Automatización de un programa de certificación SOX 302
Asegurarse de que los funcionarios firmantes realicen certificaciones en los reportes trimestrales puede ser una tarea desalentadora. Para optimizar este proceso, las organizaciones deben asegurar una distribución equitativa de la responsabilidad entre las partes interesadas del control interno. En este artículo, discutimos sobre cómo realizar subcertificaciones con los propietarios del control e implementar solicitudes de certificación 302 utilizando las aplicaciones Proyectos y Resultados.
Este artículo se basa en los ejemplos ilustrados en Implementación de un programa SOX 404.
¿Qué es una certificación 302?
La Sección 302 de Sarbanes-Oxley (SOX) requiere que el CEO y el CFO de una organización afirmen la integridad de los controles clave que influyen en el reporte de sus estados financieros trimestralmente.
Antes de que los oficiales firmen, las solicitudes de certificación se envían a los propietarios de los procesos o controles en varios departamentos dentro de la organización. Este enfoque contribuye a asegurar a los oficiales que firman que los controles internos claves sobre los reportes financieros operan de manera efectiva en todos los departamentos y les brindan la confianza que necesitan para firmar las certificaciones 302 trimestrales.
¿Dónde puedo automatizar un programa de certificación 302?
Puede automatizar un programa de certificación SOX 302 utilizando las aplicaciones Proyectos y Resultados.
La visión general
- Un solo Proyecto puede contener varias Certificaciones.
- Cuestionarios se pueden implementar desde Proyectos y las respuestas se almacenan en Tablas en Resultados.
- Disparadores automatizan los procesos de corrección de su organización mediante la ejecución de un conjunto de acciones basadas en los datos de registros en Tablas.
Pasos
¿Listo para una visita guiada?
Echemos un vistazo más de cerca a estas características en el contexto.
1. Crear un programa de certificación
Los programas de certificación le permiten definir los grupos de personas que se necesitan certificar, los elementos que necesitan certificar y otra información contextual. Puede enviar solicitudes de certificación a las personas adecuadas, en el momento adecuado, y brindar el aseguramiento que necesitan los gerentes generales (CEO) y directores financieros (CFO) cuando firman las certificaciones 302 trimestrales.
Consejo
Para automatizar y agilizar aún más el proceso de certificación, puede configurar el programa de certificación una vez y reutilizarlo trimestre a trimestre. Simplemente propague el proyecto que contiene el programa de certificación.
Activar certificaciones
El primer paso es activar las certificaciones en un proyecto. Una vez activado, puede comenzar a crear un programa de certificación.
Ejemplo
Escenario
Como director de SOX, debe obtener subcertificaciones de todos los miembros del comité de divulgación para respaldar las certificaciones del CEO y CFO de SOX 302.
Proceso
Tema de ayuda Creación de programas de certificación
Dentro de la configuración del proyecto Canadá - Revisión SOX 2018, usted activa las certificaciones.
Resultado
Puede comenzar a crear un programa de certificación dentro del proyecto.
Introducir los detalles de la certificación
Una vez que haya activado las certificaciones dentro del proyecto, puede comenzar a crear un programa de certificación ingresando algunos detalles básicos. Puede personalizar el asunto del correo electrónico y el mensaje que pretende enviar, adjuntar archivos y proporcionar detalles relevantes a las personas que participan en el programa de certificación.
Ejemplo
Escenario
Usted está listo para comenzar a crear un programa de certificación. Desea centralizar toda la documentación relacionada con el programa, definir una fecha de vencimiento del programa y proporcionar a los miembros del comité de divulgación la información contextual adecuada.
Proceso
Tema de ayuda Creación de programas de certificación
Desde el tablero de mando del proyecto Canadá - Revisión SOX 2018, haga clic en Agregar Certificación. Usted ingresa los siguientes detalles claves:
- Nombre Subcertificación de los miembros del comité de divulgación
- Fecha de vencimiento 14 de diciembre de 2018
- Asunto del correo electrónico Acción requerida: subcertificación SOX
- Mensaje de correo electrónico Como parte de nuestro proceso de reportes trimestrales y anuales, este cuestionario se distribuye al final de cada período de reporte para asegurar que se hayan informado todos los eventos, contratos y hechos relevantes y que se haya considerado toda la información importante para su inclusión en nuestro archivo reglamentario. Debe responder antes del 14 de diciembre de 2018.
También adjunta algunos archivos de soporte para proporcionar un contexto adicional a los miembros del comité de divulgación.
Resultado
Ha proporcionado los detalles claves sobre el programa de certificación y ha personalizado el asunto del correo electrónico y el mensaje que pretende enviar a los participantes. Todas las instrucciones y archivos adicionales que especificó se incluirán en el cuestionario enviado a los miembros del comité de divulgación.
Cree o seleccione un cuestionario
Una autoevaluación es un enfoque de mejores prácticas para evaluar los controles y procesos internos de una organización y generalmente toma la forma de un cuestionario. Los cuestionarios de autoevaluación se pueden utilizar para evaluar el nivel de cumplimiento con la Sección 302 de SOX dentro de una organización y son un enfoque efectivo para identificar áreas de exposición al riesgo, así como para resaltar oportunidades potenciales.
Consejo
Puede copiar uno de los siguientes cuestionarios de plantilla desde Resultados como punto de partida para elaborar su propio cuestionario:
- Certificación de revelaciones por parte de los gerentes
- Certificación de revelaciones por parte de los directores
- Certificación SOX 302
Ejemplo
Escenario
Como parte de su proceso de reportes trimestrales y anuales, debe hacer circular un cuestionario al final de cada período de reporte. Desea asegurarse de que se hayan reportado todos los eventos, contratos y hechos relevantes, y de que toda la información relevante se haya considerado para su inclusión en los documentos que deben presentarse conforme a la normativa.
Proceso
Tema de ayuda Creación de cuestionarios
En Resultados, usted copia el cuestionario Certificación de revelaciones por parte de los ejecutivos de la colección Plantillas de cuestionarios a la colección Canadá - Revisión SOX 2018 y cambia el nombre del cuestionario Subcertificación SOX 302.
Luego, ajusta el idioma en el cuestionario y modifica las preguntas en el cuestionario para alinearlo con los requisitos de su organización. Finalmente, regresa a Proyectos y selecciona el cuestionario que recién construyó.
Resultado
Ahora, está listo para enviar el cuestionario a efectos de recopilar información de los miembros del comité de divulgación.
Especifique participantes y elementos
Los gerentes generales (CEO) y directores financieros (CFO) generalmente están muy alejados de las actividades de control diarias. Sin embargo, deben sentirse confiados al certificar, dado que las consecuencias pueden ser graves. Muchas organizaciones adoptan un proceso de subcertificación, donde se les pide a los empleados claves que subcertifiquen. Esto crea una cadena de responsabilidad dentro de la organización. Dentro del programa de certificación, puede especificar quién necesita subcertificar y qué elementos deben ser subcertificados. También puede definir si los participantes deben responder en un orden específico o al mismo tiempo.
Ejemplo
Escenario
Previamente creó un cuestionario de subcertificación SOX 302 y ahora planea enviarlo a las siguientes personas:
Usted quiere que Shalini responda primero, ya que ella es la persona más cercana a las operaciones comerciales. Entonces, quiere que Brad responda, seguido por Tim.
Proceso
Tema de ayuda Creación de programas de certificación
Después, crea una certificación secuencial, define el grupo de certificación "Personal de sistemas" y agrega a Shalini, Brad y Tim al grupo, en ese orden. Finalmente, especifica los controles que cada participante debe subcertificar: NS-002, NS-005, NS-006.
Resultado
Ha especificado quiénes deben subcertificar y en qué orden deben proporcionar sus respuestas. También ha definido los controles que debe subcertificar cada persona.
Revisar y finalizar
El último paso para crear un programa de certificación es verificar su configuración y elegir enviar solicitudes de certificación más tarde o de inmediato.
Ejemplo
Escenario
Ha terminado de configurar su programa de certificación. Ahora, debe revisar la información antes de enviar oficialmente las solicitudes de certificación a los miembros del comité de divulgación.
Proceso
Tema de ayuda Creación de programas de certificación
Revisa cada sección para verificar que la información sea precisa. Luego de su revisión, observa que aún necesita proporcionar información contextual adicional a los miembros del comité de divulgación.
Como resultado, decide guardar la configuración del programa de certificación y enviar las solicitudes de certificación más adelante.
Resultado
Se guarda el programa de certificación. Puede volver a su configuración y enviar las solicitudes de certificación más adelante.
2. Implementar solicitudes de certificación 302
Las certificaciones SOX 302 y los reportes financieros son muy importantes para la rama ejecutiva del negocio y a menudo generan una demanda crítica por parte de los controladores, vicepresidentes e incluso del director financiero. Puede utilizar cuestionarios para implementar varias solicitudes de certificación 302 a propietarios en diferentes departamentos de la organización y agregar respuestas para una posterior revisión o escalamiento.
Las solicitudes de certificación se pueden enviar a cualquier persona, incluidos los usuarios sin licencia.
Ejemplo
Escenario
Usted está listo para enviar solicitudes de certificación a los miembros del comité de divulgación. Los necesita para poder revisar los controles de los cuales son responsables, evaluar la adecuación de los controles y comunicar los resultados a la administración.
Proceso
Tema de ayuda Creación de programas de certificación
Usted abre su programa de certificación guardado y envía las solicitudes de certificación.
Resultado
Shalini es la primera persona en recibir el cuestionario. Ella recibe un solo correo electrónico en el que se indican los tres controles que debe subcertificar. Una vez que Shalini envía su primera respuesta a cualquiera de los controles, Brad comienza a recibir cuestionarios.
Brad recibe un correo electrónico que hace referencia al control específico que Shalini certificó recientemente y puede enviar su propia respuesta. Recibe correos electrónicos subsiguientes (uno por control) después de que Shalini termina de subcertificar.
Tim comienza a recibir los cuestionarios una vez que Brad presenta su primera respuesta. Recibe correos electrónicos subsiguientes (uno por control) después de que Brad termina de subcertificar. Una vez que Tim ha terminado, todas las certificaciones están completas.
Todas las respuestas se guardan de nuevo en la colección Canadá - Revisión SOX 2018 para esperar una posterior revisión o escalamiento.
3. Automatizar flujos de trabajo de certificación 302
Los disparadores realizan un conjunto de acciones siempre que se cumplan condiciones o umbrales específicos y se pueden utilizar para automatizar diferentes aspectos del programa de certificación 302. Puede utilizar disparadores para agregar respuestas en varios niveles de certificaciones, establecer criterios específicos para que los disparadores se ejecuten cada período trimestral 302 y definir flujos de trabajo de escalación para certificaciones completadas y no accionadas.
Consejo
Para hacer el seguimiento de las certificaciones pendientes y de cualquier indicador retrasado, puede visualizar datos utilizando un Storyboard o crear un tablero de mando de resultados, específico de SOX 302, en Reportes.
Ejemplo
Escenario
Para que su equipo de SOX identifique y responda de manera eficiente a las certificaciones no accionadas, debe crear un flujo de trabajo de respuesta automatizado que realice un control semanal de las solicitudes de certificación pendientes.
Todas las solicitudes de certificación que permanecen inactivas durante 10 días deben pasar a prioridad crítica y asignarse al miembro del equipo apropiado para su investigación y corrección.
Proceso
Tema de ayuda Crear un disparador
Usted configura un disparador programado que se ejecuta todos los lunes a las 9 a. m. PST cuando los registros permanecen inactivos durante 10 días.
El disparador realiza las siguientes acciones cuando no se actualizan los registros:
- asigna el registro a un miembro del equipo de SOX
- eleva la prioridad del registro a crítico
Resultado
El disparador notifica al miembro del equipo SOX y aumenta la prioridad del registro cuando se cumplen las condiciones. La acción es automática y todo el proceso se administra a través de Resultados, sin sistemas externos ni cuellos de botella con los que lidiar.
¿Qué sigue?
Si desea obtener más información sobre la manera de ofrecer aseguramiento de la efectividad del entorno de control por medio de la comprobación de los controles, consulte Demostración del aseguramiento sobre los controles internos.