Universidad Veracruzana

•Carrión Mendiola Alina Leticia•Montalvo Sacramento Amayrani Samantha•Prieto Santos Ana Karen

UNIDAD 4

Sergio Gómez Landero Pérez

Aprobada por el Congreso de Estados Unidos de Norte de América el 30 dejulio del 2002 y es la norma de aplicación a todas las compañías que cotizan enla Bolsa de Valores de EEUU.

La SOX dice “proteger a los inversionistas, mejorar la exactitud y confiabilidad de la información publicada por las

corporaciones, y que la misma sea realizada de acuerdo a las leyes existentes”.

L a SOX exige básicamente la existencia de un sistema de controlinterno sobre la información de manera tal que si cualquieractividad dentro del desarrollo de los diferentes procesos delnegocio de la empresa tuviera una ejecución no adecuada a laspracticas formales y controladas, este evento pudiera serdetectado y corregido.

CONTROL INTERNO DE COSO

Necesidad de control de los informes financierosCumplimiento legal Eficacia y eficiencia de las operaciones

SECCIÓN 404

En esta sección se promueven los mecanismos desupervisión y control para permitir el cumplimiento delespíritu de la ley en materia de transparencia.

En esta sección se establece la responsabilidad de la alta dirección de la compañía para desarrollar, implantar y mantener una estructura de

control interno adecuado para cumplir con los objetivos de la ley.

En esta sección se debe garantizar:

Todas las transacciones autorizadasLos activos se encuentren protegidos contra usos no autorizadosLas transacciones estén correctamente registradas

La sección 404 exige a los Directivos que anualmente cumplancon:

Declare su responsabilidad sobre el establecimiento,

mantenimiento y operatividad de una estructura y unos

procedimientos de control interno adecuados a efectos del

informe financiero.

Identifique el marco sobre el que opera para determinar las

validez de los controles citados.

Realice y soporte documentalmente la

evaluación de la efectividad de los procedimientos y controles

de la compañía.

Su informe sea refrendado por su Auditor Externo.

Certificación por parte del CEO Y CFO del informe anual.

Para cumplir con el objetivo principal de la ley sedebe desagregar la empresa en los diferentesprocesos de negocio que realiza, identificando lassiguientes características:

Riesgos del negocio y el impacto en sus procesosProcesos significativos en su impacto en estados contablesCuentas significativas

Las TSI son herramientas de gestión de información, su relación conlos procesos- cuentas contables no es directa, sino que los procesos deTSI son soportes de la gestión de las cuentas (seguridad física delprocesamiento de datos, calidad de copias de resguardo).

Los procesos de TSI son agrupados por la PCAOB de la siguiente manera:

Desarrollo de aplicacionesControl de cambios a producciónActividades de explotación de sistemasAccesos a programas y datos

El ITGI expone los controles de la siguiente manera:

Controles de Entity Level

Controles de Aplicación

Controles generales de TSI

• Son los controles que se vinculan a laestructura de control, análisis de riesgo,supervisión y comunicación e informacióndel modelo COSO.

• Se relacionan con las gestión de las normas,metodologías, formalización, difusión,seguimiento y actualización.

• Son los controles que existen dentro de lasaplicaciones que dan soporte a los procesosde negocio.

• Controles que se realizan sobre los procesos de TSI y que son diseñados para dar garantía de que la gestión de los procesos de sistema se realizan de manera efectiva y controlada.

• Son procesos generales de TSI

Objetivos de Control de TSI para SOX:

1. Adquisición y mantenimiento de aplicaciones de software2. Adquisición y mantenimiento de la infraestructura tecnológica 3. Desarrollo de los procesos de TSI. Organización 4. Instalar y acreditar soluciones y cambio 5. Gestión de cambios6. Definir y gestionar niveles de servicio 7. Gestionar servicios de terceras partes 8. Asegurar la seguridad de los sistemas9. Gestión de las configuraciones 10. Gestión de problemas e incidencias11. Gestión de datos12. Gestión de entorno físico y operaciones

El ITGI nos dice que el PCAOB Auditing Standar Nro. 2 toca el tema dela relación entre las tecnologías de información y el control interno dela información financiera.

El PCAOB dice: “… los controles deberían ser aprobados, incluyendo los controles sobre

aseveraciones de importancia referidos a los informes relacionados con todas las cuentas

significativas de la empresa, y con impacto en los estados financieros. Generalmente estos controles

incluyen:

Controles, incluidos los controles generales sobre las tecnologías de la información, de los cuales otros

controles son dependientes.”

El PCAOB sienta las bases para describir el proceso mediante el cuallos auditores deberán determinar los objetivos de control:

Identificar las partidas significativas de los estados financierosIdentificar las posibles aserciones erróneasIdentificar las aserciones acertadas para evaluar entre otros, lanaturaleza y complejidad de los sistemas, incluyendo el uso de TSIcon las que se procesan y controlan

Este estándar determina que es tarea del auditoranalizar el alcance de las TSI en el proceso de cierrede la información financiera.

Se consideran deficiencias a las incidencias de control interno que puedan producir que una de las afirmaciones (errores potenciales) ocasionados por un riesgo no está cubierto por una actividad de control documentada, diseñada y

que se opere correctamente durante un periodo de tiempo sustancial.

La probabilidad de ocurrencia se gradúa en tres categorías:

Remota Posible Probable

Mientras que los errores pueden ser:

Intrascendentes TrascendentesMateriales

Es una deficiencia de control, o combinación de deficiencias de control, queafecta de forma adversa a la capacidad de la compañía para iniciar,autorizar, registrar, procesar o reportar información financiera de manerafiable de acuerdo con los principios de contabilidad aceptados.

DEFICIENCIA SIGNIFICATIVA

DEBILIDAD MATERIAL

Es una deficiencia significativa o combinación de las mismas, que llevana que, una probabilidad superior a remota, no se pueda prevenir odetectar un error material.

Procesos inadecuadamente diseñados, con insuficientes actividades de control

Diseño incorrecto de actividades de control

Funcionamiento incorrecto de las actividades de control

Actividades de control no documentadas

Motivos de las deficiencias: