Implementación de un programa SOX 404

El cumplimiento normativo de la ley Sarbanes-Oxley (SOX) puede resultar una pesada carga que recae sobre los hombros de muchas partes interesadas, departamentos, procesos y sistemas. Mediante la creación de un programa SOX adecuadamente estructurado, los controles correctos y los cambios de proceso pueden ser mucho más automatizados cuando llega el momento de acumular los reportes. En este artículo, discutimos sobre cómo implementar un programa SOX 404 utilizando las aplicaciones Proyectos, Marcos y Reportes.

Este artículo ilustra cómo administrar un programa de cumplimiento con SOX utilizando el marco de control interno COSO® 2013, un marco integrado que permite a las organizaciones desarrollar sistemas de control interno de manera eficaz y eficiente.

Sin embargo, el mismo flujo de trabajo también se puede aplicar a otros marcos que admitan requisitos de cumplimiento con SOX, tales como:

  • el marco COBIT 5
  • marcos de seguridad publicados por el Instituto de Gobernanza de las Tecnologías de la Información (ITGI, por sus siglas en inglés)
  • normas de auditoría desarrolladas por la Junta de Supervisión Contable de la Empresa Pública (PCAOB, por sus siglas en inglés)
  • normas que se aplican al gobierno o a la educación superior, incluidas la Circular A-123 , la guía uniforme de subvenciones (Uniform Grant Guidance) o el Libro Verde de la OMB (Oficina de Administración y Presupuesto)

¿Cuál es el cumplimiento con SOX?

En 2002, la legislación de la Ley SOX introdujo un enfoque renovado en el cumplimiento corporativo al exigir que las organizaciones proporcionen reportes trimestrales y anuales que certifiquen la exactitud de sus estados financieros. La Ley SOX fue diseñada para aumentar la transparencia en los reportes financieros y estandarizar un sistema de controles y saldos internos.

La Sección 404 de SOX requiere que las organizaciones realicen una auditoría externa para evaluar e informar sobre la efectividad de sus controles internos.

¿Dónde implemento un programa SOX 404?

Puede implementar un programa SOX 404 utilizando las aplicaciones Proyectos y Reportes.

La visión general

  • Marcos se utilizan para capturar de forma centralizada la relación principal entre requisitos y controles, administrar los cambios en un entorno regulatorio y empresarial en evolución y crear proyectos individuales.
  • Proyectos se utilizan para probar el diseño y la efectividad operativa del control y para capturar asuntos. Si creó el control en un marco, puede sincronizar los cambios a ese marco desde un proyecto para utilizarlos también en otros proyectos.
  • Plantillas de reportes se pueden copiar y modificar para generar reportes fácilmente en función de los datos de las aplicaciones de Diligent One, y los reportes se pueden difundir a los destinatarios con un programa recurrente.

En un marco puede realizar un seguimiento del aseguramiento y de los resultados de las pruebas asociadas con los riesgos operacionales y los controles en múltiples proyectos para desarrollar un tablero de mando de los riesgos y resultados del proyecto. A medida que realiza pruebas, Proyectos agrega automáticamente los resultados de las pruebas de los proyectos activos asociados con el marco y calcula el aseguramiento en tiempo real. En cualquier punto, puede generar reportes para enviarlos a los destinatarios apropiados.

Pasos

¿Listo para una visita guiada?

Echemos un vistazo más de cerca a estas características en el contexto.

1. Configurar el programa

El primer paso es comprender cuál es el mejor método para configurar los datos en el sistema para que pueda reportar adecuadamente.

Puede crear marcos para administrar un conjunto estructurado de información y usar marcos para construir múltiples proyectos. También puede personalizar los términos y las etiquetas en los proyectos de acuerdo con los estándares de su organización. Las estructuras de etiquetado también pueden configurarse para asignar objetivos, riesgos y controles a puntos de datos contextuales relevantes (activos, propietarios, entidades, etc.) y habilitar reportes de riesgo y control sobre esas dimensiones.

Consejo

La aplicación Proyectos ofrece varias bibliotecas de control y riesgos (plantillas de proyectos) que poseen contenido prerrellenado para flujos de trabajo específicos, como el cumplimiento con SOX. Hay dos plantillas de proyecto que se alinean con los requisitos de SOX 404 y se utilizan generalmente para iniciar proyectos de cumplimiento con SOX y crear plantillas reutilizables:

  • Plantilla de auditoría de Sarbanes-Oxley (SOX) (Marco COSO 2013)
  • Revisión de controles generales de sistemas (Contenido SOX)

Configurar la terminología del proyecto

La terminología puede variar ampliamente entre los distintos tipos de proyectos y también entre las organizaciones que realizan el mismo tipo de proyectos. Las organizaciones pueden configurar los diferentes tipos de proyectos para que la terminología utilizada por cada equipo se refleje en los proyectos relevantes.

Ejemplo

Escenario

Usted es un administrador de auditoría que posee dos proyectos: Usted desea asegurarse de que la terminología que se muestra en ambos proyectos SOX se alinee con el léxico preferido de su organización.

Proceso

Tema de ayuda Personalización de términos, campos y notificaciones

Navega al tipo de proyecto Revisión Sarbanes-Oxley y configura los siguientes términos en cada ficha:

Ficha Campo Término
Proyecto Término para trabajo de campo

Documentación y pruebas de procesos
Sección Término para sección Proceso significativo
Etiqueta para ficha de secciones

Procesos SOX
Narraciones Etiqueta para ficha de narraciones Narraciones y diagramas de flujo
Asuntos Término para asunto

Deficiencia
Etiqueta para la ficha de asuntos Deficiencias

Resultado

Los términos personalizados se aplicarán a los proyectos que cree y asocie con el tipo de proyecto Revisión Sarbanes-Oxley.

Configurar proyectos y marcos

Los marcos son útiles para reducir los esfuerzos manuales relacionados con la configuración de proyectos y se pueden utilizar para administrar centralmente la información en entornos normativos y comerciales en evolución. Una práctica común para muchas organizaciones es segmentar los requisitos de SOX 404 por procesos y subprocesos en sus proyectos y marcos.

Ejemplo

Escenario

Para comenzar el proceso de centralización de su documentación de SOX, cree dos proyectos:

  • Canadá - Revisión SOX 2018
  • Brasil - Revisión SOX 2018

Recientemente, usted reconoció que riesgos y controles similares pueden aplicarse a ambos proyectos. Para proporcionar un punto de partida para construir sus proyectos, cree un proyecto a partir de una plantilla de proyecto llamada Plantilla de auditoría Sarbanes-Oxley (SOX) (Marco COSO 2013). Desea utilizar esta plantilla para crear un conjunto único de riesgos y controles que se pueden utilizar en ambos proyectos.

Proceso

Temas de ayuda

Crea un nuevo marco llamado Marco de control de procesos SOX. Luego, importa los objetivos (que contienen los riesgos y controles) desde la plantilla de proyecto al marco. Finalmente, importa los objetivos desde el marco a cada proyecto.

Resultado

Los objetivos, riesgos y controles en el marco se enlazan con los objetivos, riesgos y controles en los proyectos.

Ahora puede actualizar los proyectos según sea necesario, opcionalmente aplicar esas actualizaciones al marco, y también asegurarse de que las actualizaciones realizadas al marco se propaguen a los proyectos apropiados sincronizando los proyectos con los marcos.

Modelar la estructura organizacional de entidades

Las organizaciones están compuestas por diferentes unidades de negocio, departamentos, ubicaciones, regiones y personas jurídicas, todas las cuales tienen controles que afectan a la presentación de reportes de los estados financieros. Puede modelar la estructura legal y de entidades de su negocio en su proceso de administración de SOX para presentar reportes a los ejecutivos sobre el estado de las pruebas y la administración de los asuntos.

Ejemplo

Escenario

Su organización se compone de diferentes departamentos, regiones y ubicaciones. Desea poder generar reportes sobre los controles internos de diferentes secciones transversales de la empresa y permitir que los interesados en todos los niveles de la organización obtengan la información que necesitan.

Proceso

Tema de ayuda Configuración del etiquetado de la entidad

En Administrar entidades, modela la estructura de su empresa en función de los departamentos, regiones y ubicaciones que se aplican a ambos proyectos:

  • Canadá - Revisión SOX 2018
  • Brasil - Revisión SOX 2018

Resultado

Ahora puede etiquetar proyectos, objetivos significativos, riesgos, controles y deficiencias en los puntos de datos contextuales relevantes y habilitar reportes de riesgos y controles en esas dimensiones.

2. Documentar objetivos, riesgos y controles

Utilizando marcos como repositorio centralizado de la información, puede trabajar con los propietarios de procesos y controles para redactar narraciones de procesos, capturar los atributos de riesgo y control en diferentes proyectos de certificación y solicitar documentación adicional, según sea necesario. Los roles específicos de los usuarios se pueden aprovechar para establecer el acceso correcto y la responsabilidad correcta de los propietarios de procesos y controles.

Planificar proyectos

Cada proyecto comienza con una fase de planificación. La planificación de un proyecto implica preparar y consolidar la información de planificación en un proyecto, incluidos los antecedentes, el propósito, el alcance y los archivos de planificación relevantes del proyecto. Los archivos de planificación pueden incluir una variedad de documentos diferentes, como información de alcance, cartas de compromiso, documentación de la metodología de muestreo SOX e incluso detalles sobre las estructuras del equipo del proyecto.

Ejemplo

Escenario

Usted es responsable de preparar y consolidar toda la documentación de planificación relacionada con el proyecto Canadá - Revisión SOX 2018. Debe capturar esta información en el proyecto para que pueda ser referenciada en una fecha posterior.

Proceso

Tema de ayuda Planificación de proyectos

Primero, vaya a la página Planificación y comience a definir los antecedentes, el propósito y el alcance del proyecto. Luego, agregue la documentación de soporte usando la página Archivos de planificación:

Resultado

Se captura la información de planificación:

  • Antecedentes En 2002, la legislación de la Ley SOX introdujo un enfoque renovado en el cumplimiento corporativo al exigir que las organizaciones proporcionen reportes trimestrales y anuales que certifiquen la exactitud de sus estados financieros. La Ley SOX fue diseñada para aumentar la transparencia en los reportes financieros y estandarizar un sistema de controles y saldos internos. La Sección 404 de SOX requiere que las organizaciones realicen una auditoría externa para evaluar e informar sobre la efectividad de sus controles internos.
  • Propósito/objetivo La organización esta comprometida con la adopción de SOX para aplicar un modelo de mejores prácticas y estar preparada para el cumplimiento con SOX cuando sus acciones se negocien en una bolsa de valores.
  • Alcance Este proyecto evaluará el diseño y la efectividad de los controles preventivos y de detección en la organización para mitigar los riesgos, a nivel de proceso, relacionados con el cumplimiento con SOX 404. Incluiremos todos los procesos claves de negocios en el alcance del proyecto, específicamente:
    • Controles de nivel de la entidad: Ambiente de control, Evaluación de riesgos, Información y comunicación, Actividades de monitoreo, Actividades de control
    • Cierre financiero y presentación de reportes
    • Controles y procedimientos de divulgación
    • Impuestos
    • Ingresos y cuentas por cobrar
    • Controles generales de tecnología de la información
    • Controles de las hojas de cálculo
    • Compras
    • Tesorería
    • Inventario
    • Nómina y recursos humanos
    • Propiedad, planta y equipo

Documentar narraciones

Las narraciones son un marco para comprender cómo se ajustan los controles internos de su organización en un proceso de negocios. Muchas organizaciones confían en los diagramas de flujo como método principal para visualizar y mostrar el flujo de trabajo detallado dentro de un área determinada. Se puede adjuntar cualquier contenido de audio o visual a la documentación narrativa de soporte y puede asociar controles para fines de referencia.

Ejemplo

Escenario

Una de sus responsabilidades como gerente de auditoría de SOX es documentar las narraciones que describen cada proceso. Necesita construir una narración que se relacione con el proceso Ingresos y cuentas por cobrar en el proyecto Canadá - Revisión SOX 2018. En la narración, usted planifica definir el proceso, delinear claramente los sistemas de tecnología informática que respaldan los procesos de facturación y adjuntar un resumen de los riesgos y controles principales asociados con el proceso. A medida que reúne más información, tiene la intención de actualizar la narración, como corresponda.

Proceso

Tema de ayuda Definición de las narraciones

Usted navega a la ficha Narraciones en el proyecto y agrega una nueva narración denominada Narración del proceso de reconocimiento de ingresos.

Comienza a definir la narración de la siguiente manera:

Descripción general del proceso El reconocimiento de ingresos es el proceso de registrar ingresos, facturas y cuentas por cobrar para América del Norte (NA).

Sistemas informáticos

Sistema Proceso admitido
QUO Facturación
EWR

Facturación
RIU Facturación
Reportes de RIU

Reportes y análisis de ingresos
Base Xerdox

Reportes financieros
Libro Mayor de RAC

Mayor general
Cuentas por cobrar de RAC

Cuentas por cobrar

Finalmente, usted adjunta un documento de Word que contiene un resumen de los riesgos y los controles principales asociados con el proceso de Ingresos y cuentas por cobrar.

Resultado

Se redacta la primera parte de la narración y el documento de Word se agrega como un archivo adjunto de apoyo. En muchos casos, las narraciones deben actualizarse trimestralmente, en forma provisional o propagadas.

Para agregar administración y automatización del flujo de trabajo en torno a la difusión y revisión de diagramas de flujo actualizados, narraciones y otra documentación relacionada con el proceso, usted puede:

  • aprobar su trabajo y asignar un miembro de su equipo como el siguiente revisor del contenido narrativo
  • crear un hipervínculo en su respectivo proyecto SOX 404 para los reportes de los diagramas de flujo agregados

Definir los riesgos y controles

Definir resultados de riesgos y controles da como resultado la producción de una matriz de control de riesgos (RCM). Una matriz de control de riesgos es una combinación de riesgos identificados y los controles correspondientes (las medidas o cursos de acción sobre cómo se mitigará el riesgo).

Consejo

Una vez definidos los riesgos y controles, los propietarios de procesos pueden configurar un programa en Proyectos para asegurar que las actividades de control se realicen de manera consistente.

Ejemplo

Escenario

Su organización tiene un proceso maduro y refinado de evaluación de riesgos y evalúa el riesgo en dos dimensiones (Impacto y Probabilidad). El impacto se califica en una escala de 5 puntos y la probabilidad se califica en una escala de 3 puntos.

Usted debe evaluar la calificación del riesgo inherente para determinar el riesgo bruto al que se enfrenta la organización si no se han implementado controles u otros factores de mitigación. También desea asignar a sus controles principales una calificación de efectividad, de modo que durante las pruebas posteriores, cualquier control fallido proporcione una calificación de riesgo residual.

Proceso

Temas de ayuda

Usted captura la siguiente información en los proyectos Canadá - Revisión SOX 2018 y Brasil - Revisión SOX 2018:

Proyecto Riesgo Impacto Probabilidad
Canadá - Revisión SOX 2018 REV-R.01 Riesgo sin título: Los ingresos y los recibos de caja pueden no estar registrados, estar registrados en un período incorrecto o estar registrados en forma incorrecta (es decir, monto incorrecto). 3 - Medio 1 - Bajo
Brasil - Revisión SOX 2018 3 - Alto 3 - Alto

También asigna una calificación de efectividad (Peso del control) a los controles asociados en cada proyecto:

  • REV-03 30 %
  • REV-04 20 %
  • REV-05 50 %

Resultado

Se completa la evaluación de riesgos inherente. Las calificaciones de riesgo inherentes y residuales se agregan al marco para fines de reportes. La calificación de riesgo residual sigue siendo la misma que la calificación de riesgo inherente hasta que se evalúe el diseño y la efectividad del control.

Administrar solicitudes

Usted puede solicitar documentación a los propietarios del negocio y las partes interesadas y almacenar discusiones relevantes en Proyectos. También puede enviar recordatorios recurrentes a las personas que son responsables de cumplir las solicitudes y consolidar múltiples solicitudes en un solo correo electrónico.

Ejemplo

Escenario

Usted debe recopilar información adicional del departamento de contabilidad para comprender mejor el flujo de ingresos de efectivo de la organización en lo que respecta a las ventas de mercadería.

Proceso

Tema de ayuda Adición de solicitudes

Usted envía una solicitud al departamento de contabilidad, pidiendo un resumen del diario de cobros en efectivo para el período contable actual.

  • Descripción Por favor, proporcione un resumen del diario de recibos de efectivo para el período contable actual.
  • Estado Abierto
  • Propietario Contabilidad
  • Fecha de vencimiento 3 de agosto de 2018

Resultado

Contabilidad recibe la solicitud y puede proporcionar la documentación pertinente adjuntando un archivo y publicando un comentario.

3. Evaluar el diseño y la eficacia de los controles

Muchas funciones de cumplimiento con SOX cuentan con que el negocio asuma algunas de las responsabilidades respecto de la evaluación del diseño y la eficacia de los controles. Las tareas simples, como la actualización de una revisión de confiabilidad del control y la documentación de los pasos de las pruebas de efectividad del control, son accesibles por los propios propietarios. Esto permite que la evaluación de esos controles sea realmente propiedad de la empresa. La evaluación del diseño y la eficacia de los controles le permite comparar cómo se desempeña su organización en la gestión de riesgos de cumplimiento y los requisitos.

Consejo

Inspiraciones, un catálogo de escenarios de riesgos y pruebas recopilados de las iniciativas de Diligent en todo el mundo, ofrece una serie de ideas de pruebas analíticas por proceso que cubren todas las operaciones financieras. Si desea obtener más información, consulte Herramientas y plantillas.

Evaluar el diseño del control

Puede realizar una revisión de confiabilidad para evaluar el diseño del control. Los propietarios del control también pueden contribuir a evaluar el diseño de un control a través de la certificación y/o la evidencia que se agrega, definir planes de acción para implementar los controles faltantes para tratar las instancias de incumplimiento o explicar por qué no es necesario un control.

Consejo

Los operadores de primera línea de una organización pueden usar la aplicación Control de la misión para administrar los controles a los que tienen acceso, fuera de la aplicación Proyectos. Control de la misión es una aplicación que presenta información de control desde Proyectos en una vista simplificada y centralizada.

Ejemplo

Escenario

Ahora que ha evaluado el riesgo inherente y ha obtenido la documentación solicitada, debe realizar una revisión de confiabilidad para evaluar el diseño de cada control.

Proceso

Tema de ayuda Ejecución de procedimientos y pruebas de controles

Usted captura las siguientes revisiones de confiabilidad en ambos proyectos Canadá - Revisión SOX 2018 y Brasil - Revisión SOX 2018:

Diseñado/a apropiadamente

Proyecto Riesgo Control Atributos del control Resultados de la revisión de confiabilidad
Canadá - Revisión SOX 2018 REV-R.01: Riesgo sin título REV-03
  • Descripción Los recibos de caja se concilian con el estado de cuenta bancario y las facturas implícitas por el Contador para garantizar un registro preciso, completo y consistente en el período contable correspondiente. El controlador revisa la conciliación y aprueba las entradas de diario relacionadas.
  • Peso 30 %
REV-04
  • Descripción El controlador revisa los envíos que ocurren poco antes o después del final de un período contable para garantizar el registro completo y uniforme en el período contable correspondiente, incluida la revisión de las facturas relacionadas.
  • Peso 20 %
REV-05
  • Descripción El controlador realiza una conciliación de los ingresos del período y lo compara con la actividad de ingresos informada por el departamento. Toda diferencia importante se revisa e investiga según sea necesario.
  • Peso 50 %
Brasil - Revisión SOX 2018 REV-R.01: Riesgo sin título REV-03
  • Descripción Los recibos de caja se concilian con el estado de cuenta bancario y las facturas implícitas por el Contador para garantizar un registro preciso, completo y consistente en el período contable correspondiente. El controlador revisa la conciliación y aprueba las entradas de diario relacionadas.
  • Peso 30 %
REV-04
  • Descripción El controlador revisa los envíos que ocurren poco antes o después del final de un período contable para garantizar el registro completo y uniforme en el período contable correspondiente, incluida la revisión de las facturas relacionadas.
  • Peso 20 %
REV-05
  • Descripción El controlador realiza una conciliación de los ingresos del período y lo compara con la actividad de ingresos informada por el departamento. Toda diferencia importante se revisa e investiga según sea necesario.
  • Peso 50 %

Resultado

La evaluación de la revisión de confiabilidad para cada control se captura en ambos proyectos:

Definir los planes de pruebas

Los planes de prueba identifican cómo usted probará el control. Puede definir planes de prueba para especificar el método de prueba, el tamaño total de la muestra (dividida entre rondas de prueba) y los pasos de prueba que deben realizarse para probar el control.

Ejemplo

Escenario

Antes de comenzar a probar la efectividad de los controles, debe preparar un plan de pruebas que identifique cómo va a probar cada control. Usted desea definir el método de la prueba, el tamaño total de la muestra (dividido entre rondas de prueba) y los pasos de prueba que deben realizarse para probar el control.

Proceso

Tema de ayuda Ejecución de procedimientos y pruebas de controles

Usted documenta el plan de pruebas para REV-03 de la siguiente manera:

  • REV-03 Los recibos de caja se concilian con el estado de cuenta bancario y las facturas implícitas por el Contador para garantizar un registro preciso, completo y consistente en el período contable correspondiente. El controlador revisa la conciliación y aprueba las entradas de diario relacionadas.
  • Método de prueba Inspección
  • Tamaño total de la muestra 25
  • Pasos de las pruebas / Atributos de las pruebas
    1. Confirme que existe una adecuada separación de tareas.
    2. Confirme los saldos de cuentas por cobrar.
    3. Compare los detalles de los recibos de caja con los asientos del diario y los recibos de depósito bancarios correspondientes.
    4. Haga un seguimiento de las transferencias bancarias y realice pruebas de corte de efectivo para asegurarse de que se incluyan las transacciones apropiadas en los estados financieros.
    5. Compare los saldos de efectivo con las previsiones y los presupuestos.

Resultado

Se captura el plan de pruebas para REV-03.

Evaluar la eficacia del control

La evaluación de la efectividad del control implica documentar los resultados detallados de las pruebas y especificar si el control fue aprobado o no. Una vez que haya terminado de evaluar la efectividad del control, puede marcar porciones de texto y enlazarlas con la evidencia, como manuales de políticas o procedimientos, normas, acuerdos del nivel de servicio (SLA)/especificaciones del nivel de servicio (SLS) y contratos.

Consejo

Para evitar la calificación manual de la efectividad del control, puede usar controladores de evaluación para automatizar diferentes evaluaciones de control. Puede enlazar una medida creada en la aplicación Resultados a una evaluación del control en Proyectos para hacer reportes sobre la evaluación y completar automáticamente las calificaciones de riesgo inherentes de acuerdo con los rangos predefinidos de las medidas.

Ejemplo

Escenario

Ahora que ha evaluado el diseño del control y preparó un plan de pruebas que define cómo usted probará cada control, necesita evaluar la efectividad del control para determinar el riesgo residual o cuánto riesgo queda después de que se hayan implementado los controles.

Proceso

Temas de ayuda

Usted prueba la efectividad operativa de cada control en los proyectos Canadá - Revisión SOX 2018 y Brasil - Revisión SOX 2018 y captura la siguiente información:

Funcionando de manera efectiva

Excepción(es) observada(s)

Proyecto Riesgo Control Atributos del control Pruebas T1 Pruebas T2 Pruebas T3 Pruebas T4
Canadá - Revisión SOX 2018 REV-R.01: Riesgo sin título REV-03
  • Descripción Los recibos de caja se concilian con el estado de cuenta bancario y las facturas implícitas por el Contador para garantizar un registro preciso, completo y consistente en el período contable correspondiente. El controlador revisa la conciliación y aprueba las entradas de diario relacionadas.
  • Peso 30 %
REV-04
  • Descripción El controlador revisa los envíos que ocurren poco antes o después del final de un período contable para garantizar el registro completo y uniforme en el período contable correspondiente, incluida la revisión de las facturas relacionadas.
  • Peso 20 %
REV-05
  • Descripción El controlador realiza una conciliación de los ingresos del período y lo compara con la actividad de ingresos informada por el departamento. Toda diferencia importante se revisa e investiga según sea necesario.
  • Peso 50 %
Brasil - Revisión SOX 2018 REV-R.01: Riesgo sin título REV-03
  • Descripción Los recibos de caja se concilian con el estado de cuenta bancario y las facturas implícitas por el Contador para garantizar un registro preciso, completo y consistente en el período contable correspondiente. El controlador revisa la conciliación y aprueba las entradas de diario relacionadas.
  • Peso 30 %
REV-04
  • Descripción El controlador revisa los envíos que ocurren poco antes o después del final de un período contable para garantizar el registro completo y uniforme en el período contable correspondiente, incluida la revisión de las facturas relacionadas.
  • Peso 20 %
REV-05
  • Descripción El controlador realiza una conciliación de los ingresos del período y lo compara con la actividad de ingresos informada por el departamento. Toda diferencia importante se revisa e investiga según sea necesario.
  • Peso 50 %

Resultado

Los resultados de las pruebas asociados con el control se agregan al marco para fines de reportes:

Capturar deficiencias y acciones

Puede capturar y asignar deficiencias marcadas para corrección a lo largo del proceso de revisión de cumplimiento y delegar las deficiencias a los propietarios del control o de los asuntos para actualizar el estado y los planes de acción relacionados. También puede asignar acciones a cualquier parte interesada para facilitar el seguimiento, la captura de pruebas y la resolución.

Ejemplo

Escenario

Dado que las pruebas T4 para el control REV-03 fallaron en el proyecto Brasil - Revisión SOX 2018, usted debe tener en cuenta la excepción registrando una deficiencia. También desea crear una medida de seguimiento específica que esté asociada con la deficiencia identificada y asignarla al miembro del personal correspondiente.

Proceso

Temas de ayuda

Usted documenta la siguiente deficiencia y acción en el proyecto Brasil - Revisión SOX 2018:

Asunto

  • Título/encabezado Inadecuada separación de tareas
  • Descripción La segregación o separación de las tareas de contabilidad significa dividir las tareas para que diferentes personas manejen el procesamiento de las transacciones, el registro de los datos, la preparación de estados financieros y la auditoría. Confiar en una persona para que maneje todas las funciones de contabilidad podría conducir a controles internos deficientes, fraude contable y malversación de activos de la compañía.
  • Propietario Gerente de Contabilidad
  • Tipo de asunto Deficiencia
  • Fecha de identificación Fecha
  • Gravedad Alto - Observación grave de la auditoría que conduce a pérdidas financieras
  • Publicado Publicado

Acción

  • Título Imponer la separación de tareas y/o implementar controles de compensación
  • Propietario Gerente de Contabilidad
  • Descripción Asegúrese de que el departamento de contabilidad esté organizado de forma tal que se logre una adecuada separación de tareas. Cuando las tareas no se pueden separar, implemente los siguientes controles de compensación:
    • Manejar todos los reportes de excepción en el nivel de supervisión
    • Implementar el control de acceso basado en roles en los sistemas informáticos
  • Fecha de vencimiento Fecha
  • Estado Abierto
  • Prioridad Alta

Resultado

Se capturan la deficiencia y la acción. En una fecha posterior, la auditoría puede revisar el plan de acciones correctivas y documentar los resultados de las nuevas pruebas para determinar si la deficiencia se ha corregido o no.

4. Realizar reportes sobre los controles internos

La realización de reportes sobre los controles internos es importante para la rama ejecutiva del negocio y, a menudo, genera una demanda crítica por parte de los controladores, vicepresidentes e incluso del director financiero. En cualquier momento durante el ciclo del proyecto, puede generar reportes para proporcionar información a los ejecutivos y la junta para propósitos de reportes regulatorios. También puede difundir reportes personalizados de forma programada para realizar el seguimiento de los indicadores de las correcciones y de atraso.

Consejo

Hay una variedad de reportes predeterminados disponibles para descargar en la aplicación Proyectos que evolucionan automáticamente a medida que avanza el proyecto. Por ejemplo, se puede descargar el reporte del Plan de pruebas para determinar si un proyecto es compatible con una metodología de muestreo válida, identifica pruebas manuales pesadas y crea oportunidades de aumento de la eficiencia. Para obtener más opciones de reportes personalizados, las organizaciones pueden usar la aplicación Reportes.

Ejemplo

Escenario

Usted debe proporcionar información detallada del estado de las pruebas de control a su oficina de administración del proyecto (PMO, por sus siglas en inglés). El reporte debe incluir el progreso de las pruebas de control para ambos proyectos (Canadá - Revisión SOX 2018 y Brasil - Revisión SOX 2018), que incluye atributos del control, evaluaciones de efectividad y aprobaciones del preparador de las pruebas de control. Usted también desea brindar la oportunidad de filtrar los datos de las pruebas de control en función de la calificación del proyecto o de la eficacia.

Proceso

Temas de ayuda

Primero, copie la plantilla de reporte Detalles de la prueba de control y modifique el informe según sea necesario. A continuación, guarda y activa el reporte. Finalmente, transmite el reporte por correo electrónico al destinatario correspondiente en un programa específico.

Resultado

El reporte se comparte con el destinatario especificado en un programa recurrente. La difusión de un reporte es una forma efectiva de compartir datos con otras personas de manera recurrente. Si necesita dirigirse a diferentes públicos, puede configurar varios programas de difusión para un solo reporte.

¿Qué sigue?

Obtener más información para automatizar un programa de certificación SOX 302

Las aplicaciones Proyectos y Resultados se pueden utilizar para realizar autoevaluaciones de manera eficiente, implementar solicitudes de certificación 302 y asegurar una distribución equitativa de la responsabilidad entre las partes interesadas en el control interno.

Para descubrir más, consulte Automatización de un programa de certificación SOX 302.