la veracidad de la información contenida en los estados financieros, y que también certifiquen que la empresa mantiene un sistema de control interno efectivo.
Además, introduce la exigencia de conformar un
Comité de Auditoría integrado por miembros independientes, es decir, que no perciban compensación alguna de la empresa, ni de sus subsidiarias, aparte de lo que le corresponde como director. Es importante mencionar que uno de los miembros del comité deberá ser experto en finanzas.
Ley Sarbanes-Oxley
MENU
Estructura de la ley (1)La Ley esta formada por:
• Título• Definiciones y• Reglamentaciones
Titulo I- Junta de vigilancia de las compañías de contabilidad pública
Titulo II- Independencia del auditor
Titulo III- Responsabilidad de la compañía
Titulo IV- Revelaciones financieras mas amplias
Titulo V- Conflictos de interés del analista
Ley Sarbanes-Oxley
MENU
Estructura de la ley (2)
Titulo VI- Recursos y autoridad de la comisión
Titulo VII- Estudios e informes
Titulo VIII - Responsabilidad de la compañía por fraude penal
Titulo IX- Responsabilidad penal de empleados
Titulo X- Declaraciones juradas de impuestos de la compañía
Titulo XI - Fraude y responsabilidad de la compañía
Ley Sarbanes-Oxley
MENU
Análisis de la ley
La Ley SOX tiene como espiritu la transparencia de las actividades de la empresa y los reportes financieros, presentados por la misma. Para lograr esto SOX hace incapie en:
1.- Funciones del CEO y CFO
1.1. El Chief Executive Officer (CEO) certificará por escrito que los estados financieros que se está presentando son correctos.
1.2. El Chief Financial Officer (CFO) certificará por
escrito que todos los procesos relevantes de la empresa que afectan directamente al resultado de los estados financieros, están apropiadamente documentados y que cuentan con los controles suficientes para aseverar que los resultados presentados están verificados y por tanto son correctos.
MENU
Análisis de la ley
Lo mencionado anteriormente deriva en una serie de funciones adicionales, aquí algunas de ellas:
a. La SEC requiere que cada Compañía presente trimestral y anualmente los reportes financieros certificados por el CEO y CFO.
b. Tanto el CEO como el CFO deben certificar que el reporte no contiene ninguna declaración falsa, u omite algún hecho relevante en el contexto de las circunstancias en que se emiten las declaraciones, y que estas no sean engañosas.
c. Debe certificarse que la información presentada contiene clara y completa la situación financiera y sus variaciones, así como los resultados de las operaciones.
d. El CEO y CFO son responsables de establecer, mantener y diseñar los controles internos para asegurar la información emitida. Deben evaluar la efectividad de dichos controles previo al reporte, y presentar en el reporte conclusiones acerca de la efectividad de los controles mencionados.
MENU
Análisis de la ley
e. El CEO y CFO deben revelar al comité de auditoria y al auditor externo las deficiencias en el diseño u operación de los controles o cualquier fraude que involucre a personal clave.
f. La SEC puede requerir que cada reporte presentado contenga una evaluación del control interno que declare la responsabilidad de los directivos de establecer dichos controles de manera adecuada y contener una valoración de la efectividad de la estructura de los controles y procedimientos para realizar reportes financieros.
g. Cada Firma registrada para llevar contabilidad debe atestiguar y reportar sobre la valoración hecha por los Directivos, dicho testimonio debe ser hecho en concordancia con los estándares establecidos por el consejo de administración.
MENU
Análisis de la ley
2.- Tareas y funciones del Comite de Auditoria y PCAOB
2.1. El comité de auditoria tiene algunas funciones entre las que consta el contratar al auditor externo de la empresa para la auditoría de los estados financieros, del control interno, y para otros servicios que la ley permita prestar a la firma auditora.
2.2. Las firmas de auditoria externa vinculadas a subsidiarias, sucursales o afiliadas de empresas que emiten valores en Estados Unidos inscritas en la SEC, la ley SOX les exige registrarse ante el Public Company Accounting Oversight Board, un nuevo cuerpo supervisor, creado por la misma, con capacidad para fiscalizar e investigar las auditorías y a los auditores de estas empresas en cualquier parte del mundo.
MENU
Análisis de la ley
Public Company Accounting Oversight Board (PCAOB)
Tiene facultades muy amplias de fiscalización de los auditores, las mismas que le permiten llamar a los auditores de las sucursales, afiliadas o subsidiarias de una empresa pública de Estados Unidos que operen en cualquier parte del mundo y solicitar archivos de papeles de trabajo para examinar y evaluar el trabajo de auditoria.
Por motivo de estas facultades extraterritoriales
otorgadas por la ley al Public Company Accounting Oversight Board, los grupos profesionales de auditores en países como Inglaterra, Alemania, Francia, Japón y Australia, entre otros, han expresado sin éxito su rechazo a esta nueva legislación.
MENU
Análisis de la ley
3.- Control Interno Es un punto de partida para la confiabilidad de los
reportes financieros de las organizaciones, aún más cuando éstos son producto de sistemas de información que las empresas utilizan, por dicha razón se tiene como los principales objetivos:
1.- La efectividad y eficiencia de las operaciones.2.- La Confiabilidad de la información financiera.3.- El Cumplimiento de las normas y leyes que sean aplicables.4.- Salvaguardia de los recursos.
Los auditores evalúan el control interno, (SOX) y para ello deben tomar en cuenta lo siguiente:• El alcance de las pruebas del auditor a la estructura
del control interno.• Los hallazgos del auditor con respecto a dicha
pruebas.• Una evaluación sobre dicha estructura de control.
MENU
Análisis de la ley
Para ejercer un adecuado control interno algunas empresas están optando por el modelo COSO (Comité of Sponsoring Organization of Treadway Comision) debido a que la norma de auditoria No. 2 de la PCAOB basa sus indicaciones en este modelo.
COSO posee cinco componentes de control, los cuales al ser integrados en cada una de las unidades de negocio de la organización, ayudan a lograr los objetivos de control para alcanzar objetivos del negocio, preparación de cuentas financieras confiables y el cumplimiento de leyes y regulaciones, a continuación se indican los componentes de control:
1.- Ambiente de control2.- Evaluación del riesgo3.- Actividades de control4.- Información y comunicación5.- Monitoreo
MENU
Impacto de la Ley SOX en el área informática
La ley SOX busca la confiabilidad de la información financiera, siendo los principales mecanismos para alcanzarla.
a.- La evaluación de riesgos yb.- Los controles que mitigan esos riesgos.
La palabra “riesgo” se refiere a cualquier evento que disminuya la confiabilidad de la información para los inversionistas, incluyendo los estados financieros.
Muchos de esos riesgos y los controles correspondientes, forman parte integral de los sistemas de información y de las plataformas que los albergan.
Impacto de la SOX en
el área informática
MENU
Impacto de la SOX en
el área informática
La capacidad de una empresa para cumplir la ley SOX ejerce un gran impacto en la manera en que las TI registran, siguen y revelan la información financiera. Esto ocasiona que las organizaciones establezcan controles que garanticen que la información puede aprobar los exámenes de las auditorias
Consecuentemente los gerentes de informática tienen un rol fundamental que jugar en este nuevo escenario.
Dentro de este nuevo rol se menciona:
• En caso de existir un comité de SOX, el gerente de sistemas debe formar parte de él.
• Evaluar los riesgos de errores en la información financiera generada por los sistemas o que caen dentro de su ámbito.
MENU
Impacto de la SOX en
el área informática
• Implementar controles adecuados para el manejo de riesgos.
• Asegurarse que el personal de informática este consciente de la necesidad de confiabilidad de la información y adopte conductas y valores alineados con ello.
• Asegurar que el personal conozca cuáles son los controles y quiénes son responsables de los mismos.
• Evaluar permanentemente si los riesgos han cambiado o permanecen iguales y si los controles son efectivos.
• Asegurarse de que exista documentación sobre lo mencionado anteriormente.
En el mercado existen algunas soluciones informáticas que gestionan los procesos de negocio, los mismos permiten establecer los procesos y procedimientos necesarios para cumplir con las regulaciones de la ley SOX, algunos de ellos son: BPM de la empresa Metastorm y los productos de la empresa LANDesk
MENU
Volver
Comité de auditoria: Es un comité (u organismo equivalente) establecido por y entre la junta de directores de un emisor para el propósito de supervisar los procesos de contabilidad y reporte financiero y las auditorias de los estados financieros del emisor. en caso de que no existiera tal comité, será la junta de directores del emisor.
Este comité pasa a ser el que deberá aprobar la contratación de servicios adicionales por parte
de las firmas de contabilidad, lo que convierte a este comité en el "cliente" para las firmas de auditoria, servicios de asesoría y de impuestos
Composición de la SOX
Contiene 11 títulos y varias secciones, regula diferentes aspectos, e involucra a los ejecutivos de las empresas, directorio, gobierno corporativo, comités de auditoria, agentes de valores, corredores de bolsa, clasificadores de riesgo y auditorias.
Titulo I: PCAOB (Public Company Accounting Oversight Board)
Junta de supervisión de firmas de contabilidad pública, su principal función es llevar el registro de las firmas auditoras, inspeccionar su trabajo y verifica que cumplan con los estándares de control de calidad, tiene la potestad de aplicar sanciones y medidas disciplinarias.
Titulo II: Independencia de los auditores
Limita los servicios que las firmas auditoras muestran a sus clientes y detallan las actividades que requieren ser aprobadas por el comité de auditoria, prohibiendo prestar a los clientes de auditoria servicios de contabilidad y otros relacionados con preparación de cuentas anuales, implementación de sistemas de información financiera entre otros
Título III— Responsabilidad Corporativa (1)
Define la iteración entre los auditores externos con los auditores internos y el comité
Describe específicamente los beneficios y sanciones penales para los oficiales financieros y cómplices en caso de problemas.
Esta certificación no requiere someterse a auditoria externa.
Título III— Responsabilidad Corporativa (2)
SOX estableció que la labor de fiscalizar la preparación de estados financieros corresponde a personas independientes del negocio y sus dueños
Estas personas son las que forman el comité de auditoria, deben ser por lo menos 3 miembros sin relación económica con la sociedad.
La definición de la independencia es muy estricta, incluye a las sociedades en las que los miembros del comité, sus cónyuges e hijos menores sean socios
Titulo IV — Conflictos Financieros
Se exige responsabilidad a la administración respecto del establecimiento y mantenimiento de controles internos para los reportes financieros
Los reportes de auditores externos debe incluir una evaluación de procedimientos de control interno sobre la elaboración de reportes y efectividad operativa
Titulo V—Análisis De Conflicto De Intereses
Define los requerimientos para asegurar la confidencialidad en analistas y responsables.
Define códigos de conducta para análisis de seguridad y requerimientos conocidos para el conflicto de intereses.
La ley indica que la persona que firma los estados no podrá ser la misma que la que aprueba o audita los mismos.
La firma encargada de auditar no podrá tener relación con los socios ni ningún parentesco
Los estados e informes no podrán ser pre publicados para el público en general antes de pasar por todos los controles estipulados
Título VI—Comisión De Recursos Y Autoridad (1)
Define las condiciones que una persona debe cumplir para poder actuar como broker, auditor o responsables de estados.
Legisla los montos de capitalización e inversión permitidos por los accionistas.
Define montos mínimos a invertirse en el tema de tecnología para almacenamiento y recuperación de la información.
Es necesario además fijar un monto para la contratación del personal requerido
Titulo VII— Informes y Reportes
Incluye los efectos de la consolidación de firmas de contabilidad pública, y la responsabilidad directa en el caso de manipulación de información o dar a conocer condiciones financieras falsas.
Todo documento deberá estar validado por firmas auditoras autorizadas, las cuales son reducidas en USA por los altos requisitos exigidos para obtener este permiso.
Para evitar la competencia desleal, también se ha legislado el tema de las tarifas que puede cobrar cada firma.
Existen formatos estandarizados dependiendo de la naturaleza del negocio, montos en movimiento y tipo de organización.
Titulo VIII — La empresa y el fraude contable
Describe las penas criminales por fraude o manipulación, destrucción o alteración de registros financieros
Es un delito el que con “conocimiento ” destruya o crea documentos para “impedir, obstruir o influenciar” cualquier investigación federal existente o prevista.
Define montos a pagar como multa y sanciones penales a tomarse en el caso de adulterar la información de los estados.
Multas por la alteración de pistas de auditoria. Toda modificación de la información disponible al
público que ha sido publicada por algún medio, tiene una pena ha aplicarse.
Titulo IX — Penalización por crímenes de collar blanco
Incrementa las penas criminales asociadas con los crímenes ocurridos en puestos gerenciales o conspiraciones.
Cualquier persona que atente contra la información almacenada, podría estar sujeta a sanciones penales.
Las sanciones penales dependen del tipo de adulteración realizada por la persona.
Título X — Retorno de impuestos corporativos
Deberá existir un comité de oficiales ejecutivos, con responsabilidad sobre la firma de balances e impuestos
La declaración de los impuestos deberá ser firmada y certificada por un oficial del comité ejecutivo de cada corporación o empresa.
Titulo XI Fraude corporativo y contables
Define lo que se puede considerar como ofensas criminares o fraudes financieros.
Define el tipo de sanciones a aplicarse dependiendo del tipo de empresa.
Defines además las autoridades encargadas de realizar la revisión.
Define además la magnitud del fraude y como que tipo se puede clasificar.
Como alinear reglamento SOX a la organización
Estrategia
Desarrollar una metodología de trabajo, para que las empresas que realizan transacciones en la bolsa de USA pueden cumplir los requerimientos de SOX formalizando la documentación de los procesos y controles internos que afectan en forma relevante sus estados de resultados.
Pilares Fundamentales
Almacenamiento
Aplicaciones
Políticas y Procedimientos
Control Interno
COSO
Seguridad y Administración
Pilares Fundamentales (1)
AlmacenamientoSe debe considerar la accesibilidad y capacidad de
búsqueda para el manejo de datos, opciones de cinta, disco óptico y magnético para conservar la información
Un pilar fundamental es la forma en que será almacenada la información
Definir que todo transacción electrónica debe guardar respaldo electrónico almacenado.
Exige considerar seguridad, integridad de datos, costo total de propiedad, desempeño, accesibilidad y capacidad de búsqueda.
Requisitos para los medios de almacenamiento:
WORM (Write once read many), escritura única, lectura múltiple, es decir que aseguren que el dato no pueda ser modificado del original
Acceso rápido a datos, la ley señala que las compañías deben responder a las peticiones de los datos en máximo días no en semanas
Capacidad de búsqueda, debe poder buscar entre gran cantidad de datos, sin necesidad de montar las cintas o medio de almacenamiento, es decir poseer un data center interno o tercerizar la base de datos.
Rentabilidad, verificar costos en relación no solo al medio de almacenamiento sino a todos los relacionados (TCO), como bibliotecas, drivers, mantenimiento y administración.
Pilares Fundamentales (2)
AplicacionesLas empresas deben
contar con especificaciones y herramientas para protección de documentos, clasificación en línea y capacidad de auditorias
Pilares Fundamentales (3)
Políticas y procedimientosReglas para definir como los datos
serán movidos y almacenados, como y cuando esta autorizado el personal de TI para tener acceso y modificarlo, y en que tiempo se pueden destruir.
Pilares Fundamentales (4)
Control InternoEl fundamento del control interno es la
infraestructura tecnológica, para poder conseguir un control externo. La ley SOX, establece el diseño, evaluación y mejoramiento del control interno como un proceso rutinario y parte indispensable del negocio.
Información gerencial (DataWarehouse). Gestión de usuarios (autenticación,
autorización a transacciones sensitivas, segregación de funciones).
Emisión de reportes financieros, operativos y administrativos en tiempo real.
Procesamiento de grandes volúmenes de información.
Para que el control interno funcione:
Todos los empleados deben conocer y entender como funciona el proceso de divulgación financiera
Identificar puntos críticos donde la tecnología sea parte fundamental del negocio.
No existe un estándar general para la documentación, puede variar dependiendo del tamaño y complejidad de la información, clasificando la información según su confidencialidad y criticidad.
Manejar indicadores para medir la eficiencia y eficacia de los procesos de control.
Pilares Fundamentales (5)
Seguridad y Administración Los procesos y tecnologías para el control de
vulnerabilidades y administración son la base de la implementación de la ley,
Es necesario tener estructura documentada del control interno, mayor transparencia en la eficacia de controles, monitoreo interno de mejoramiento, documentación que se pueda aprovechar en las múltiples unidades empresariales.
La gestión de información y documentos tiene que ser transparente y práctica, permitiendo búsquedas asertivas, además debe ofrecer operadores y administradores de alertas y consultas
Herramientas (1)
Attachmate Reflection, WinINSTALL, NetIO que controlan usando TI las vulnerabilidades de la infraestructura tecnológica. Incluye autenticación.
SONDA – Ecuador Desarrollo de metodología, realizando una revisión detallada de los controles de información, riesgos existentes, medidas de control. Ofrece además apoyo en la implantación de las mejoras propuestas, documentación, procesos de monitoreo y pruebas.
Herramientas (2)
IFS Ofrece la alineación de best practices con el objetivo del negocio y el cumplimiento de SOX, busca mejorar la gestión de la documentación, ampliar la visión interna del negocio y mantener la ventaja competitiva
ISO 9001-2000, es la primera certificadora en enlazar requisitos SOX con sistemas de gestión
