El documento describe los requisitos de la Ley de Prácticas Corruptas en el Extranjero de Estados Unidos (FCPA) y las estrategias para garantizar el cumplimiento. La FCPA prohíbe sobornar a funcionarios públicos extranjeros para obtener ventajas indebidas. El documento analiza los elementos de una violación, las excepciones permitidas, sanciones y estrategias de cumplimiento como políticas anticorrupción, debida diligencia de terceros, identificación de señales de alerta y mapeo de riesgos.
4. Sistema de Control Interno
para Exigencias US
01. Prevención de Prácticas
Corruptas en el Extranjero
Hernan Huwyler – Feb 2016
5. Análisis
Nivel directivo y
gerencias
Comités de dirección
(auditoria y control)
Colectivos de control
y auditoria
Importancia e
impacto
creciente
Requerimiento
FCPA
Impacto en los
negocios
Medidas ante
no compliance
¿A quienes aplica?
Menos aplicable Más aplicable
6. Análisis
Una amenaza palpable
En negocios globales Ambiente legal más litigioso
¿Porqué las leyes de prevención de prácticas corruptas en el
extranjero han crecido en importancia?
Presión interna de
ganar
competitividad
Presión externa al
ambiente de
negocios
7. Análisis
Una amenaza palpable
En años recientes, la exposición a sanciones por prácticas corruptas en el extranjero ha crecido en forma
significativa.
Mayores penalidades
8. Análisis
Ambiente legal más litigioso
FCPA ha sido una prioridad del
departamento de justicia
Americano
«Industria» consolidada de
investigaciones (whistleblowers)
Ambientes regulatorios
complejos
Mayor cooperación de
reguladores internacionales
Mayor control sobre SOX
Más paises trabajando en el
contecto de anticurropión de la
Organization for Economic
Cooperation and Development
(OECD)
Más companías haciendo
públicas sus violaciones (self-
disclosing FCPA violations)
9. Análisis - Historia
La FCPA se promulgó en respuesta a los
cuestionamientos que empresas
americanas habían efectuado pagos
ilegales o no éticos para asegurarse
contratos con funcionarios extranjeros.
La legislación estableció que el
departamento de justicia norteamericano
sea el encargado de su cumplimiento en
coordinación{on con la SEX (Securities
and Exchange Commission)
20151977
1977
Luego de críticas de empresas, la FCPA
se reforma para aclarar el alcance de la
ley. El principal cambio es establecer
mecanismos de defensa activos.
1988
Se reforma para alinearla a la convención
anti-corrupción de la Organization for
Economic Cooperation and Development
(OECD). De esta forma, equilibraron la
competencia injusta que tenían las
empresas norteamericanas.
1998
10. Análisis – Historia Dodd-Frank Act
Se promulgó como la Ley de Reforma de
Wall Street y Protección al Consumidor y
otorgó recompensas del 10% y un 30%
de la multa impuesta a aquellas personas
que entreguen información sobre la
comisión de un delito por parte de una
empresa registrada o con negocios en
Estados Unidos sin importar si se ha
cometido dentro o fuera de su territorio.
Influye corrupción además de
manipulación de mercados, fraude e
insider trading.
20152010
2010
Aluvión de denuncias en las primeras
semanas ante la oficina relacionada en la
SEC.
Se consolidan los despachos de
abogados buscando denunciantes, y
aparecen los primeros casos con
Siemens ,GlaxoSmithKline y Ranbaxy .
Se limitó el programa para auditores y
funciones de compliance.
Uso de la potestad anti-represaria (ej.
indemnizando a un denunciante que fue
movido de su cargo)
2011
40 millones de dólares de recompensa a
informantes extranjeros (la mayoría ex-
empleados).
10.193 denuncias de informantes (160
sobre FCPA)
A futuro hay muchos casos en
investigación en curso, y afectando a
más industrias además energía,
servicios, médicos, finance y defensa.
2014
Riego adicional por
fuga de información
11. Análisis - Resumen
… es ilegal proveer o
prometer «algo de valor»
directa o indirectamente…
… para obtener una «ventaja
injusta».
Al trabajar con «funcionarios
públicos» del extranjero…
El término «ventaja injusta» incluye:
Influenciar el acto o decisión de un funcionario publico
Obtener o retener un negocio o financiamiento
Desmerecer a los competidores
Asegurarse la impunidad de una acción ilícita
Asegurarse algún tratamiento especial fiscal o aduanero
El término «funcionarios público» incluye:
• Empleados del gobierno y políticos
• Organizaciones públicas internacionales (ej. Banco Mundial)
• Empleados de empresas públicas y similares, ejemplos:
• doctores en hospitales públicos
• profesores en universidades del estado
• compradores de empresas públicas
• familiares de los individuos de arriba
El término «algo de valor» incluye:
efectivo o servicios
regalos lujosos
pago de gastos de viaje
préstamos y descuentos
contribuciones caritativas
ayuda financiera o escolar
gastos de entretenimiento excesivos
títulos de honor, favores personales
12. Análisis - Prohibiciones
En general , la ley FCPA
sanciona a (1) empresas
norteamericanas que
sobornan a funcionarios
públicos en el extranjero, y
(2) personas y empresas
extranjeras que, directa o
indirectamente a través de
agentes, efectúan un acto de
corrupción dentro del
territorio norteamericano.
¡La compañía
cotiza en
Estados
Unidos?
Si
Prohibiciones Anti-
Corrupción
No
No hay más prohibiciones
Reporte de Principios
Contables
Aplica a todas las companías
Los estados contables
presentados deben reflejar
adecuadamente estas
transacciones y tener un
sistemas de control.
13. Análisis – 5 Elementos
Quien Intento de Corrupción Pago Destinatario Propósito de Negocio
• Aplica a toda persona,
empresa, apoderado,
director, empleado o
agente de una empresa
o de cualquier persona
que actúe a nombre de
la empresa.
•Incluye a terceras
partes como las
subsidiarias extranjeras
y joint ventures.
• La persona que hace o
autoriza el pago debe
tener un objetivo de
corrupción
•El pago debe tener el
objetivo que un oficial
público haga mal uso de
su posición para
beneficiar injustamente
al pagador o cualquier
otra persona que
designe
•Aún ofrecer el pago
constituye una violación.
•No importa si el acto de
corrupción es exitoso
• Extiende el acto de
corrupción a :
• Prohibe el pago, el
ofrecimiento, o la
promesa de pagar
dinero o cualquier
elemento de valor
• El pago debe ser
realizado con el objetivo
de ayudar a la empresa
a obtener o mantener un
contrato comercial, o de
redireccionar negocios a
cualquier persona.
Funcionarios
pñublicos del
extranjero
Oficiales de
partidos políticos de
extranjero
Cualquier
candidato político.
14. Análisis – 3 Excepciones
Pagos facilitadores Pagos de buena fe Pagos legales
• Pagos para acelerar
un procedimiento
administrativo
• Pagos razonables y
rutinarios
• Gastos razonables y
de buena fe
• Promoción y muestra
de productos o servicios
• Ejecución de un
contrato con un
gobierno
• Pagos legales a
funcionarios públicos
• Aceptados por una ley
escrita del país del
funcionario público
• Limitados o prohibidos por nuestros programas de compliance
• Si los aceptamos, deben tener aprobaciones, controles y contabilización especiales
• Los controles y aprobaciones deben ser anteriores a la ejecución
• Documentar que cumplen con los requisitos para ser una excepción a FCPA
• La separación entre sobornos prohibidos no es clara. Criterio: no cambian la decisión del
oficinal público, solamente la aceleran
• Pueden generar “dependencia” al ser luego esperados rutinariamente
• Presión de la OECD para eliminarlos
15. Análisis – Sanciones
Sanciones Penales Sanciones Civiles
Violación de
normativa
contable
Violación de
la ley anti
corrupción
• Compañías comerciales quedan sujetas a multas
de hasta 2 millones de dólares por violación o el doble
de la ganancia neta obtenida injustamente.
• Oficiales, directores, empleados y agentes de la
empresa pueden recibir multas de hasta $100.000 y/
o 5 años de prisión.
•Para ambos, las compañías y los individuos, las
sanciones civiles puede llegar a $10.000.
• Para ambos, las compañías y los individuos, la
corte puede imponer multas adicionales que no
excedan el monto esperado del acto de corrupción o
la inhabilitación de ejercer profesión.
• Compañías comerciales puedes ser multadas
hasta por 2,5 millones de dólares.
• Empleados que a sabiendas incumplieron los
requerimientos quedan sujetos a multas de un millón
de dólares y hasta 10 años de prisión.
• Compañías comerciales quedan sujetas a penas
civiles de $50.000 a $500.000.
Bajo el Departamento de Justicia Bajo la Securities & Exchange Commission
+ Demandas de
accionistas, fiscales
públicos del extranjero
e impositivas
16. Análisis
¿Cómo nos aseguramos el cumplimiento de las obligaciones de la
FCPA?
Compliance
Identificar “Red
Flags”
Política de
prevención de
prácticas
corruptas
Funciones de Control
Interno
Plan de
Revisiones
Proceso de
Mapeo de
Riesgos
FormalizadosSin concepto de
materialidad
Ajustada a los negocios
17. Análisis – Estrategias
Compliance, Entrenamiento y Monitoreo
Lineas de denuncias
Seminarios de cumplimiento FCPA obligatorios a directores y gerentes
Formalización de Procedimientos
Revisiones de due diligence o background check de agentes y consultores
Aprobación de agentes, joint ventures y otros representantes
Cláusulas en contratos para el cumplimiento de y responsabilidad por FCPA
Revisión de contratos
Aprobación de pagos facilitadores
Funciones de Control Interno
Revisiones contables y de controles en el extranjero
Revisiones operacionales en el extranjero
18. Análisis – Red Flags
Especificas a Paises
Especificas a Negocios
Especificas a Contabilidad
Negocios con mucha relación con gobiernos
Reputacion del agente comercial
Negativa del agente de proveer informacion
Relaciones de un agente o negocio con
empleados publicos
Patrones inusuales de pagos o relaciones
financieras
Falta de transparencia en los gastos y el
soporte contable
Comisiones inusualmente altas
Historia de corrupción en cierto país
Culturas donde la aceptación de regalos es
una norma
19. Análisis – Red Flags Agentes
Características del contrato
Características del agente
comercial o consultor
vinculaciones con países con historia de alta corrupción
con residencia fuera del país donde se genera el negocio
sin datos completos de propiedad o socios
sin datos de sus subcontratistas o de quienes lo asisten en el trabajo
con relaciones familiares con empleados, oficiales públicos o partido
político en funciones
no cuenta con las capacidades o licencias para el trabajo, ni estructura u
oficinas
nuevo o de única vez
sin background check
términos vagos
sin licitación o competencia
por servicios innecesarios
acuerdos retroactivos
20. Análisis – Red Flags Agentes
Características del pago
Características de la
comisión
inusualmente alta para el servicio y los riesgos asumidos (ej. En
comparación a otros agentes o trabajos anteriores)
alto adelanto
incluye altos premios y bonos por nuevo cliente o contrato
montos redondos
soportada por facturas no estándar o sin documentación de respaldo
solicitada o pagada en efectivo
a un tercer país o paraíso fiscal
transferencia sin detallar una persona física o a otra persona
patrones de pagos inusuales (ej. en fines de semana, rápido
procesamiento y pago)
21. Análisis – Mapa de Riesgos
Entrevista con gerentes y
directores
Ambiente de control Negocios en países con percepción de la corrupción de transparencia
internacional
Entrevista con el departamento legal, compliance y de control interno
Entrevista al sector comercial sobre controles y riesgos de mayores
clientes y contratos
Grado de formalización en políticas relacionadas (gastos de
representación, selección de agentes y consultores, gastos de viaje y
entretenimiento)
Entrevistas a quienes contraten intermediarios comerciales
(distribuidores, vendedores) y el grado de monitoreo que les hacemos
Análisis de comisiones pagadas a agentes, consultores , asesores e
intermedios (consulta de maestros y transaccionales, revisión de contratos,
desvíos estándar de comisiones)
Clientes del sector público y con líneas de préstamos altas
Importancia de los permisos y licencias para las operaciones (ej.
Importanciones)
Responsables de difundir el código de ética, norma FCPA, regalos y
entretenimiento (ej. invitaciones a eventos), conflictos de interés (ej.
familiares que trabajen en la administración pública).
Responsable de negociar contratos con el sector público
Responsable de gestionar pagos a consultores (ej. prácticas de pagos a
paraísos fiscales, selección de bancos)
22. Análisis – Mapa de Riesgos
Entrevista con gerentes y
directores
Selección de agentes y socios
comerciales
Responsables de gestionar a los agentes comerciales, consultores,
intermediarios, revendedores y distribuidores que obtengan negocios a
través de la compañía
Información que se solicita y aprueba:
Información de dueños y directores
Cualificaciones y licencias
Estados contables
Referencia
Compensación (vinculada a los servicios efectivas, de mercado)
Vínculos con el gobierno
Cláusas y entrenamiento FCPA (fin del contrato por falta ética)
Cláusas del «derecho a auditar»
Demostrar una necesidad efectiva de contratar a un agente o socio
Comité de selección de agentes y socios
Monitoreo de performance
Responsables de difundir el código de ética, norma FCPA, regalos y
entretenimiento (ej. invitaciones a eventos), conflictos de interés (ej.
familiares que trabajen en la administración pública).
Responsable de negociar contratos con el sector público (ej. Sales &
Marketing)
Responsable de gestionar pagos a consultores (ej. prácticas de pagos a
paraísos fiscales, selección de bancos)
23. Análisis – Mapa de Riesgos
Riesgo Neto Posibilidad de generar mecanismos de defensa:
Autorevelación (self-disclosing)
Programa de compliance (ej. alcance del COO)
Monitoreo (ej. demostrar doble aprobación, revisión de contratos
de consultores, comité de auditoria)
Cooperación con reguladores (ej. «extraordinaria cooperación» con
Siemens)
24. Controles en pagos para FCPA
Debemos vincular controles internos contables, de compras y de tesorería
para mitigar los riesgos claves como contratos simulados. El personal de
tesorería debe ser entrenado para identificar alertas de corrupción. FCPA no
tiene materialidad, a diferencia de SOX, y debemos monitorear todos los
riesgos.
• Certificación de servicios con contrato previo aprobado y documentando
la recepción efectiva en condiciones competitivas
• Autorización de proveedores de servicios especiales o por única vez
(proveedores pequeños, consultores, de servicios/agentes/distribuidores,
secuenciales por “falso autónomo”, de ciertos países, por patrocinio)
• Control de compras y pagos fraccionados/atomizados (frecuencia, montos
y destinatarios inusuales)
• Prohibiendo el pago en efectivo, arqueos y controles de fondos fijos
• Pagos por transferencia a países diferentes del origen del proveedor o
paraísos fiscales
• Aprobación de excepciones en plazos de pagos (pre-pago, anticipos)
26. Programa de Compliance
Elementos de un Programa de Compliance Efectivo
Código de ética y procedimientos formales
Responsabilidad del ExCom con medidas de control razonables
Controles de delegación de autoridad
Sistemas de monitoreo y auditoria basados en riesgos
Implementación consistente de medidas disciplinarias (tolerancia cero)
Respuesta efectiva ante las violaciones de normativas
«Tono de los
superiores»
Legal + Ético
No importa lo
escrito sino lo
hecho (FCPA Due
Diligence)
Mapeo de Riesgos
Sistema de
Reporte (Red
Flags, hotline)
27. Comunicación
El control preventivo comienza con una política
Los controles específicos pueden formar una política especifica sobre anticorrupción y el compliance penal o
incluirse como un capítulo del código de ética, prácticas comerciales o agruparse con normas semejantes
como regalos y entretenimiento.
Mensaje del CEO:
Puedes consultar y
reportar
Mensaje claro: No
puedes dar o
prometer sobornos
El compliance
officer o similar
está para ayudarte
29. Objetivos Alcanzados
• Refuerzo del tono ético
• FCPA es un punto de apoyo importante del
programa de compliance
• Cultura corporativa alineada y orientada a atender
necesidades de clientes
• la cultura en ciertos países tolera la
corrupción activa y pasiva
• Aumenta el nivel de control y políticas
• Reduce el riesgo de mal reporte financiero
• Orienta correctamente los incentivos y bonos a la
performance
Protección de la marca
Internamente
• Mejorar la confianza de accionistas y prestamistas
• Marco para otras jurisdicciones (eg. UKBL)
• Mejora en la competencia de la industria
• 3 de 4 habitantes del mundo vive en países de alta
corrupción. La corrupción cambia la forma que el
estado toma decisiones y deja de atender
necesidades públicas.
Protección de la sociedad
Externamente
30. Sistema de Control Interno para
Exigencias US
01.A. Entrenamiento Práctico
31. Presentación del Riesgo
¿Por qué es importante?
Explicación del objetivo de
control que mitiga un riesgo de
compliance.
Nosotros debemos….
45. SOX & FCPA
02. Marco Contextual del
Gobierno Corporativo & SOX
Hernan Huwyler – Mar 2015
46. ¿Porqué nos importa?
Mejor costo de deuda
Desarrollo de todos los grupos
de interés
Sustentabilidad de la empresa
Reducción de riesgos (crisis,
reputacionales, estandarización)
Mejor cotización
Mejor acceso a financiamiento
Permite medir el desempeño
47. Gobierno Corporativo
Es el sistema por el cual las compañías son dirigidas y controladas según el
interés de los accionistas, para crear y mantener valor a largo plazo.
• Regula las relaciones entre la Gerencia, el Directorio, los accionistas y
interés
• Establece la estructura para definir los objetivos de la organización, los
medios a utilizar para lograrlos y como medir el desempeño.
• Brinda incentivos a la Gerencia y al Directorio para alcanzar los objetivos
compañía
48. Definición y Sujetos
Directores
Ejecutivos
Accionistas
Aquellos que usan los activos de la compañía
Rol ejecutivo para la decisión y el control
Enfoque interno para el cumplimiento de
objetivos
Aquellos que son dueños del capital social
Dan una tolerancia de riesgo en función de
un retorno
Aquellos responsables de los activos de la
compañía
Rol estratégico y de supervisión
Enfoque externo y definición de objetivos y
valores
Relación efectiva con:
Empleados
Bancos
Proveedores
Contratistas
Reguladores
Comunidad
Ejerciciodelpoderentre
49. El Gobierno Corporativo
Resuelve el conflicto de interés y de información asimétrica entre quienes tienen la propiedad de una
compañía de quienes la gestionan
Formas en que quienes gestionan una empresa pueden actuar en
contra de quienes tienen su propiedad:
Cometer fraude (contable, abuso de confianza, información privilegiada)
Esfuerzos insuficientes
Superar la tolerancia al riesgo de los accionistas
Inversiones y gastos extravagantes
Atrincheramiento en sus cargos
Falta de comunicación de información clave
Aumento de compensaciones
El riesgo moral
50. Pilares del Gobierno Corporativo
Equidad
Rendición
deCuentas
Trasparencia
Responsabilidade
s definidas:
De los
accionistas sobre
los directores
De los directores
sobre los gerentes
Divulgación
oportuna y
apropiada de toda
la información
material
(performance,
financiera, de
propiedad)
Protección de los
derechos de los
accionistas,
incluyendo los
minoritarios
Resarcimientos
por violaciones
Independencia
Mecanismos para
minimizar y
controlar los
conflictos de
interés
Independencia de
directores y
consejeros
Maximización
de utilidades e
intereses de los
inversores
En compliance y
con
sustentabilidad
51. Rol de directores no ejecutivos
Gestión de remuneraciones
Rol del comité
del dirección
Recomendaron que los contratos de servicios no
duren más de 3 años y sean evaluados por la junta
anual de accionistas
Las remuneraciones debe ser justas y competitivas
Reunión real y frecuente para evaluar y monitorear
el desarrollo de negocios
Inclusión de miembros no ejecutivos que en número
y experiencia ejerzan influencia
Todos los miembros del comité deben tener acceso
al consejo de un Secretario de Dirección
Aportan un juicio independiente en el comité sobre
estrategia, performance, recursos, nombramientos
claves y estándares de conducta
Se nombran por periodos específicos y son
seleccionados por un proceso formal
El Informe Cadbury
Estudio de mejores prácticas sobre gobierno corporativo emitido en Reino Unido en 1992 por Adrian Cadbury
Controles internos y de reporte
contable
La presentación de las cuentas financieras y su
control interno es responsabilidad del comité
El comité debe asegurar la relación objetiva y
profesional con los auditores
El comité debe establecer un comité de auditoria
con al menos 3 directores no ejecutivos
52. Control Interno
Elemento del Gobierno Corporativo
Procedimientos de
Control Interno
Funciones de
auditoria y
compliance
establecidas
Planes de
Continuidad de
Desastres
Política de Gestión
de Riesgos
Auditores Externos
Independientes
Comité de Auditoria
53. Gobierno Corporativo
Deberes
Directorio
• Rendición de cuentas
• Deberes de lealtad y
diligencia
• Independencia
• Competencias
requeridas
• Funcionamiento /
Comités
• Evaluación y
capacitación
• Compensación
Accionistas
• Trato equitativo
• Suministro de
información
• Funcionamiento de
54. Modelo de Gobierno
Accionistas
Comité de
Dirección
Director Ejecutivo
Comité de
Compensación
Alta Dirección
Operaciones de la Compañía
Comité de
Auditoria
Auditoria Interna
Auditor Externo
Delega
Reporta
Delega
Reporta
Delega y
Supervisa Reporta
Delega
Reporta
Reporta
Ejecuta
Auditorias
Ejecuta
Auditorias
Delega Delega
Reporta
Nombra
Reporta
55. • Misión y visión, valores, código de ética
• Organigrama
• Descripciones de puestos
• Manuales de autorización
• Sistema de gestión de riesgos
• Reglamento del Directorio y del Comité de Auditoría
– Requisitos para ser director: competencia, independencia
– Responsabilidades (evaluación, capacitación, supervisión, opiniones)
– Reuniones (formalidades, periodicidad, etc.)
• Políticas, normas y procedimientos
– Sistema de gestión de documentos
– Responsabilidades específicas
• Conflicto de intereses
• Transparencia, fluidez e integridad de la información
• Auditoría
– Interna
– Externa
• Grupos de interés y responsabilidad social
¿Cómo se expresa?
56. Escándalos Corporativos
¿Qué pasó?
Serie de
escándalos por
fraudes
corporativos
Maniobras de
subvaluación de
deudas, gastos y
contingencias
Maniobras de
sobrevaluación
de activos y
ventas
Desvío de
fondos
Fuerte reacción
de inversores y
reguladores
A veces fraude
en cooperación
con otras
empresas y
filiales
57. Crisis de Confianza
Causas
• Fraudes,
manipulación y
contabilidad
creativa
• corrupción
administrativa
• conflictos de interés
• negligencia
• bonos a directores
Impacto
• crisis de confianza
de inversores
• pérdidas accionistas
• quiebre de
empresas
• impacto social
• atención de los
medios
• presión de los
analistas bursátiles
Casos 2001+
• Enron
• Arthur Andersen
• Worldcom
• Tyco
• Global crossing
• Parmalat
• Adelphia
• Xerox
• Waste Managemen
Consecuencias
• Ley Sarbanes Oxley 2002
• Atención en la ética y el gobierno corporativo
• Cambio cultura evitando comportamiento gregario
58. Escándalos Corporativos
¿Qué aprendimos?
La alta dirección
hará todo lo
posible por
cumplir con las
expectativas de
resultados
Los auditores y
sus clientes
pueden llegar a
estar demasiado
vinculados
Los valores
éticos son dados
por el tono de la
alta dirección
Las normas
contables
permiten
discreción
Se limitó el
escrutinio a los
resultados
contables
Los reguladores
no han podido
detener el fraude
60. Control Interno
Un proceso
que construimos todos
dando una seguridad razonable
para maximizar las posibilidades de lograr 4 objetivos:
el reporte financiero y no financiero
la protección de activos frente a errores y fraudes
la eficiencia y
El cumplimiento de normas internas y externas
Riesgos Controles
tiempo
Output
CostoBeneficio
61. Escándalos Corporativos
Como consecuencia de los escándalos corporativos surgido en compañías
públicas americanas desde mediados del 2001, el gobierno de los EEUU
promulgó la Ley SOX que busca transparencia de las operaciones de las
empresas que fortalecer el control interno de las mismas, con el fin de:
• Restablecer la confianza de los inversores
• Prevenir la repetición de fraudes contables
• Incrementar el nivel de transparencia y responsabilidad informes
financieros
• Proveer a las compañías de nuevos estándares para la g de informes
contables
• Establecer penas para los directivos que no cumpla legislación
62. Sistemas Integrados de Control Interno
En el marco global, otros países se sumaron a la iniciativa lanzada
por SOX para regular en forma equivalente. SOX demuestra
su utilidad globalmente y como estándar de empresas internacionales.
En España está la Ley 44/2002.
SOX 404
King Report Corporate Law Economic
Reform Program Act 2004
CLERP-9
Japan SOX
German Corporate
Governance Code
Bill 198
China SOX
Loi de Securite
Financiere (LSF)
Clause 49
Combined Code
of Corporate
Governance
Law 262/2005
8th European
Directive
63. ¿Qué nos pide desde controles?
Exige a la gerencia establecer, mantener y evaluar los procedimientos
de control interno adecuados para la emitir financieros.
Prevé un enfoque basado en riesgos (top-down approach) en los
controles a nivel entidad, los procesos con impacto contables, la
segregación de funciones, la documentación los controles, prevención de
fraude, etc.
Exige informar las deficiencias significativas y debilidad y las acciones
correctivas definidas para su remediación.
Exige al CEO y CFO, la supervisión y certificación sobre la efectividad de
los controles y procedimientos de información dentro de los 90 días previos
a la fecha de para cualquier informe. Nota: Evaluación Point-in-Time y Anual
Alcanza a empresas privadas que presenten información financiera anual a
la SEC, incluyendo empresas de capital extranjero (foreign private issuers)
64. ¿Qué nos pide?
SOX como
riesgo de
incumplimiento
SOX como
oportunidad de
excelencia
65. ¿Cómo se estructura?
Sección 404
Evaluación de
Control Interno
La dirección debe
emitir un informe
sobre su evaluación
de control interno y
sus procedimientos
para el reporte
contable con
respaldo de auditor
externo
Sección 302
Controles de
Revelación
La dirección debe
certificar la correcta
revelación en la
presentación de
información anual y
cuatrimestral a la
SEC
Sección 401
Revelaciones en
Reportes
La dirección debe
informar en todos los
reportes los
compromisos fuera
de balance
Sección 802
Penalidades CEO y
CFO
La dirección es
pasible de multas
hasta 1.000.000
dólares y 10 años de
prisión
Sección 406
Código de Ética Financiero
La dirección debe adoptar un código de ética para sus ejecutivos financieros.
66. Sobre la Calidad de Información
Sección 401:
Mejoras en los detalles de información y transacciones fuera de balance y
del contenido de los informes pro-forma.
Sección 404:
Evaluación del control interno financiero:
• valorado,
• documentado, y
• certificado
… por la dirección de la sociedad y auditado por el auditor contable.
Este opinará sobre la corrección de lo manifestado por la sociedad y sobre la
eficiencia del control interno financiero a la fecha de cierre de los estados
financieros (definición de 180 palabras).
67. Sobre la Calidad de Información
Sección 302:
La información pública presentada deberá ser legitimada por los directivos
de la sociedad. En este sentido, los directivos certificarán su responsabilidad
y corrección respecto a:
• Los informes trimestrales y anuales
• La no existencia de omisiones o información confusa en los estados
financieros
• Los controles sobre la información que se envía al mercado y la eficiencia
del control interno sobre la misma
• La comunicación de forma efectiva a los auditores y al Comité de
Auditoría de los errores o fraudes que se identifiquen
Sección 409:
Los cambios en información pública de la sociedad, que tengan impacto
potencial significativo, en la situación financiera o en las operaciones,
deberán ser informados de forma mucho más rápida y efectiva.
68. Sobre la Responsabilidad
Sección 204:
Incremento de comunicaciones directas entre el Auditor y el Comité de
Auditoría en materias como: políticas contables significativas, tratamientos
contables alternativos, etc.
Sección 301:
Regulaciones completas para los Comités de Auditoría (obligatorios):
• Serán responsables directos de designar, retribuir y supervisar al Auditor
• Sus miembros deberán ser consejeros independientes (no ejecutivos)
• Deberán implantar un canal de recogida anónima de denuncias
• Deberán disponer de capacidad de compensación al auditor y a otros
asesores si los consideran necesarios en el desarrollo de sus
responsabilidades
69. Sobre la Responsabilidad
Sección 407:
Obligación de contar con expertos financieros en el Comité de Auditoría e
informar explícitamente sobre quiénes son los consejeros con esta
experiencia.
70. Sobre la Responsabilidad
Sección 303:
Es explícitamente ilegal la actuación de cualquier consejero o directivo
destinada a influir de forma fraudulenta, coaccionar, manipular o confundir,
intencionadamente, al auditor.
Sección 403:
Las operaciones realizadas por los agentes que pueden disponer de
información reservada/ no pública están sometidas a una exigencia de
información a los mercados en tiempo muy corto y de forma veraz.
Sección 406:
Obligatoriedad de un Código de Ética para los Ejecutivos del Área
Financiera. Los cambios o incumplimientos al Código deben ser informados
públicamente.
71. Sobre la Responsabilidad
Sección 806:
Protección especial para los denunciantes anónimos de conductas ilícitas e
irregulares de la sociedad: en ningún caso podrán ser perseguidas las
denuncias formuladas por este tipo de incumplimientos. Se otorga una
protección especial a los denunciantes de este tipo de irregularidades.
72. Sobre la Supervisión
Secciones 101, 102, y 104:
Creación de un organismo público de supervisión: la oficina de control de la
contabilidad de las empresas públicas o public company accounting
oversight board (PCAOB)
El PCAOB tendrá capacidad de supervisión y establecimiento de estándares
de auditoría, controles de calidad, normas de ética e independencia para
auditores, etc.
Cualquier compañía que quiera auditar sociedades cotizadas en mercados
americanos deberá estar inscrita adecuadamente en el PCAOB.
El PCAOB desarrollará programas continuos de supervisión del tra bajo de
las firmas de auditoría para comprobar su cumplimiento efectivo de los
estándares profesionales.
73. Sobre la Supervisión
Sección 407:
Extensión de las responsabilidades profesionales para los abogados.
Estarán obligados a informar cualquier evidencia que dispongan sobre
violaciones materiales de leyes sobre actuaciones con títulos cotizados o
incumplimientos de obligaciones por el Consejero Delegado o por el
Secretario del Consejo (o el responsable legal del mismo). Si se informa a la
Dirección y esta no tomara acciones se informaría directamente a la SEC.
Sección 408:
La SEC amplia de forma importante las revisiones periódicas sobre los
reportes (filings) de las compañías. En el caso de los 10-K y 10-Q, al menos
deberán revisarse una vez cada tres años.
74. Sobre las Obligaciones
Sección 304:
Deberán reintegrarse los incentivos cobrados o los beneficios realizados en
la venta de acciones por el Consejero Delegado (CEO) o por el Director
Financiero (CFO) que se hayan recibido sobre la base de una información
financiera fraudulenta que necesite ser re-evaluada, corregida, y publicada
nuevamente.
Sección 804:
Aumentan los plazos en que puede perseguirse un fraude cometido y/o
identificado.
75. Sobre las Obligaciones
Sección 906:
Obligación para CEO y CFO de certificar, bajo responsabilidad penal, su
buena fe en cuanto a que los informes públicos periódicos:
• Cumplen con todos los requisitos establecidos en la Ley sobre Acciones
de 1934 (Securities Exchange Act, 1934).
• Presentan, en todos los aspectos materiales, la situación financiera y los
resultados de las operaciones del emisor.
Secciones 802 y 1102 :
Responsabilidades penales por manipular, alterar o destruir documentos o
impedir, de otra manera, una investigación oficial.
Extensión de las responsabilidades penales a cualquier persona que altere
documentos, incluyendo registros documentales de auditoría, con el fin de
obstruir o impedir una investigación.
76. Sobre las Obligaciones
Sección 105:
Aumento importante de las sanciones a los contables/financieros por
no testificar, facilitar documentación o cooperar, en general, con
investigaciones oficiales.
77. Sobre los Auditores
Sección 201:
Prohibición total para que el auditor de cuentas pueda prestar determinados
servicios a sus clientes de auditoría
Sección 202 y 203:
El Comité de Auditoría deberá autorizar, de forma previa a su contratación,
cualquier servicio permitido que pretenda contratarse con el auditor de
cuentas. El socio firmante y el socio revisor deberán rotar cada 5 años.
Sección 206:
Establece restricciones para que una entidad contrate personal del equipo
de su auditoría sin que esto pueda suponer un posible problema de
independencia para la firma auditora. Se establece un periodo “de
enfriamiento” de un año en el que no se pueden producir estas
contrataciones para puestos clave y en relación directa.
78. • Un proceso que provee seguridad razonable sobre la
confiabilidad de reporte financiero para usuarios externos
y bajo principios contables generalmente aceptados
(consistente con el marco de COSO)
• Bajo supervisión del CEO. CFO, y similares
• Que mantiene documentación con grado razonable de
detalle sobre las transacciones
• Que permite dar seguridad razonable a la identificación
oportuna de fraude que puede afectar materialmente los
estados contables
• Reportada en forma anual por SOX 404 por CFO y CEO
• Solo información financiera y se audita en forma
independiente
Control Interno
sobre el reporte financiero
79. • Un proceso que asegura que la información que se
publica ante la SEC es registrada, procesada,
consolidada y reportada oportunamente
• Incluye a controles para cumplir con los requerimientos
de la SEC y otras regulaciones
• Sistema para que toda la información material bajo
conocimiento de la dirección sea reportado
• Reportada en forma trimestral por SOX 302 por CFO y
CEO
• Información financiera y no financiera
• No se audita
Controles y Procedimientos
de Revelación
80. ¿Qué consecuencias tiene?
• Sanciones de los organismos de contralor que pueden ir desde el
apercibimiento hasta el retiro de la oferta pública.
• Sanciones económicas directas para la compañía.
• Multas económicas de hasta US$ 5.000.000 para los directores
integrantes de la alta gerencia y hasta 20 años de prisión.
• Dificultades para el acceso a fuentes de financiamiento externo.
• Impacto negativo en la imagen y reputación de la compañía.
• Caída del valor de mercado de la acción.
81. ¿Qué consecuencias tiene?
• Las normas le exigen a la entidad emisora que, bajo la responsabilidad de
su funcionario ejecutivo principal (CEO) y del funcionario financiero
principal (CFO), evalúe la efectividad de los controles y la revelación de
información en forma previa a la presentación de los informes.
• Los funcionarios de mayor jerarquía de la compañía tienen la
responsabilidad de determinar el grado en el que quieren realizar los
procedimientos y la documentación de los mismos.
• La SEC no ha establecido procedimientos detallados para la evaluación
de los controles y los procedimientos de revelación en la presentación de
información. La norma establece que cada compañía emisora debe
desarrollar un proceso de evaluación que se adecúe a su negocio,
administración interna y prácticas de supervisión.
82. ¿Qué alcanza?
El término “controles y procedimientos de revelación y de presentación de
información”, se refiere a los controles y procedimientos diseñados para
garantizar que la entidad emisora tiene la información financiera requerida
para cumplir con sus obligaciones de publicidad de información en virtud de
la Ley de Mercados.
El funcionario ejecutivo principal (CEO) y el funcionario financiero principal
(CFO) son los responsables de supervisar y revisar las evaluaciones
periódicas de control sobre los procedimientos de revelación y presentación
de información.
Los informes deben revelar cambios significativos en controles internos de
una entidad emisora o factores que pudieran afectarla luego de la fecha de
la evaluación reciente, incluyendo las acciones correctivas.
Alcanza a la entidad cotizante y las subsidiarias que consoliden, con sus
respectivos ejecutivos.
83. ¿Qué alcanza?
Anualmente la Gerencia será responsable de :
Anteriormente, según la norma PCAOB N°2, los auditores independientes certificar la evaluación y
certificación preparada por la gerencia y emitidos sobre la misma de acuerdo con las normas
emitidas o adoptadas por Supervisión de la Contabilidad de las Compañías que Cotizan en Bolsa
según la norma PCAOB N°5, sólo se requiere la opinión del auditor sobre la efectividad del
control interno sobre el reporte financiero.
Establecer y mantener una
estructura y
procedimientos de control
adecuados para la emisión
de informes financieros
Evaluar y certificar, al cierre
del ejercicio, sobre la
efectividad de los
procedimientos de control
interno sobre la emisión de
informes según normas de la
SEC
Identificar el marco (los
criterios) usados para
evaluar la efectividad
controles internos sobre la
emisión de informes
financieros
84. La SEC Guidance provee algunos
principios básicos
La gerencia debe evaluar el diseño de los controles para prevenir el riesgo
de afirmación errónea que no sea prevenida o detectada
La evaluación de la gerencia sobre el funcionamiento de los controles
principalmente en la evaluación de los riesgos
85. Audit Standard 5 por PCAOB
• El auditor no debe opinar sobre el proceso de evaluación realizado por el
management.
• Utilización de los Entity Level Controls para reducir las pruebas.
• Enfoque Top-Down.
• El auditor puede elegir “testear” en aquellas áreas, donde a su juicio y
criterio profesional, considera que es necesario.
• El enfoque puede adecuarse al tamaño y complejidad de cada compañía.
• Permite al auditor hacer mayor foco en aquellos temas de mayor riesgos,
tales como los procesos de cierre contable y reporting
• El auditor puede utilizar en mayor medida el trabajo de otros, o sea, de la
propia compañía u otros asesores.
86. Marco Normativo Español
Ley de Sociedades Anónimas:
• diligencia y lealtad: los administradores deberán desempeñar el cargo con
la diligencia de un ordenado empresario y de un representante leal
• Potenciales conflictos de interés
Ley del Mercado de Valores:
• obliga a las sociedades cotizadas a detallar “el grado de seguimiento de
las recomendaciones de gobierno corporativo o, en su caso, la
explicación de la falta de seguimiento de dichas recomendaciones” en su
Informe Anual de Gobierno Corporativo (art 61)
• Principio de cumplir o explicar: adopto las recomendaciones voluntarias o
justifico
87. Marco Normativo Español
Código Unificado de Buen Gobierno:
• Resume los informes Olivencia (98), Aldama (03) y la Ley de
Transparencia de España
• Para las sociedades cotizadas desde el 2006, actualizada 2013
• Serie de recomendaciones
Rec. 40: Que la supervisión del cumplimiento de los códigos internos de
conducta y de las reglas de gobierno corporativo se atribuya a la Comisión
de Auditoría, a la de Nombramientos, o, si existieran de forma separada, a
las de Cumplimiento o Gobierno Corporativo.
88. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 41 . Que los miembros del Comité de Auditoría, y de forma especial su
presidente, se designen teniendo en cuenta sus conocimientos y experiencia
en materia de contabilidad, auditoría o gestión de riesgos.
Rec. 42. Que las sociedades cotizadas dispongan de una función de
auditoría interna que, bajo la supervisión del Comité de Auditoría, vele por el
buen funcionamiento de los sistemas de información y control interno.
Rec. 43. Que el responsable de la función de auditoría interna presente al
Comité de Auditoría su plan anual de trabajo; le informe directamente de las
incidencias que se presenten en su desarrollo; y le someta al final de cada
ejercicio un informe de actividades.
89. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 44. Que la política de control y gestión de riesgos identifique al menos:
a. Los distintos tipos de riesgo (operativos, tecnológicos, financieros, legales,
reputacionales…) a los que se enfrenta la sociedad, incluyendo entre los
financieros o económicos, los pasivos contingentes y otros riesgos fuera de
balance;
b. La fijación del nivel de riesgo que la sociedad considere aceptable;
c. Las medidas previstas para mitigar el impacto de los riesgos identificados,
en caso de que llegaran a materializarse;
d. Los sistemas de información y control interno que se utilizarán para
controlar y gestionar los citados riesgos, incluidos los pasivos contingentes o
riesgos fuera de balance.
90. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 45. Que corresponda al Comité de Auditoría:
1º En relación con los sistemas de información y control interno:
a. Que los principales riesgos identificados como consecuencia de la supervisión de la
eficacia del control interno de la sociedad y la auditoría interna, en su caso, se
gestionen y den a conocer adecuadamente.
b. Velar por la independencia y eficacia de la función de auditoría interna; proponer la
selección, nombramiento, reelección y cese del responsable del servicio de auditoría
interna; proponer el presupuesto de ese servicio; recibir información periódica sobre
sus actividades; y verificar que la alta dirección tiene en cuenta las conclusiones y
recomendaciones de sus informes.
c. Establecer y supervisar un mecanismo que permita a los empleados comunicar, de
forma confidencial y, si se considera apropiado, anónima las irregularidades de
potencial trascendencia, especialmente financieras y contables, que adviertan en el
seno de la empresa.
91. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 45. Que corresponda al Comité de Auditoría:
2º En relación con el auditor externo:
a. Recibir regularmente del auditor externo información sobre el plan de
auditoría y los resultados de su ejecución, y verificar que la alta dirección
tiene en cuenta sus recomendaciones.
b. Asegurar la independencia del auditor externo y, a tal efecto:
• i. Que la sociedad comunique como hecho relevante a la CNMV el cambio de auditor y lo
acompañe de una declaración sobre la eventual existencia de desacuerdos con el auditor
saliente y, si hubieran existido, de su contenido.
• ii. Que se asegure que la sociedad y el auditor respetan las normas vigentes sobre prestación
de servicios distintos a los de auditoría, los límites a la concentración del negocio del auditor y,
en general, las demás normas establecidas para asegurar la independencia de los auditores
• iii. Que en caso de renuncia del auditor externo examine las circunstancias que la hubieran
motivado.
92. Marco Normativo Español
Código Unificado de Buen Gobierno:
Rec. 46. Que el Comité de Auditoría pueda convocar a cualquier empleado o
directivo de la sociedad, e incluso disponer que comparezcan sin presencia
de ningún otro directivo.
Rec. 47. Que el Comité de Auditoría informe al Consejo, con carácter previo
a la adopción por éste de las correspondientes decisiones, sobre :
• a. La información financiera que, por su condición de cotizada, la
sociedad deba hacer pública periódicamente.
• b. La creación o adquisición de participaciones en entidades de propósito
especial o domiciliadas en países o territorios que tengan la consideración
de paraísos fiscales
• c. Las operaciones vinculadas, salvo que esa función de informe previo
haya sido atribuida a otra Comisión de las de supervisión y control.
93. Marco Normativo Español
Sistema de Control Interno de la Información Financiera (SCIIF):
• Principios de control emitido por la CNMV en 2010
• Permite evaluar la eficacia de los controles internos
• Requiere declarar el sistema de gestión de riesgos en el informe anual de
gobierno corporativo
• El auditor externo debe revisar el marco de control interno como parte de
la revisión de cuentas
94. Marco Normativo Español
Explicación del Sistema de Gestión de Riesgos
• Principios de control emitido por la CNMV en 2010
• Permite evaluar la eficacia de los controles internos
• Requiere declarar el sistema de gestión de riesgos en el informe anual de
gobierno corporativo
• El auditor externo debe revisar el marco de control interno como parte de
la revisión de cuentas
95. SOX & FCPA
03. Marco Práctico de SOX
Hernan Huwyler – Mar 2015
97. * 1985: Se forma el Comité de Organizaciones Patrocinadoras de la
Comisión Treadway (COSO).
* 1992: Informe COSO I “Internal Control - Integrated Framework”
* 2002: Se emite la ley Sarbanes Oxley obligando a evaluar el control
interno, y toma a COSO como referencia
* Otras referencias: Cobit, Tumbull, CoCo Criteria of Control, ITIL,….
* 2002+: Cambios en ambientes: internacionalización, nuevas
tecnologías y preponderancia de sistemas, outsourcing, objetivos no
financieros, expectativas de reguladores e inversores, riesgos
emergentes (cybercrime, cloud-computing) y objetivos no
financieros.
* 2004: COSO II sobre riesgos
* 2013: COSO III con transición al 15 de Diciembre de 2014
Contexto Histórico
98. Misma definición de control interno:
• El control interno es un proceso, es un medio para alcanzar un fin.
• Al control interno lo realizan las personas, no son sólo políticas y procedimientos.
• El control interno sólo brinda un grado de seguridad razonable, no es la seguridad total.
• El control interno tiene como fin facilitar el alcance de los objetivos de una organización en lo referido a sus
operaciones, reporte y cumplimiento.
Mismos 5 componentes
• Entorno de control: el personal es el núcleo del negocio, como así también el entorno donde trabaja.
• Evaluación de riesgos: toda organización debe conocer los riesgos a los que enfrenta, estableciendo
mecanismos para identificarlos, analizarlos y tratarlos.
• Actividades de control: establecimiento y ejecución de las políticas y procedimientos que sirvan para
alcanzar los objetivos de la organización.
• Información y comunicación: los sistemas de información y comunicación permiten que el personal capte e
intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones.
• Supervisión: Para que un sistema reaccione ágil y flexiblemente de acuerdo con las circunstancias, deber
ser supervisado.
• Mismos conceptos fundamentales
COSO 2013
99. COSO 2013
• Reconoce los reportes no financieros e internos
Objetivos de Reporte
• Legales y regulatorios
• Reconoce la complejidad de los mismos
Objetivos de Cumplimiento
• Eficiencia y efectividad de las operaciones
• Salvaguarda de activos por pérdidas
• Considera los cambios en el ambiente
Objetivos Operativos
100. COSO 2013
Un marco sobre principios y componentes
No prescribe controles específicos para desarrollar e implementar sino que se asocian al criterio de la
dirección y la situación de cada entidad.
101. COSO 2013
• Que soportan los 5 componentes
• Deben estar integrados al implementar
el control y en funcionamiento
• Deben funcionar en conjunto en forma
dinámica para reducir el riesgo de
incumplir los objetivos
• Guia para diseñar, implementar y
evaluar controles hacia los gestores
Codificación 17 Principios
102. COSO 2013 - Principios
• Principio 1: Demostrar compromiso con la integridad y
valores éticos.
• Principio 2: El consejo de administración ejerce su
responsabilidad de supervisión del control interno.
• Principio 3: Establecimiento de estructuras, asignación
de autoridades y responsabilidades.
• Principio 4: Demuestra su compromiso de reclutar,
capacitar y retener personas competentes.
• Principio 5: Retiene a personal de confianza y
comprometido con las responsabilidades de control
interno.
Del Ambiente de Control
103. COSO 2013 - Principios
• Principio 6: Se especifican objetivos claros para
identificar y evaluar riesgos para el logro de los
objetivos.
• Principio 7: Identificación y análisis de riesgos para
determinar cómo se deben mitigar.
• Principio 8: Considerar la posibilidad del fraude en la
evaluación de riesgos.
• Principio 9: Identificar y evaluar cambios que podrían
afectar significativamente el sistema de control
interno.
•
De la Gestión de Riesgos
104. COSO 2013 - Principios
• Principio 10: Selección y desarrollo de actividades de
control que contribuyan a mitigar los riesgos a niveles
aceptables.
• Principio 11: La organización selecciona y desarrolla
actividades de controles generales de tecnología para
apoyar el logro de los objetivos.
• Principio 12: La organización implementa las
actividades de control a través de políticas y
procedimientos
•
De la Actividad de Control
105. COSO 2013 - Principios
• Principio 13: Se genera y utiliza información de
calidad para apoyar el funcionamiento del control
interno.
• Principio 14: Se comunica internamente los objetivos y
las responsabilidades de control interno.
• Principio 15: Se comunica externamente los asuntos
que afectan el funcionamiento de los controles
internos.
•
De la Información y Comunicación
106. COSO 2013 - Principios
• Principio 16: Se lleva a cabo evaluaciones sobre la
marcha y por separado para determinar si los
componentes del control interno están presentes y
funcionando.
• Principio 17: Se evalúa y comunica oportunamente las
deficiencias del control interno a los responsables de
tomar acciones correctivas, incluyendo la alta
administración y el consejo de administración.
•
Del Monitoreo
110. Tipos de Controles
Se efectúan
“en papel y
lapíz”
Se testean por
muestreo y
revisión de
documentación
Manuales
Los efectúa un
sistema (No
ciclo de IT)
Se testean por
pruebas de
sistemas
Sin sampling
Automáticos
111. Tipos de Controles
Monitorean el
balance y los
resultados, así
como la relación
al presupuesto
Enfoque
tradicional de
COSO/SOX
Financieros
Monitorean la
performance
organización
Relacionados a
la información no
financiera.
Finalmente afectan lo
financiero.
No
financieros
- Controles sobre
objetivos
estratégicos
- satisfacción de
clientes/empleados
- métricas de
eficiencia y calidad,
KPIs/KRIs
- Planeamiento y
estrategia
- Seguimiento
inventarios
- Controles generales
de IT (ej. respaldos)
- Controles sobre
aprobaciones y
delegaciones
- Conciliaciones de
cuenta
- Control de costos y
presupuesto
112. Tipos de Controles
No asegura un
proceso o no
reporta información
de calidad
No implementado
Del Walkthrought
Procedimiento o
Flowchart
Diseño
Control
implementado sin
consistencia de
cumplimiento
Del Testeo
Operaciones
113. Tipos de Controles
Afectan a
todos los
ciclos
Alto riesgo
Surgen del
ciclo entorno
de control
Entity
Level
Controles
relacionados
con un ciclo
Surgen del
resto de los
ciclos
Process
Level
Muchas veces no se
utilizan y aprovechan
completamente
Costosos: se
testean a través
de transacciones
114. Tipos de Controles
Actividades del Directorio
Acciones del Nivel Ejecutivo
Entity
Level
Controles de Jefes de Departamentos
Controles de Mandos Intermedios
Control de Supervisión
Process
Level
Código Ético
Ambiente de Control
Políticas de GRC
Procedimientos
Controles
Transaccionales
Instrucciones
115. Tipos de Controles
Evaluación del riesgo
Ambiente de control
Entity
Level
Comité de riesgos, política ERM, evaluación anual,
revisión de planes de acción sobre riesgos
Actividad de control
Información y comunicación
Monitoreo de actividades
Comité de dirección, comité de auditoria y ética,
línea de denuncia, sistema normativo
Área de control interno, procedimientos para todos
los niveles, documentación sobre controles claves,
testeos, remediaciones
Documentación de los testeos de SOX y del
proceso de riesgos, reportes de controles,
presentación de remediaciones
Reuniones efectivas de todos los comités,
presentación de reportes, seguimiento de KPIs y
KRIs
116. Entity-Level
- Plan estratégico y
filosofía de gestión
- Políticas,
procedimientos y
monitoreo
- Evaluación de
riesgos
- Entrenamiento
- Calidad y auditoria
→ Gobierno
Corporativo de IT
De Aplicación
- Integridad
(transmisión de
datos, interfaces,
totales de control)
- Confiabilidad
- Existencia /
Autorización
(Segregación de
funciones)
- Presentación /
Revelación
Generales
- Desarrollo de
Programas
- Gestión de
Cambios
- Operaciones de
Sistemas
- Respaldos y
restauración
- Seguridad lógica
Tipos de Controles de Sistemas
Activity Level
Efecto
generalizado en
el resto de los
controles
117. Tipos de Controles de Sistemas
Ventas
Controles de
Aplicación para
Emitir una O/C
Inventarios C/P Tesorería
Controles de
Aplicación para
Completar una
O/C
Controles de
Aplicación para
Pagar una O/C
Desarrollo de Aplicativos y Gestión del Cambio
Controles de Acceso a Bases de Datos
Controles de Acceso al S.O y Aplicativo
Cuentas Contables
Significativas
Controles
Generales
Controles de
Aplicación
119. DEMO
Universo de Controles y Riesgos
Entity Level
Ciclos financieros y operativos
Ciclo de sistemas
Pruebas de testeo
Matrices de control
Documentación
120. SOX & FCPA
03.1 Gestión de un Proyecto
de Aseguramiento para SOX
Hernan Huwyler – Feb 2016
121. Determinar controles y áreas/ unidades de negocio.
Definir enfoque, tiempos, y recursos del proyecto.
Lanzar el proyecto.
1 Planificación
Documentar el diseño de los controles de
cada entidad alcanzada.
2
Documentación
Evaluar el diseño y cumplimento del control interno
generación de información financiera y documentar los
resultados de la evaluación.
3 Evaluación
Identificar, acumular y evaluar las deficiencias del diseño.
y efectividad operacional; comunicar hallazgos y
corregir deficiencias.
4 Plan de Acción
Preparar la declaración escrita de la alta gerencia sobre
efectividad del control interno
sobre la información financiera.
5 Reporte
Etapas
RevisióndeControlInterno
independiente
6Reaseguro
122. Elaborar y comunicar un plan integral que defina claramente el alcance, y enfoque
con la asignación de recursos que sirve como base para una evaluación exitosa.
1 Planificación
Etapas
Unidades y Locaciones
Balance y Estados
Impuesto y TI
Consejo:
Involucrar a auditoria externa
Preguntas claves para la gerencia:
¿Qué políticas y procedimientos deberán estar implementados para
fomentar una evaluación consistente en toda la organización?
¿Qué enfoque de documentación y herramientas tecnológicas se
emplearán en la evaluación?
¿Qué países o unidades de negocios se incluirán en el alcance de la
evaluación?
¿Qué enfoque de Gerencia del proyecto y estructura de control del
proyecto se emplearán?
¿Qué capacitación y comunicación se necesita para aplicar el
proceso de evaluación en toda la organización?
¿Cómo se compara la estructura de control existente vs. COSO?
De ser necesario, ¿habrá suficiente tiempo para llevar a cabo
medidas correctivas?
123. La documentación del control interno de la compañía es un aspecto claves y
se considera un e del proceso de evaluación
2Documentación
Etapas
Walk-through
Diagramas de flujos
Proceso de cierre
Consejo:
Catálogos de controles y
procesos
Análisis de gaps con COSO
Preguntas claves para la gerencia:
¿Cómo se identificarán los controles importantes?
¿Cuál será el formato y contenido de la documentación relativa a los
controles importantes?
¿Qué se necesita documentar en relación con los controles
importantes?
¿Qué incluirá de los cinco elementos de COSO en la documentación
de los controles importantes?
¿Cuenta la organización con la capacidad y recursos para satisfacer
los requerimientos de documentación de toda la organización?
¿Qué proceso se aplicará para efectuar las revisiones de control de
calidad y verificaciones de integridad de los controles documentados
de toda la organización?
¿Qué fuentes de referencia de control (tales como COSO,
requerimientos de control a nivel corporativo, etc.) se debieran aplicar
para evaluar el diseño de los controles?
124. La evaluación del diseño de control es un proceso importante que requiere del juicio del
revisor en la los componentes del control, técnicas a aplicar a fin de determinar si
el control previene o detecta los evaluación de la gerencia de la efectividad de operación,
y que debe ser soportada con suficiente evidencia
3 Evaluación
Etapas
Procedimientos de testeos
Seguimiento de operaciones
Consejo:
Combinación de técnicas
Preguntas claves para la gerencia:
¿Cuáles políticas y técnicas se utilizarán para evaluar los controles
significativos, incluyendo la efectividad del diseño y la operación?
¿Quiénes serán responsables de llevar a cabo la evaluación en las
localidades más importantes y de los controles más importantes, en
toda la organización?
¿Estas personas, necesitan entrenamiento para llevar a cabo la
evaluación?
¿Cómo se documentarán y reportarán los resultados de la evaluación
a través de la organización?
126. La Gerencia deberá analizar las deficiencias encontradas para determinar su
importancia.
4 Plan de Acción
Etapas
Tipos de Deficiencias:
Deficiencia : Documentación
incompleta pero aseveración
respaldada.
Deficiencia significativa:
Documentación
incompleta pero el resto de las
pruebas respaldan.
Debilidad material:
Documentación
incompleta o inexistente
y las pruebas no respaldan.
Preguntas claves para la gerencia:
¿Qué procesos se utilizarán para identificar y acumular las
deficiencias encontradas en toda la organización, incluyendo todos
los países, regiones y unidades de negocio evaluadas?
¿Cómo se evaluará el control de deficiencias para determinar si éstas
son de tal magnitud que constituyan deficiencias significativas o
debilidades materiales?
¿Qué acción correctiva se establecerá?
¿Qué proceso se utilizará para comunicar los hallazgos al comité de
auditoría, auditor independiente y otros?
127. Los resultados de las fases previas deberán soportar las afirmaciones escritas de la
administración acerca de la efectividad del control interno. El auditor independiente llevará
a cabo una auditoría del control interno para asegurar que los reportes financieros están de
acuerdo con los estándares aprobados
5 Reporte
6 Reaseguro
Etapas
Norma de auditoría N° 5
emitida por el PCAOB
Preguntas claves para la gerencia:
¿Esta la administración en la posición de proveer afirmación escrita
acerca de la efectividad del control interno sobre los reportes
financieros?
¿Está la evaluación soportada con la suficiente evidencia, incluyendo
la documentación de los controles, evaluación de la efectividad del
control y la evaluación de las deficiencias?
¿Qué acción correctiva se establecerá?
¿Qué proceso se utilizará para comunicar los hallazgos al comité de
auditoría, auditor independiente y otros?
128. Etapas mejorando el negocio
Mejorar el Negocio
MejorarlosControlesyRiesgos
Evaluación y
certificación
de controles
Mejoras en
procesos
aislados
Integración de
mejoras
Mejora de
cumplimiento
Mejora en la
estructura de
información
Reorganización
de reportes
Eliminación duplicidades, automatización
y eficientización de secuencia de
actividades
129. Inventarios de controles
Un control es una actividad que valida información y crea un contexto para una acción. Un control
puede ser manual o automático, preventivo o detectivo.
Manual
Automático
Detectivos Preventivos
130. * Comenzar los testeos con una carpeta electrónica
estandarizada
* Dividirla en un archivo permanente (poderes, políticas,
CoCo) y de testeo anual (controles SOX operativos)
* Aplicar el concepto de “auditoría continua”, no
esperando al final del año para el testeo
* Orientarnos a operaciones no rutinarias y uso de
estimaciones
Consejos de Testeos
131. * Son datos generados o procesados por una aplicación de sistemas y/o una solución
informática para el usuario final (ej. MS Excel, data warehouse, herramientas de
reportes), que pueden ser electrónicas o impresas y se usan para soportar
procedimientos de auditoria en la evaluación de controles internos (ej. reportes de
anticuación de saldos, listados de servicios prestados pero no facturados, emails de
autorización…).
* Los dueños del proceso deben escribir que controles incluyen al menos anualmente
y documentarlos cada vez que los efectúan
* Preguntar: ¿Cómo te aseguras que los datos que vienen del ERP son completos y
exactos? ¿Cómo sabes que configuración tiene este reporte? ¿Qué filtros
seleccionas?
* Preguntarnos: ¿qué datos se pueden manipular de este reporte? ¿tienen cálculos
muy complejos? ¿qué importancia tiene cada dato en la contabilidad?
* Buena práctica: identificar estos reportes y documentar la fuente de datos para
asegurarnos que sean completos y exactos. Involucrar a especialistas de sistemas.
Electronic Audit Evidence (EAE)
133. • Conjunto de políticas y procedimientos que generan los dueños de un proceso para
asegurarse que los objetivos de la dirección son llevados a cabo por los empleados.
• Ocurren por: aprobaciones, autorizaciones, verificaciones, conciliaciones, revisión de
performance, custodia de activos y segregación de funciones.
Actividad de Control
135. • Narrativos de procesos, tomando un flujo de transacciones como ejemplo (cuya
documentación se puede usar como testeo)
• Procedimiento para trazar una transacción a la contabilidad y los sistemas.
• Se efectúa durante una entrevista con el dueño del proceso, usando una transacción
de ejemplo para identificar los controles efectuados y su contabilización.
• Se identifican excepciones, riesgos, y el historial de errores.
• Se pueden identificar deficiencias de diseño
• No requerido por auditores externos usualmente, pero necesario para identificar los
atributos de control
• Soporte con un modelo genérico
• Entrevista con encargado de proceso para detectar las actividades de control y
relacionarlas con la documentación de ejemplo
• Entrevista estructurada: ¿Cómo se realiza el control en ausencia del encargado?
¿Qué hacen con excepciones? ¿Qué puede salir mal? ¿Qué procedimientos tienen?
¿Qué reportes usas? ...
• Reperformance del control, entrevistas corroborativas y observación del control
Walkthroughs
142. Políticas y
Procedimientos
- de seguridad
- de control de
acceso
- de activos
informáticos
- de correo
electrónico
- aplicaciones de
usuario final
Seguridad
(aplicativos y Redes)
- matriz de
autorización
- diagramas de redes
Gestión de Cambios
- gestión de
proyectos
Continuidad de
Negocios
- plan de
recuperación de
desastres
- respaldos y pruebas
- planificación de
trabajos (job
scheduling)
Controles de Sistemas y COSO
143. Garantizar
Operaciones
- Definir los acuerdos
de nivel de servicios
- Resolver los
incidentes
- Gestionar los
servicios de terceros
Garantizar
Seguridad
- Asegurar los
accesos a sistemas
Gestión de Datos
- Gestionar los datos
- Gestionar la
configuración y
parámetros
Garantizar el
Desarrollo
- Gestionar el cambio
- Compra y desarrollo
de aplicativos
- Compra y desarrollo
de infraestructura
- Instalación de
parches y
actualizaciones
Objetivos de Sistemas
144. • ERP FiCo
• A/P
• A/R
• Nómina (no recursos humanos en general)
• Activos fijos / Gestión de almacenes
• Tesorería
• Ambientes productivos (los ambientes y aplicativos de testeo
tienen un impacto indirecto al analizar gestión de cambios)
Alcance de SOX IT
SOX APP
Contribuyen a los estados contables (datos financieros y operativos)
Impacto de controles automáticos
145. DEMO
Testeo de ciclo estándar de sistemas
Documentación
Mejores prácticas SOX IT
Resolución de problemas comunes
146. Consejos para un Buen Testeo
• 1. Mapa de riesgos a nivel entidad, procesos y de sistemas
• Determinar las unidades de negocios que alcanzamos (y revisar los riesgos de las que dejamos afuera)
• Evaluar los cambios en la operatoria y estrategia, incluyendo el reporte no financiero
• 2. Evaluar permanentemente los controles claves
• Formularios de autoevaluación de controles (CSAs)
• Considerar el riesgo de los controles financieros y no financieros
• Considerar los controles de compliance, operacionales, de fraude y sistemas
• 3. Relacionar el programa de SOX con el marco de COSO 2013
• Enfocarnos en los controles automáticos y el gobierno corporativo
• Atención a la narrativa de los controles para cumplir con todos los componentes de COSO
• 4. Enfocarnos al cumplimiento de los objetivos estratégicos
• Considerar todos los riesgos con enfoque top-down
• Riesgos de fraude y error vinculados a un factor humano (ej. background check, entrenamiento adecuado)
• 5. Actualizar la documentación de SOX
• Consolidar la valuación de las deficiencias
• Evaluar el efecto combinado de las deficiencias (ej. controles mitigantes parciales)
147. Sistema Normativo
Estrategia
Programa de
Compliance
Procesos
Sub-Procesos
Gente Sistemas Activos
Compliance
Interno
Compliance
Externo
Valores, código tico,
estatutos, resoluciones
del directorio
Normas de algo nivel GRC
Políticas sobre
requerimientos externos
o internos (ciclos)
Instrucciones sobre
controles paso a paso
148. Sistema Normativo
Sistema de Gestión de Normas
Riesgos
Redacción
Consulta
Benchmarking
CoordinaciónCCOy
dueñodelproceso
Aprobación
Publicación
traducciónyversiones
Implementación y
Entrenamiento
Comunicación
Programasde
Desarrollo
Consultas
Excepciones (Waivers)
Auditoria
Gestiónde
Incidentes
Nuevo
Ciclo de
Gestión
de
Políticas
149. Consejos para Buenas Políticas
• 1. Sistema de normas centralizado (norma de normas, policy-on-policy o meta-policy)
• Custodia el compliance officer por consistencia y para integrarlas en niveles y por dueños del proceso
• Cambios de versiones, traducciones, y notificaciones en forma colaborativa
• 2. Del papel a la acción
• Lenguaje simple con uso de narrativos, flujogramas, fotos, y preguntas/respuestas para facilitar las
decisiones (ej. prueba obligatoria luego de notificar el cambio de una norma)
• Construcción consultiva y seguimiento obligatorio (acknowledgements, medidas disciplinarias expresas)
• Relacionar las normas a los departamentos o cargos afectados
• 3. Vinculadas a los riesgos
• Facilitar la actualización de normas (siguiendo los cambios: quién, cuando y cómo)
• Validación por legales
• 4. Actuaciones estándar
• Normas de industrias y mejores prácticas (seguir la estructura de controles SOX)
• 5. Monitoreo
• Revisión anual en base a observaciones de auditores, cambios regulatorios e incumplimientos y fraudes
• Entrevista con entrenamiento sobre procesos especialmente confusos para los afectados
150. Soluciones de Entrenamiento
• 1. Difusión del concepto de “auto-control”
• Capacitaciones que mejoran los resultados de SOX:
• Políticas y procedimientos
• Controles antifraude
• Controles financieros y spreadsheet controls
• 2. Medios de capacitación
• Presenciales, eLearning, eSeminars
• Revistas y newsletters
• 3. Momentos
• Ingreso de nuevos empleados: pack de bienvenida, charla de inmersión al código de ética
• Campañas periódicas
• Propuestas colectivas con gestión de riesgos, compliance, IT y recursos humanos
• 4. Capacitación a los SOX testers
• CIA (IIA), CISA/CRISC Risk and Information Systems Control (ISACA), CFE (ACFE)
• COBIT/COSO y metodología de testeos y selección de muestras
• Reportes efectivos e influencia
154. Checklist para SOX Training
√¿Contamos con un programa para áreas de para cada riesgo?
Deficiencias pasadas, cambios normas, empleados que roten
√¿El entrenamiento ofrecido tiene sentido con las áreas que
aportan valor y los riesgos de fraude y compliance detectados?
√
¿Mido todas las etapas del entrenamiento y lo ajusto en
consecuencia? Asistencia, entendimiento, contenido, método
√¿Incluyo y centralizo los riesgos y controles de sistemas?
√¿Comparo el costo del entrenamiento con el ahorro en
eficiencia del testo de SOX por auditores internos y externos?
√¿Les doy ejercicios concretos a cada sector: operaciones,
finanzas, SOX testers?