Ley Sox: Aspectos fundamentales que debemos tener en cuenta para una certificación (parte 3)

En la parte 2 de este artículo vimos todo lo relacionado con la evaluación del diseño de los controles, en esta tercera parte veremos la evaluación de la eficacia operativa de los mismos, esto significa que una vez que validamos que el diseño es el apropiado para mitigar los riesgos existentes en un determinado proceso de negocio y que la forma como el control ha sido diseñado direcciona de forma apropiada a una aserción relevante definida para una cuenta/estados financieros de una compañía, tenemos que posteriormente validar si este control se encuentra en funcionamiento, y no sólo eso, que se encuentre en funcionamiento de forma consistente a lo largo del período abarcado por la certificación SOX.

Pero antes de profundizar en esta parte es necesario tener presente los tipos de controles que la Gerencia puede implementar, dado que esto condiciona la forma en que deberán ser probados los mismos.  A continuación se adjunta la descripción:

Controles Preventivos: Tiene por objeto prevenir errores o fraudes que pueden ocurrir y que resultan en errores sobre los estados financieros,

Controles Detectivos: Tiene el objeto de detectar errores o fraudes que ya han ocurrido y que pueden resultar en errores sobre los estados financieros.

En esta primera clasificación estamos catalogando a los controles en aquellos que directamente evitan que un determinado hecho suceda y aquellos que una vez sucedido el hecho lo permiten detectar.  Surge claramente que bajo este esquema son preferibles los controles preventivos dado que nos asegura que cualquier situación de error o fraude es evitada, pero igualmente, siempre es necesario tener controles detectivos que permitan descubrir el error/ fraude si el control preventivo fracasó.

La otra clasificación que debemos tener en cuenta es la siguiente:

Controles Manuales: Son aquellos controles realizados por personas, y por lo tanto dependen de las personas que lo realizan,

Controles Automáticos: Son aquellos realizados por aplicaciones informáticas, a diferencia de los controles manuales, su funcionamiento es uniforme a lo largo del tiempo.

Para esta segunda clasificación, una compañía intentará tener mayor cantidad de controles automáticos dado que se supone que este tipo de controles no tiene el margen de error en su ejecución que los controles manuales, que dependen precisamente de las personas que lo ejecutan.  Esta clasificación también nos será útil para determinar el tamaño de la muestra que deberemos obtener para validar que el control opere de forma regular. A los fines de simplificar, se supone que si todos los elementos relacionados con los Controles Generales de IT funcionan de forma apropiada y están definidos controles sólidos, esto permite concluir que el control automático se ejecutará de forma consistente a lo largo de tiempo y esto hace que la muestra que se deba seleccionar del control sea mínima (en muchos casos con una sola muestra es suficiente). En el caso que los controles manuales, que pueden tener implícitos un mayor margen de error en su ejecución, implicarán que debamos tomar una mayor cantidad de muestras de su ejecución para poder validar su operación de forma consistente a lo largo del período.

Y como dijimos que debemos probar que el control funcione de forma consistente a lo largo del tiempo es necesario establecer pruebas “Testing” a los fines de establecer que el control se haya realizado, y aquí viene una pregunta importante ¿Cómo debemos testear el control? Y la respuesta es que existen varias formas y muchas veces es necesario utilizar un mix de estos procedimientos. Básicamente una estrategia de testeo debe incluir:

·         Preguntas al personal apropiado,

·         Observaciones de las Operaciones de la Compañía,

·         Inspección de documentación relevantes,

·         Re-ejecución de la aplicación de controles,

La primera estrategia “indagación” es útil para tener un entendimiento del proceso de control, de la forma en que se realiza y nos brinda un primer y muy importante entendimiento de la forma en que el control es ejecutado.  Es importante aclarar que por sí solo la indagación no es un método de prueba “solido” dado que en el mismo no se requiere evidencia documental.

El segundo método mencionado “observación” nos permite evaluar controles mucho de los cuales a veces no tienen una evidencia documental en la cual respaldarnos. El ejemplo del control que hace el personal de seguridad al ingreso de un depósito muchas veces es un control que debemos presenciarlo.  Un control automático de validación es otro ejemplo dado que muchas veces necesitamos verlo en la pantalla del computador para determinar que el mismo funciona.

El tercer método es Inspección, en el mismo se solicita evidencia documental a los fines de verificar que el control efectivamente se cumple.  El soporte de análisis y aprobación de una conciliación bancaria es un ejemplo de este tipo de estratégia.

Finalmente, la última estrategia es Re-ejecución que consiste en, bajo los parámetros/instrucciones informados por la gerencia, volver a realizar el control a los fines de llegar a las mismas conclusiones y resultados que quien lo realizó. 

La determinación de las amortizaciones anuales es un buen ejemplo, en el mismo la persona encargada de ejecutar las pruebas realizará los cálculos necesarios para establecer el importe de las amortizaciones del período, este importe debería ser el mismo que el determinado por la gerencia.

En la próxima entrega estaremos viendo la metodología utilizada para probar los controles y los tamaños de muestras recomendados en función de la característica del control (manual/automática), frecuencia del control (anual, trimestral, quincenal, diaria), etc.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s