Ley Sarbanes-Oxley: Remediación de un Control

En el capítulo anterior vimos la eficacia operativa de los controles (esta etapa la podemos considerar dentro del proceso de validación de una certificación SOX), lo que buscábamos con este procedimiento era comprobar que el control se comporta de forma consistente a lo largo de tiempo.

Si el marco de control interno en una organización es consistente, tendremos la oportunidad de validar que lo que hemos dicho anteriormente es así, es decir que los controles se ejecutan de forma consistente a lo largo del tiempo.  Pero puede ocurrir el caso que esto no sea cierto, es decir que comprobemos que el control o bien no se realiza, se realiza de forma esporádica o bien directamente no se realiza.

Y es aquí donde tenemos un problema, pues finalmente lo que tenemos que demostrar en una certificación SOX es que el marco de control interno y los controles asociados se estén ejecutando de forma correcta al cierre del ejercicio contable.  Por esta razón, siempre nos reservamos un conjunto de operaciones para validar al cierre del mismo.

Por lo tanto, tenemos que corregir el control y ponerlo a operar nuevamente por un período de tiempo suficiente, previo al cierre contable, a los fines de garantizar su efectividad. Esto es lo que se denomina remediación de un control.

Es habitual que en una certificación SOX y específicamente si es la primera vez que la compañía realiza la misma, que existan controles los cuales no están siendo ejecutados de la forma apropiada o bien que directamente no existan y que por lo tanto la empresa los ponga bajo la categoría de “en remediación”.  Lo que si es importante es que estos controles deben ser detectados de forma temprana pues como dijimos anteriormente cuanto más cerca estemos de la fecha del cierre de los estados financieros de la compañía más difícil será poder disponer del tiempo suficiente para poder demostrar la efectividad del control.

En este sentido existen tablas las cuales establecen el tiempo mínimo que un control debería estar ejecutándose de forma correcta para poder demostrar su efectividad:

Frecuencia del ControlPeríodo de Tiempo MínimoNúmero mínimo de partidas a ser probadas
Trimestralmente2 trimestres2
Mensualmente2 meses2
Semanalmente5 semanas2
Diariamente20 días10
Múltiples veces al día25 veces en un período de múltiples días25

Esto significa que en el caso hipotético que debamos remedir un control que no se estaba ejecutando y cuya frecuencia es trimestral, necesitaremos como mínimo dos trimestre en que el control sea ejecutado de forma correcta para validar su efectividad.

Esta situación nos obliga a tener una estrategia de testing en la cual, por ejemplo, los controles que son ejecutados con una frecuencia menos esporádica (trimestral, mensual, etc.) deben comenzar a ser testeados de forma temprana de tal forma que si detectamos una falencia en su ejecución, tengamos el tiempo suficiente para remediarlo. 

En este ejemplo que comentamos, para los controles que la compañía ejecuta de forma trimestral mínimamente deberíamos haber testeado el control en el primero o segundo trimestre, de forma tal que si encontramos un problema tengamos como mínimo dos trimestre para validar que el control se ejecuta de forma correcta una vez remediado.

En el próximo capítulo estaremos viendo ¿Qué es una deficiencia en un control? Y específicamente Deficiencias significativas y Debilidades Materiales.

2 comentarios sobre “Ley Sarbanes-Oxley: Remediación de un Control

Responder a Javier Klus Cancelar la respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s