Ley SOX: Aspectos Fundamentales que debemos tener en cuenta para una certificación (Parte 2)

Publicado el por Javier Klus

Como vimos en la entrega anterior dentro de la metodología propuesta por SOX para la validación del marco de control interno que afecta a los estados financieros encontramos dos instancias:

1.       Evaluación del diseño de los controles

2.       Evaluación de la eficacia operativa

Dentro del primer aspecto definimos una serie de procedimientos que debemos realizar, en el presente artículo iremos en mayor profundidad en cada uno de ellos:

Comprender el proceso de negocio y el diseño de controles: Como cualquier proceso de auditoría es de suma importancia entender el proceso de negocio, para así posteriormente poder analizar los controles que están inmersos en el mismo. Este ejercicio nos permitirá en primer término determinar cuales son los controles más relevantes o claves del proceso (esto nos servirá para posteriormente determinar qué controles deberemos testear) así como luego poder determinar si la forma en que los controles fueron diseñados realmente logran mitigar los riesgos existentes dentro del proceso. Al evaluar el diseño efectivo deberemos tener en cuenta los siguientes aspectos:

–          Las transacciones más relevantes,

–          Los controles automáticos y los controles manuales,

–          Controles preventivos y controles detectivos,

–          Interdependencias claves entre los proceso y entre los controles,

–          Existencia de actividades tercerizadas,

–          Métodos de salvaguarda de activos,

–          Tipos de transacciones (rutinarias, no-rutinarias,etc.)

Planeamiento, realización y evaluación del Walkthroughs: En principio definiremos el WT, como un recorrido que realizaremos a lo largo de una transacción, un ejemplo podría ser realizar el recorrido del proceso de compras en el cual comenzaremos desde que se genera la Solicitud de Pedido por parte de un área usuarios, evaluación de los proveedores, selección del proveedor, emisión del Pedido, etc.  A lo largo de este recorrido iremos solicitando los documentos que se van generando. Es innegable que esta metodología es sumamente útil a la hora de entender un proceso y los controles que están inmersos en el mismo. En síntesis, podemos resumir el propósito del WT como:

–          Confirmar el flujo del proceso de las transacciones,

–          Confirmar el entendimiento sobre el diseño de controles,

–          Confirmar si el entendimiento está completo,

–          Evaluar la efectividad del diseño,

–          Confirmar si los controles están relacionados con las operaciones,

Alguna de las preguntas que nos haremos a fin de evaluar la efectividad del diseño serán:

–          ¿Quién está realizando el control?

–          ¿Qué se está realizando y Qué es lo que podría salir mal?

–          ¿Cuándo y Dónde los controles ocurren o son realizados?

–          ¿Porqué se están realizando los controles?

Mapeo de los controles con las aserciones a los estados contables: El proceso de certificación SOX lo que busca es asegurar entre otros aspectos la confiabilidad de los estados financieros. Como sabemos las organizaciones al emitir sus estados contables efectúan una serie de afirmaciones sobre las transacciones que efectuaron y los resultados que obtuvieron (mayor detalle de las misma se pueden encontrar en el siguiente artículo: https://www.auditool.org/blog/auditoria-externa/7028-las-aserciones-de-los-estados-financieros-y-su-importancia-en-la-auditoria).

Dentro de los procesos que estaremos analizando y de los controles que hemos individualizado, como paso fundamental para poder entender y validar el marco de control interno de la organización, es poder relacionar los controles dentro de cada uno de los procesos con la aserciones que nos hemos definido para cada una de las cuentas relevantes de los estados financieros.  Esto significa, por ejemplo, que si hemos definido como una aserción relevante dentro de la cuenta Ventas la de “integridad” entonces dentro de todos los controles que hemos individualizado dentro del Ciclo de Ventas, deberemos ver cuales garantizan a través de su ejecución el cumplimiento de dicha aserción.

Evaluar el diseño de los controles: Utilizando como una de las herramientas el WT, procederemos a evaluar el diseño del control, es decir la forma en que el control ha sido redactado, el objetivo del control, la frecuencia con la cual se realiza el control, el nivel de experiencia que se requiere para realizar el control y con todos estos elementos definiremos si de la forma en que el control ha sido diseñado permite cumplir con el objetivo de mitigar de forma razonable el riesgo para el cual se lo creo.

Identificar deficiencias potenciales y remediaciones: Como última etapa de todo este proceso encontramos el de la identificación de deficiencias en el diseño y como etapa posterior la definición de un plan de remediación, es decir, establecer una serie de etapas que permitan que el control sea nuevamente diseñado e implementado ya sin los problemas previamente detectados.

Es importante entender que deficiencias en el diseño pueden existir si:

1.El control necesario para para cumplir con el objetivo de control no existe,

2. El control se encuentra operativos, pero el objetivo de control no siempre se cumple,

Otro de los aspectos relevantes en esta etapa es entender las causas de la deficiencia, las cuales pueden ser:

–          ¿Problemas fundamentales en el diseño?

–          ¿Enfoque en los objetivos erróneos?

–          ¿Frecuencia del control?

–          ¿Período cubierto por el control?

Acabamos de ver todas las etapas que deberíamos tener en cuenta para poder evaluar el diseño de un control en una posterior entrega ya nos adentraremos en la etapa de Evaluación de la eficacia operativa.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Publicado por Javier Klus

Soy Máster en Administración de Empresas por la Universidad Politécnica de Madrid y Licenciado en Administración de Empresas (UADE). Durante más de 12 años me he desempeñado en uno de los principales estudio de Auditoría y Consultoría a nivel mundial, en donde ha tenido la oportunidad, dentro del Departamento de Advisory, de interactuar con una gran cantidad de empresas nacionales e internacionales analizando el funcionamiento operativo de las mismas y proponiendo oportunidades de mejora. Mi campo de acción también ha abarcado la realización de Auditorías Internas en numerosas empresas, siendo adicionalmente Auditor Interno Certificado (CIA). Fui profesor de la Universidad del Salvador en el postgrado de Auditoría de Sistemas, así como miembro del comité de publicaciones del Instituto Argentino de Auditores Internos. También soy Co-Director de la Diplomatura en Management de Centro de Servicios Compartidos en la UCEMA. He publicado trabajos relacionados con mis especialidades tanto en Argentina como en España. Adicionalemnte soy Conferencista internacional, habiendo dictado cursos y conferencias en Perú, Colombia y Argentina, entre otros países. En mis ratos libres disfruto de la lectura de libros de todo tipo y de mi familia. Mi próximo libro seguramente será sobre Auditoría Interna, en donde intentaré transmitir todos mis conocimientos en esa temática.