FCPA Compliance

Sistema de Control Interno
para Exigencias US
Hernan Huwyler

Audit SOX ACCG
Risks
SAP/IT
Compliance

Sistema de Control Interno
para Exigencias US
01. Prevención de Prácticas
Corruptas en el Extranjero
Hernan Huwyler – Feb 2016

Análisis
Nivel directivo y
gerencias
Comités de dirección
(auditoria y control)
Colectivos de control
y auditoria
Importancia e
impacto
creciente
Requerimiento
FCPA
Impacto en los
negocios
Medidas ante
no compliance
¿A quienes aplica?
Menos aplicable Más aplicable

Análisis
Una amenaza palpable
En negocios globales Ambiente legal más litigioso
¿Porqué las leyes de prevención de prácticas corruptas en el
extranjero han crecido en importancia?
Presión interna de
ganar
competitividad
Presión externa al
ambiente de
negocios

Análisis
Una amenaza palpable
En años recientes, la exposición a sanciones por prácticas corruptas en el extranjero ha crecido en forma
significativa.
Mayores penalidades

Análisis
Ambiente legal más litigioso
FCPA ha sido una prioridad del
departamento de justicia
Americano
«Industria» consolidada de
investigaciones (whistleblowers)
Ambientes regulatorios
complejos
Mayor cooperación de
reguladores internacionales
Mayor control sobre SOX
Más paises trabajando en el
contecto de anticurropión de la
Organization for Economic
Cooperation and Development
(OECD)
Más companías haciendo
públicas sus violaciones (self-
disclosing FCPA violations)

Análisis - Historia
La FCPA se promulgó en respuesta a los
cuestionamientos que empresas
americanas habían efectuado pagos
ilegales o no éticos para asegurarse
contratos con funcionarios extranjeros.
La legislación estableció que el
departamento de justicia norteamericano
sea el encargado de su cumplimiento en
coordinación{on con la SEX (Securities
and Exchange Commission)
20151977
1977
Luego de críticas de empresas, la FCPA
se reforma para aclarar el alcance de la
ley. El principal cambio es establecer
mecanismos de defensa activos.
1988
Se reforma para alinearla a la convención
anti-corrupción de la Organization for
Economic Cooperation and Development
(OECD). De esta forma, equilibraron la
competencia injusta que tenían las
empresas norteamericanas.
1998

Análisis – Historia Dodd-Frank Act
Se promulgó como la Ley de Reforma de
Wall Street y Protección al Consumidor y
otorgó recompensas del 10% y un 30%
de la multa impuesta a aquellas personas
que entreguen información sobre la
comisión de un delito por parte de una
empresa registrada o con negocios en
Estados Unidos sin importar si se ha
cometido dentro o fuera de su territorio.
Influye corrupción además de
manipulación de mercados, fraude e
insider trading.
20152010
2010
Aluvión de denuncias en las primeras
semanas ante la oficina relacionada en la
SEC.
Se consolidan los despachos de
abogados buscando denunciantes, y
aparecen los primeros casos con
Siemens ,GlaxoSmithKline y Ranbaxy .
Se limitó el programa para auditores y
funciones de compliance.
Uso de la potestad anti-represaria (ej.
indemnizando a un denunciante que fue
movido de su cargo)
2011
40 millones de dólares de recompensa a
informantes extranjeros (la mayoría ex-
empleados).
10.193 denuncias de informantes (160
sobre FCPA)
A futuro hay muchos casos en
investigación en curso, y afectando a
más industrias además energía,
servicios, médicos, finance y defensa.
2014
Riego adicional por
fuga de información

Análisis - Resumen
… es ilegal proveer o
prometer «algo de valor»
directa o indirectamente…
… para obtener una «ventaja
injusta».
Al trabajar con «funcionarios
públicos» del extranjero…
El término «ventaja injusta» incluye:
Influenciar el acto o decisión de un funcionario publico
Obtener o retener un negocio o financiamiento
Desmerecer a los competidores
Asegurarse la impunidad de una acción ilícita
Asegurarse algún tratamiento especial fiscal o aduanero
El término «funcionarios público» incluye:
• Empleados del gobierno y políticos
• Organizaciones públicas internacionales (ej. Banco Mundial)
• Empleados de empresas públicas y similares, ejemplos:
• doctores en hospitales públicos
• profesores en universidades del estado
• compradores de empresas públicas
• familiares de los individuos de arriba
El término «algo de valor» incluye:
efectivo o servicios
regalos lujosos
pago de gastos de viaje
préstamos y descuentos
contribuciones caritativas
ayuda financiera o escolar
gastos de entretenimiento excesivos
títulos de honor, favores personales

Análisis - Prohibiciones
En general , la ley FCPA
sanciona a (1) empresas
norteamericanas que
sobornan a funcionarios
públicos en el extranjero, y
(2) personas y empresas
extranjeras que, directa o
indirectamente a través de
agentes, efectúan un acto de
corrupción dentro del
territorio norteamericano.
¡La compañía
cotiza en
Estados
Unidos?
Si
Prohibiciones Anti-
Corrupción
No
No hay más prohibiciones
Reporte de Principios
Contables
Aplica a todas las companías
Los estados contables
presentados deben reflejar
adecuadamente estas
transacciones y tener un
sistemas de control.

Análisis – 5 Elementos
Quien Intento de Corrupción Pago Destinatario Propósito de Negocio
• Aplica a toda persona,
empresa, apoderado,
director, empleado o
agente de una empresa
o de cualquier persona
que actúe a nombre de
la empresa.
•Incluye a terceras
partes como las
subsidiarias extranjeras
y joint ventures.
• La persona que hace o
autoriza el pago debe
tener un objetivo de
corrupción
•El pago debe tener el
objetivo que un oficial
público haga mal uso de
su posición para
beneficiar injustamente
al pagador o cualquier
otra persona que
designe
•Aún ofrecer el pago
constituye una violación.
•No importa si el acto de
corrupción es exitoso
• Extiende el acto de
corrupción a :
• Prohibe el pago, el
ofrecimiento, o la
promesa de pagar
dinero o cualquier
elemento de valor
• El pago debe ser
realizado con el objetivo
de ayudar a la empresa
a obtener o mantener un
contrato comercial, o de
redireccionar negocios a
cualquier persona.
 Funcionarios
pñublicos del
extranjero
Oficiales de
partidos políticos de
extranjero
Cualquier
candidato político.

Análisis – 3 Excepciones
Pagos facilitadores Pagos de buena fe Pagos legales
• Pagos para acelerar
un procedimiento
administrativo
• Pagos razonables y
rutinarios
• Gastos razonables y
de buena fe
• Promoción y muestra
de productos o servicios
• Ejecución de un
contrato con un
gobierno
• Pagos legales a
funcionarios públicos
• Aceptados por una ley
escrita del país del
funcionario público
• Limitados o prohibidos por nuestros programas de compliance
• Si los aceptamos, deben tener aprobaciones, controles y contabilización especiales
• Los controles y aprobaciones deben ser anteriores a la ejecución
• Documentar que cumplen con los requisitos para ser una excepción a FCPA
• La separación entre sobornos prohibidos no es clara. Criterio: no cambian la decisión del
oficinal público, solamente la aceleran
• Pueden generar “dependencia” al ser luego esperados rutinariamente
• Presión de la OECD para eliminarlos

Análisis – Sanciones
Sanciones Penales Sanciones Civiles
Violación de
normativa
contable
Violación de
la ley anti
corrupción
• Compañías comerciales quedan sujetas a multas
de hasta 2 millones de dólares por violación o el doble
de la ganancia neta obtenida injustamente.
• Oficiales, directores, empleados y agentes de la
empresa pueden recibir multas de hasta $100.000 y/
o 5 años de prisión.
•Para ambos, las compañías y los individuos, las
sanciones civiles puede llegar a $10.000.
• Para ambos, las compañías y los individuos, la
corte puede imponer multas adicionales que no
excedan el monto esperado del acto de corrupción o
la inhabilitación de ejercer profesión.
• Compañías comerciales puedes ser multadas
hasta por 2,5 millones de dólares.
• Empleados que a sabiendas incumplieron los
requerimientos quedan sujetos a multas de un millón
de dólares y hasta 10 años de prisión.
• Compañías comerciales quedan sujetas a penas
civiles de $50.000 a $500.000.
Bajo el Departamento de Justicia Bajo la Securities & Exchange Commission
+ Demandas de
accionistas, fiscales
públicos del extranjero
e impositivas

Análisis
¿Cómo nos aseguramos el cumplimiento de las obligaciones de la
FCPA?
Compliance
Identificar “Red
Flags”
Política de
prevención de
prácticas
corruptas
Funciones de Control
Interno
Plan de
Revisiones
Proceso de
Mapeo de
Riesgos
FormalizadosSin concepto de
materialidad
Ajustada a los negocios

Análisis – Estrategias
Compliance, Entrenamiento y Monitoreo
Lineas de denuncias
Seminarios de cumplimiento FCPA obligatorios a directores y gerentes
Formalización de Procedimientos
Revisiones de due diligence o background check de agentes y consultores
Aprobación de agentes, joint ventures y otros representantes
Cláusulas en contratos para el cumplimiento de y responsabilidad por FCPA
Revisión de contratos
Aprobación de pagos facilitadores
Funciones de Control Interno
Revisiones contables y de controles en el extranjero
Revisiones operacionales en el extranjero

Análisis – Red Flags
Especificas a Paises
Especificas a Negocios
Especificas a Contabilidad
Negocios con mucha relación con gobiernos
Reputacion del agente comercial
Negativa del agente de proveer informacion
Relaciones de un agente o negocio con
empleados publicos
Patrones inusuales de pagos o relaciones
financieras
Falta de transparencia en los gastos y el
soporte contable
Comisiones inusualmente altas
Historia de corrupción en cierto país
Culturas donde la aceptación de regalos es
una norma

Análisis – Red Flags Agentes
Características del contrato
Características del agente
comercial o consultor
 vinculaciones con países con historia de alta corrupción
con residencia fuera del país donde se genera el negocio
sin datos completos de propiedad o socios
sin datos de sus subcontratistas o de quienes lo asisten en el trabajo
con relaciones familiares con empleados, oficiales públicos o partido
político en funciones
no cuenta con las capacidades o licencias para el trabajo, ni estructura u
oficinas
nuevo o de única vez
sin background check
términos vagos
sin licitación o competencia
por servicios innecesarios
acuerdos retroactivos

Análisis – Red Flags Agentes
Características del pago
Características de la
comisión
inusualmente alta para el servicio y los riesgos asumidos (ej. En
comparación a otros agentes o trabajos anteriores)
alto adelanto
incluye altos premios y bonos por nuevo cliente o contrato
montos redondos
soportada por facturas no estándar o sin documentación de respaldo
solicitada o pagada en efectivo
a un tercer país o paraíso fiscal
transferencia sin detallar una persona física o a otra persona
patrones de pagos inusuales (ej. en fines de semana, rápido
procesamiento y pago)

Análisis – Mapa de Riesgos
Entrevista con gerentes y
directores
Ambiente de control Negocios en países con percepción de la corrupción de transparencia
internacional
Entrevista con el departamento legal, compliance y de control interno
Entrevista al sector comercial sobre controles y riesgos de mayores
clientes y contratos
Grado de formalización en políticas relacionadas (gastos de
representación, selección de agentes y consultores, gastos de viaje y
entretenimiento)
Entrevistas a quienes contraten intermediarios comerciales
(distribuidores, vendedores) y el grado de monitoreo que les hacemos
Análisis de comisiones pagadas a agentes, consultores , asesores e
intermedios (consulta de maestros y transaccionales, revisión de contratos,
desvíos estándar de comisiones)
Clientes del sector público y con líneas de préstamos altas
Importancia de los permisos y licencias para las operaciones (ej.
Importanciones)
Responsables de difundir el código de ética, norma FCPA, regalos y
entretenimiento (ej. invitaciones a eventos), conflictos de interés (ej.
familiares que trabajen en la administración pública).
Responsable de negociar contratos con el sector público
 Responsable de gestionar pagos a consultores (ej. prácticas de pagos a
paraísos fiscales, selección de bancos)

Entrevista con gerentes y
directores
Selección de agentes y socios
comerciales
Responsables de gestionar a los agentes comerciales, consultores,
intermediarios, revendedores y distribuidores que obtengan negocios a
través de la compañía
Información que se solicita y aprueba:
Información de dueños y directores
Cualificaciones y licencias
Estados contables
Referencia
Compensación (vinculada a los servicios efectivas, de mercado)
Vínculos con el gobierno
Cláusas y entrenamiento FCPA (fin del contrato por falta ética)
Cláusas del «derecho a auditar»
Demostrar una necesidad efectiva de contratar a un agente o socio
Comité de selección de agentes y socios
Monitoreo de performance
Responsables de difundir el código de ética, norma FCPA, regalos y
entretenimiento (ej. invitaciones a eventos), conflictos de interés (ej.
familiares que trabajen en la administración pública).
Responsable de negociar contratos con el sector público (ej. Sales &
Marketing)
Responsable de gestionar pagos a consultores (ej. prácticas de pagos a
paraísos fiscales, selección de bancos)

Riesgo Neto Posibilidad de generar mecanismos de defensa:
Autorevelación (self-disclosing)
Programa de compliance (ej. alcance del COO)
Monitoreo (ej. demostrar doble aprobación, revisión de contratos
de consultores, comité de auditoria)
Cooperación con reguladores (ej. «extraordinaria cooperación» con
Siemens)

Controles en pagos para FCPA
Debemos vincular controles internos contables, de compras y de tesorería
para mitigar los riesgos claves como contratos simulados. El personal de
tesorería debe ser entrenado para identificar alertas de corrupción. FCPA no
tiene materialidad, a diferencia de SOX, y debemos monitorear todos los
riesgos.
• Certificación de servicios con contrato previo aprobado y documentando
la recepción efectiva en condiciones competitivas
• Autorización de proveedores de servicios especiales o por única vez
(proveedores pequeños, consultores, de servicios/agentes/distribuidores,
secuenciales por “falso autónomo”, de ciertos países, por patrocinio)
• Control de compras y pagos fraccionados/atomizados (frecuencia, montos
y destinatarios inusuales)
• Prohibiendo el pago en efectivo, arqueos y controles de fondos fijos
• Pagos por transferencia a países diferentes del origen del proveedor o
paraísos fiscales
• Aprobación de excepciones en plazos de pagos (pre-pago, anticipos)

Análisis – Casos Por Países
2005 a 2014

Programa de Compliance
Elementos de un Programa de Compliance Efectivo
Código de ética y procedimientos formales
Responsabilidad del ExCom con medidas de control razonables
Controles de delegación de autoridad
Sistemas de monitoreo y auditoria basados en riesgos
Implementación consistente de medidas disciplinarias (tolerancia cero)
Respuesta efectiva ante las violaciones de normativas
«Tono de los
superiores»
Legal + Ético
No importa lo
escrito sino lo
hecho (FCPA Due
Diligence)
Mapeo de Riesgos
Sistema de
Reporte (Red
Flags, hotline)

Comunicación
El control preventivo comienza con una política
Los controles específicos pueden formar una política especifica sobre anticorrupción y el compliance penal o
incluirse como un capítulo del código de ética, prácticas comerciales o agruparse con normas semejantes
como regalos y entretenimiento.
Mensaje del CEO:
Puedes consultar y
reportar
Mensaje claro: No
puedes dar o
prometer sobornos
El compliance
officer o similar
está para ayudarte

Comunicación
Dudas y
Preguntas
Seguimiento
posterior
Nro Reporte y
Password

Objetivos Alcanzados
• Refuerzo del tono ético
• FCPA es un punto de apoyo importante del
programa de compliance
• Cultura corporativa alineada y orientada a atender
necesidades de clientes
• la cultura en ciertos países tolera la
corrupción activa y pasiva
• Aumenta el nivel de control y políticas
• Reduce el riesgo de mal reporte financiero
• Orienta correctamente los incentivos y bonos a la
performance
Protección de la marca
Internamente
• Mejorar la confianza de accionistas y prestamistas
• Marco para otras jurisdicciones (eg. UKBL)
• Mejora en la competencia de la industria
• 3 de 4 habitantes del mundo vive en países de alta
corrupción. La corrupción cambia la forma que el
estado toma decisiones y deja de atender
necesidades públicas.
Protección de la sociedad
Externamente

Sistema de Control Interno para
Exigencias US
01.A. Entrenamiento Práctico

Presentación del Riesgo
¿Por qué es importante?
Explicación del objetivo de
control que mitiga un riesgo de
compliance.
Nosotros debemos….

Responsabilidad del Control
Do The Right
Thing
¿Qué me
piden que
controle?
Glosario

Explicamos el riesgo de
incumplimiento de FCPA y
normas similares
¿A quien afecta?

Separa el concepto de pago
facilitador
Sólo permitido ante la
amenaza física
inminente a un
trabajador

Preguntas y Respuestas
Caso real y general de riesgo
Decisión situacional
¿Qué harías?
Si o No

Responsabilidad del Control
Aclaración de
todos los casos
Ejemplos: empleados de
empresas públicas como
otras petroleras nacionales

Responsabilidades
¿Cómo detecto el
riesgo de compliance?
¿De qué soy
responsable?

Responsabilidades
Responsabilidad de
reportar actos de
corrupción

Reforzamiento de
mensajes claves

SOX & FCPA
02. Marco Contextual del
Gobierno Corporativo & SOX
Hernan Huwyler – Mar 2015

¿Porqué nos importa?
Mejor costo de deuda
Desarrollo de todos los grupos
de interés
Sustentabilidad de la empresa
Reducción de riesgos (crisis,
reputacionales, estandarización)
Mejor cotización
Mejor acceso a financiamiento
Permite medir el desempeño

Gobierno Corporativo
Es el sistema por el cual las compañías son dirigidas y controladas según el
interés de los accionistas, para crear y mantener valor a largo plazo.
• Regula las relaciones entre la Gerencia, el Directorio, los accionistas y
interés
• Establece la estructura para definir los objetivos de la organización, los
medios a utilizar para lograrlos y como medir el desempeño.
• Brinda incentivos a la Gerencia y al Directorio para alcanzar los objetivos
compañía

Definición y Sujetos
Directores
Ejecutivos
Accionistas
Aquellos que usan los activos de la compañía
Rol ejecutivo para la decisión y el control
Enfoque interno para el cumplimiento de
objetivos
Aquellos que son dueños del capital social
Dan una tolerancia de riesgo en función de
un retorno
Aquellos responsables de los activos de la
compañía
Rol estratégico y de supervisión
Enfoque externo y definición de objetivos y
valores
Relación efectiva con:
Empleados
Bancos
Proveedores
Contratistas
Reguladores
Comunidad
Ejerciciodelpoderentre

El Gobierno Corporativo
Resuelve el conflicto de interés y de información asimétrica entre quienes tienen la propiedad de una
compañía de quienes la gestionan
Formas en que quienes gestionan una empresa pueden actuar en
contra de quienes tienen su propiedad:
Cometer fraude (contable, abuso de confianza, información privilegiada)
Esfuerzos insuficientes
Superar la tolerancia al riesgo de los accionistas
Inversiones y gastos extravagantes
Atrincheramiento en sus cargos
Falta de comunicación de información clave
Aumento de compensaciones
El riesgo moral

Pilares del Gobierno Corporativo
Equidad
Rendición
deCuentas
Trasparencia
Responsabilidade
s definidas:
De los
accionistas sobre
los directores
De los directores
sobre los gerentes
Divulgación
oportuna y
apropiada de toda
la información
material
(performance,
financiera, de
propiedad)
Protección de los
derechos de los
accionistas,
incluyendo los
minoritarios
Resarcimientos
por violaciones
Independencia
Mecanismos para
minimizar y
controlar los
conflictos de
interés
Independencia de
directores y
consejeros
Maximización
de utilidades e
intereses de los
inversores
En compliance y
con
sustentabilidad

Rol de directores no ejecutivos
Gestión de remuneraciones
Rol del comité
del dirección
Recomendaron que los contratos de servicios no
duren más de 3 años y sean evaluados por la junta
anual de accionistas
Las remuneraciones debe ser justas y competitivas
Reunión real y frecuente para evaluar y monitorear
el desarrollo de negocios
Inclusión de miembros no ejecutivos que en número
y experiencia ejerzan influencia
Todos los miembros del comité deben tener acceso
al consejo de un Secretario de Dirección
Aportan un juicio independiente en el comité sobre
estrategia, performance, recursos, nombramientos
claves y estándares de conducta
Se nombran por periodos específicos y son
seleccionados por un proceso formal
El Informe Cadbury
Estudio de mejores prácticas sobre gobierno corporativo emitido en Reino Unido en 1992 por Adrian Cadbury
Controles internos y de reporte
contable
La presentación de las cuentas financieras y su
control interno es responsabilidad del comité
El comité debe asegurar la relación objetiva y
profesional con los auditores
El comité debe establecer un comité de auditoria
con al menos 3 directores no ejecutivos

Control Interno
Elemento del Gobierno Corporativo
Procedimientos de
Control Interno
Funciones de
auditoria y
compliance
establecidas
Planes de
Continuidad de
Desastres
Política de Gestión
de Riesgos
Auditores Externos
Independientes
Comité de Auditoria

Gobierno Corporativo
Deberes
Directorio
• Rendición de cuentas
• Deberes de lealtad y
diligencia
• Independencia
• Competencias
requeridas
• Funcionamiento /
Comités
• Evaluación y
capacitación
• Compensación
Accionistas
• Trato equitativo
• Suministro de
información
• Funcionamiento de

Modelo de Gobierno
Accionistas
Comité de
Dirección
Director Ejecutivo
Comité de
Compensación
Alta Dirección
Operaciones de la Compañía
Comité de
Auditoria
Auditoria Interna
Auditor Externo
Delega
Reporta
Delega
Reporta
Delega y
Supervisa Reporta
Delega
Reporta
Reporta
Ejecuta
Auditorias
Ejecuta
Auditorias
Delega Delega
Reporta
Nombra
Reporta

• Misión y visión, valores, código de ética
• Organigrama
• Descripciones de puestos
• Manuales de autorización
• Sistema de gestión de riesgos
• Reglamento del Directorio y del Comité de Auditoría
– Requisitos para ser director: competencia, independencia
– Responsabilidades (evaluación, capacitación, supervisión, opiniones)
– Reuniones (formalidades, periodicidad, etc.)
• Políticas, normas y procedimientos
– Sistema de gestión de documentos
– Responsabilidades específicas
• Conflicto de intereses
• Transparencia, fluidez e integridad de la información
• Auditoría
– Interna
– Externa
• Grupos de interés y responsabilidad social
¿Cómo se expresa?

Escándalos Corporativos
¿Qué pasó?
Serie de
escándalos por
fraudes
corporativos
Maniobras de
subvaluación de
deudas, gastos y
contingencias
Maniobras de
sobrevaluación
de activos y
ventas
Desvío de
fondos
Fuerte reacción
de inversores y
reguladores
A veces fraude
en cooperación
con otras
empresas y
filiales

Crisis de Confianza
Causas
• Fraudes,
manipulación y
contabilidad
creativa
• corrupción
administrativa
• conflictos de interés
• negligencia
• bonos a directores
Impacto
• crisis de confianza
de inversores
• pérdidas accionistas
• quiebre de
empresas
• impacto social
• atención de los
medios
• presión de los
analistas bursátiles
Casos 2001+
• Enron
• Arthur Andersen
• Worldcom
• Tyco
• Global crossing
• Parmalat
• Adelphia
• Xerox
• Waste Managemen
Consecuencias
• Ley Sarbanes Oxley 2002
• Atención en la ética y el gobierno corporativo
• Cambio cultura evitando comportamiento gregario

¿Qué aprendimos?
La alta dirección
hará todo lo
posible por
cumplir con las
expectativas de
resultados
Los auditores y
sus clientes
pueden llegar a
estar demasiado
vinculados
Los valores
éticos son dados
por el tono de la
alta dirección
Las normas
contables
permiten
discreción
Se limitó el
escrutinio a los
resultados
contables
Los reguladores
no han podido
detener el fraude

Generalidades de SOX

Control Interno
Un proceso
que construimos todos
dando una seguridad razonable
para maximizar las posibilidades de lograr 4 objetivos:
 el reporte financiero y no financiero
 la protección de activos frente a errores y fraudes
 la eficiencia y
 El cumplimiento de normas internas y externas
Riesgos Controles
tiempo
Output
CostoBeneficio

Como consecuencia de los escándalos corporativos surgido en compañías
públicas americanas desde mediados del 2001, el gobierno de los EEUU
promulgó la Ley SOX que busca transparencia de las operaciones de las
empresas que fortalecer el control interno de las mismas, con el fin de:
• Restablecer la confianza de los inversores
• Prevenir la repetición de fraudes contables
• Incrementar el nivel de transparencia y responsabilidad informes
financieros
• Proveer a las compañías de nuevos estándares para la g de informes
contables
• Establecer penas para los directivos que no cumpla legislación

Sistemas Integrados de Control Interno
En el marco global, otros países se sumaron a la iniciativa lanzada
por SOX para regular en forma equivalente. SOX demuestra
su utilidad globalmente y como estándar de empresas internacionales.
En España está la Ley 44/2002.
SOX 404
King Report Corporate Law Economic
Reform Program Act 2004
CLERP-9
Japan SOX
German Corporate
Governance Code
Bill 198
China SOX
Loi de Securite
Financiere (LSF)
Clause 49
Combined Code
of Corporate
Governance
Law 262/2005
8th European
Directive

¿Qué nos pide desde controles?
Exige a la gerencia establecer, mantener y evaluar los procedimientos
de control interno adecuados para la emitir financieros.
Prevé un enfoque basado en riesgos (top-down approach) en los
controles a nivel entidad, los procesos con impacto contables, la
segregación de funciones, la documentación los controles, prevención de
fraude, etc.
Exige informar las deficiencias significativas y debilidad y las acciones
correctivas definidas para su remediación.
Exige al CEO y CFO, la supervisión y certificación sobre la efectividad de
los controles y procedimientos de información dentro de los 90 días previos
a la fecha de para cualquier informe. Nota: Evaluación Point-in-Time y Anual
Alcanza a empresas privadas que presenten información financiera anual a
la SEC, incluyendo empresas de capital extranjero (foreign private issuers)

¿Qué nos pide?
SOX como
riesgo de
incumplimiento
SOX como
oportunidad de
excelencia

¿Cómo se estructura?
Sección 404
Evaluación de
Control Interno
La dirección debe
emitir un informe
sobre su evaluación
de control interno y
sus procedimientos
para el reporte
contable con
respaldo de auditor
externo
Sección 302
Controles de
Revelación
La dirección debe
certificar la correcta
revelación en la
presentación de
información anual y
cuatrimestral a la
SEC
Sección 401
Revelaciones en
Reportes
La dirección debe
informar en todos los
reportes los
compromisos fuera
de balance
Sección 802
Penalidades CEO y
CFO
La dirección es
pasible de multas
hasta 1.000.000
dólares y 10 años de
prisión
Sección 406
Código de Ética Financiero
La dirección debe adoptar un código de ética para sus ejecutivos financieros.

Sobre la Calidad de Información
Sección 401:
Mejoras en los detalles de información y transacciones fuera de balance y
del contenido de los informes pro-forma.
Sección 404:
Evaluación del control interno financiero:
• valorado,
• documentado, y
• certificado
… por la dirección de la sociedad y auditado por el auditor contable.
Este opinará sobre la corrección de lo manifestado por la sociedad y sobre la
eficiencia del control interno financiero a la fecha de cierre de los estados
financieros (definición de 180 palabras).

Sobre la Calidad de Información
Sección 302:
La información pública presentada deberá ser legitimada por los directivos
de la sociedad. En este sentido, los directivos certificarán su responsabilidad
y corrección respecto a:
• Los informes trimestrales y anuales
• La no existencia de omisiones o información confusa en los estados
financieros
• Los controles sobre la información que se envía al mercado y la eficiencia
del control interno sobre la misma
• La comunicación de forma efectiva a los auditores y al Comité de
Auditoría de los errores o fraudes que se identifiquen
Sección 409:
Los cambios en información pública de la sociedad, que tengan impacto
potencial significativo, en la situación financiera o en las operaciones,
deberán ser informados de forma mucho más rápida y efectiva.

Sobre la Responsabilidad
Sección 204:
Incremento de comunicaciones directas entre el Auditor y el Comité de
Auditoría en materias como: políticas contables significativas, tratamientos
contables alternativos, etc.
Sección 301:
Regulaciones completas para los Comités de Auditoría (obligatorios):
• Serán responsables directos de designar, retribuir y supervisar al Auditor
• Sus miembros deberán ser consejeros independientes (no ejecutivos)
• Deberán implantar un canal de recogida anónima de denuncias
• Deberán disponer de capacidad de compensación al auditor y a otros
asesores si los consideran necesarios en el desarrollo de sus
responsabilidades

Sección 407:
Obligación de contar con expertos financieros en el Comité de Auditoría e
informar explícitamente sobre quiénes son los consejeros con esta
experiencia.

Sección 303:
Es explícitamente ilegal la actuación de cualquier consejero o directivo
destinada a influir de forma fraudulenta, coaccionar, manipular o confundir,
intencionadamente, al auditor.
Sección 403:
Las operaciones realizadas por los agentes que pueden disponer de
información reservada/ no pública están sometidas a una exigencia de
información a los mercados en tiempo muy corto y de forma veraz.
Sección 406:
Obligatoriedad de un Código de Ética para los Ejecutivos del Área
Financiera. Los cambios o incumplimientos al Código deben ser informados
públicamente.

Sección 806:
Protección especial para los denunciantes anónimos de conductas ilícitas e
irregulares de la sociedad: en ningún caso podrán ser perseguidas las
denuncias formuladas por este tipo de incumplimientos. Se otorga una
protección especial a los denunciantes de este tipo de irregularidades.

Sobre la Supervisión
Secciones 101, 102, y 104:
Creación de un organismo público de supervisión: la oficina de control de la
contabilidad de las empresas públicas o public company accounting
oversight board (PCAOB)
El PCAOB tendrá capacidad de supervisión y establecimiento de estándares
de auditoría, controles de calidad, normas de ética e independencia para
auditores, etc.
Cualquier compañía que quiera auditar sociedades cotizadas en mercados
americanos deberá estar inscrita adecuadamente en el PCAOB.
El PCAOB desarrollará programas continuos de supervisión del tra bajo de
las firmas de auditoría para comprobar su cumplimiento efectivo de los
estándares profesionales.

Sobre la Supervisión
Sección 407:
Extensión de las responsabilidades profesionales para los abogados.
Estarán obligados a informar cualquier evidencia que dispongan sobre
violaciones materiales de leyes sobre actuaciones con títulos cotizados o
incumplimientos de obligaciones por el Consejero Delegado o por el
Secretario del Consejo (o el responsable legal del mismo). Si se informa a la
Dirección y esta no tomara acciones se informaría directamente a la SEC.
Sección 408:
La SEC amplia de forma importante las revisiones periódicas sobre los
reportes (filings) de las compañías. En el caso de los 10-K y 10-Q, al menos
deberán revisarse una vez cada tres años.

Sobre las Obligaciones
Sección 304:
Deberán reintegrarse los incentivos cobrados o los beneficios realizados en
la venta de acciones por el Consejero Delegado (CEO) o por el Director
Financiero (CFO) que se hayan recibido sobre la base de una información
financiera fraudulenta que necesite ser re-evaluada, corregida, y publicada
nuevamente.
Sección 804:
Aumentan los plazos en que puede perseguirse un fraude cometido y/o
identificado.

Sección 906:
Obligación para CEO y CFO de certificar, bajo responsabilidad penal, su
buena fe en cuanto a que los informes públicos periódicos:
• Cumplen con todos los requisitos establecidos en la Ley sobre Acciones
de 1934 (Securities Exchange Act, 1934).
• Presentan, en todos los aspectos materiales, la situación financiera y los
resultados de las operaciones del emisor.
Secciones 802 y 1102 :
Responsabilidades penales por manipular, alterar o destruir documentos o
impedir, de otra manera, una investigación oficial.
Extensión de las responsabilidades penales a cualquier persona que altere
documentos, incluyendo registros documentales de auditoría, con el fin de
obstruir o impedir una investigación.

Sección 105:
Aumento importante de las sanciones a los contables/financieros por
no testificar, facilitar documentación o cooperar, en general, con
investigaciones oficiales.

Sobre los Auditores
Sección 201:
Prohibición total para que el auditor de cuentas pueda prestar determinados
servicios a sus clientes de auditoría
Sección 202 y 203:
El Comité de Auditoría deberá autorizar, de forma previa a su contratación,
cualquier servicio permitido que pretenda contratarse con el auditor de
cuentas. El socio firmante y el socio revisor deberán rotar cada 5 años.
Sección 206:
Establece restricciones para que una entidad contrate personal del equipo
de su auditoría sin que esto pueda suponer un posible problema de
independencia para la firma auditora. Se establece un periodo “de
enfriamiento” de un año en el que no se pueden producir estas
contrataciones para puestos clave y en relación directa.

• Un proceso que provee seguridad razonable sobre la
confiabilidad de reporte financiero para usuarios externos
y bajo principios contables generalmente aceptados
(consistente con el marco de COSO)
• Bajo supervisión del CEO. CFO, y similares
• Que mantiene documentación con grado razonable de
detalle sobre las transacciones
• Que permite dar seguridad razonable a la identificación
oportuna de fraude que puede afectar materialmente los
estados contables
• Reportada en forma anual por SOX 404 por CFO y CEO
• Solo información financiera y se audita en forma
independiente
Control Interno
sobre el reporte financiero

• Un proceso que asegura que la información que se
publica ante la SEC es registrada, procesada,
consolidada y reportada oportunamente
• Incluye a controles para cumplir con los requerimientos
de la SEC y otras regulaciones
• Sistema para que toda la información material bajo
conocimiento de la dirección sea reportado
• Reportada en forma trimestral por SOX 302 por CFO y
CEO
• Información financiera y no financiera
• No se audita
Controles y Procedimientos
de Revelación

¿Qué consecuencias tiene?
• Sanciones de los organismos de contralor que pueden ir desde el
apercibimiento hasta el retiro de la oferta pública.
• Sanciones económicas directas para la compañía.
• Multas económicas de hasta US$ 5.000.000 para los directores
integrantes de la alta gerencia y hasta 20 años de prisión.
• Dificultades para el acceso a fuentes de financiamiento externo.
• Impacto negativo en la imagen y reputación de la compañía.
• Caída del valor de mercado de la acción.

¿Qué consecuencias tiene?
• Las normas le exigen a la entidad emisora que, bajo la responsabilidad de
su funcionario ejecutivo principal (CEO) y del funcionario financiero
principal (CFO), evalúe la efectividad de los controles y la revelación de
información en forma previa a la presentación de los informes.
• Los funcionarios de mayor jerarquía de la compañía tienen la
responsabilidad de determinar el grado en el que quieren realizar los
procedimientos y la documentación de los mismos.
• La SEC no ha establecido procedimientos detallados para la evaluación
de los controles y los procedimientos de revelación en la presentación de
información. La norma establece que cada compañía emisora debe
desarrollar un proceso de evaluación que se adecúe a su negocio,
administración interna y prácticas de supervisión.

¿Qué alcanza?
El término “controles y procedimientos de revelación y de presentación de
información”, se refiere a los controles y procedimientos diseñados para
garantizar que la entidad emisora tiene la información financiera requerida
para cumplir con sus obligaciones de publicidad de información en virtud de
la Ley de Mercados.
El funcionario ejecutivo principal (CEO) y el funcionario financiero principal
(CFO) son los responsables de supervisar y revisar las evaluaciones
periódicas de control sobre los procedimientos de revelación y presentación
de información.
Los informes deben revelar cambios significativos en controles internos de
una entidad emisora o factores que pudieran afectarla luego de la fecha de
la evaluación reciente, incluyendo las acciones correctivas.
Alcanza a la entidad cotizante y las subsidiarias que consoliden, con sus
respectivos ejecutivos.

¿Qué alcanza?
Anualmente la Gerencia será responsable de :
Anteriormente, según la norma PCAOB N°2, los auditores independientes certificar la evaluación y
certificación preparada por la gerencia y emitidos sobre la misma de acuerdo con las normas
emitidas o adoptadas por Supervisión de la Contabilidad de las Compañías que Cotizan en Bolsa
según la norma PCAOB N°5, sólo se requiere la opinión del auditor sobre la efectividad del
control interno sobre el reporte financiero.
Establecer y mantener una
estructura y
procedimientos de control
adecuados para la emisión
de informes financieros
Evaluar y certificar, al cierre
del ejercicio, sobre la
efectividad de los
procedimientos de control
interno sobre la emisión de
informes según normas de la
SEC
Identificar el marco (los
criterios) usados para
evaluar la efectividad
controles internos sobre la
emisión de informes
financieros

La SEC Guidance provee algunos
principios básicos
La gerencia debe evaluar el diseño de los controles para prevenir el riesgo
de afirmación errónea que no sea prevenida o detectada
La evaluación de la gerencia sobre el funcionamiento de los controles
principalmente en la evaluación de los riesgos

Audit Standard 5 por PCAOB
• El auditor no debe opinar sobre el proceso de evaluación realizado por el
management.
• Utilización de los Entity Level Controls para reducir las pruebas.
• Enfoque Top-Down.
• El auditor puede elegir “testear” en aquellas áreas, donde a su juicio y
criterio profesional, considera que es necesario.
• El enfoque puede adecuarse al tamaño y complejidad de cada compañía.
• Permite al auditor hacer mayor foco en aquellos temas de mayor riesgos,
tales como los procesos de cierre contable y reporting
• El auditor puede utilizar en mayor medida el trabajo de otros, o sea, de la
propia compañía u otros asesores.

Marco Normativo Español
Ley de Sociedades Anónimas:
• diligencia y lealtad: los administradores deberán desempeñar el cargo con
la diligencia de un ordenado empresario y de un representante leal
• Potenciales conflictos de interés
Ley del Mercado de Valores:
• obliga a las sociedades cotizadas a detallar “el grado de seguimiento de
las recomendaciones de gobierno corporativo o, en su caso, la
explicación de la falta de seguimiento de dichas recomendaciones” en su
Informe Anual de Gobierno Corporativo (art 61)
• Principio de cumplir o explicar: adopto las recomendaciones voluntarias o
justifico

Código Unificado de Buen Gobierno:
• Resume los informes Olivencia (98), Aldama (03) y la Ley de
Transparencia de España
• Para las sociedades cotizadas desde el 2006, actualizada 2013
• Serie de recomendaciones
Rec. 40: Que la supervisión del cumplimiento de los códigos internos de
conducta y de las reglas de gobierno corporativo se atribuya a la Comisión
de Auditoría, a la de Nombramientos, o, si existieran de forma separada, a
las de Cumplimiento o Gobierno Corporativo.

Rec. 41 . Que los miembros del Comité de Auditoría, y de forma especial su
presidente, se designen teniendo en cuenta sus conocimientos y experiencia
en materia de contabilidad, auditoría o gestión de riesgos.
Rec. 42. Que las sociedades cotizadas dispongan de una función de
auditoría interna que, bajo la supervisión del Comité de Auditoría, vele por el
buen funcionamiento de los sistemas de información y control interno.
Rec. 43. Que el responsable de la función de auditoría interna presente al
Comité de Auditoría su plan anual de trabajo; le informe directamente de las
incidencias que se presenten en su desarrollo; y le someta al final de cada
ejercicio un informe de actividades.

Rec. 44. Que la política de control y gestión de riesgos identifique al menos:
a. Los distintos tipos de riesgo (operativos, tecnológicos, financieros, legales,
reputacionales…) a los que se enfrenta la sociedad, incluyendo entre los
financieros o económicos, los pasivos contingentes y otros riesgos fuera de
balance;
b. La fijación del nivel de riesgo que la sociedad considere aceptable;
c. Las medidas previstas para mitigar el impacto de los riesgos identificados,
en caso de que llegaran a materializarse;
d. Los sistemas de información y control interno que se utilizarán para
controlar y gestionar los citados riesgos, incluidos los pasivos contingentes o
riesgos fuera de balance.

Rec. 45. Que corresponda al Comité de Auditoría:
1º En relación con los sistemas de información y control interno:
a. Que los principales riesgos identificados como consecuencia de la supervisión de la
eficacia del control interno de la sociedad y la auditoría interna, en su caso, se
gestionen y den a conocer adecuadamente.
b. Velar por la independencia y eficacia de la función de auditoría interna; proponer la
selección, nombramiento, reelección y cese del responsable del servicio de auditoría
interna; proponer el presupuesto de ese servicio; recibir información periódica sobre
sus actividades; y verificar que la alta dirección tiene en cuenta las conclusiones y
recomendaciones de sus informes.
c. Establecer y supervisar un mecanismo que permita a los empleados comunicar, de
forma confidencial y, si se considera apropiado, anónima las irregularidades de
potencial trascendencia, especialmente financieras y contables, que adviertan en el
seno de la empresa.

Rec. 45. Que corresponda al Comité de Auditoría:
2º En relación con el auditor externo:
a. Recibir regularmente del auditor externo información sobre el plan de
auditoría y los resultados de su ejecución, y verificar que la alta dirección
tiene en cuenta sus recomendaciones.
b. Asegurar la independencia del auditor externo y, a tal efecto:
• i. Que la sociedad comunique como hecho relevante a la CNMV el cambio de auditor y lo
acompañe de una declaración sobre la eventual existencia de desacuerdos con el auditor
saliente y, si hubieran existido, de su contenido.
• ii. Que se asegure que la sociedad y el auditor respetan las normas vigentes sobre prestación
de servicios distintos a los de auditoría, los límites a la concentración del negocio del auditor y,
en general, las demás normas establecidas para asegurar la independencia de los auditores
• iii. Que en caso de renuncia del auditor externo examine las circunstancias que la hubieran
motivado.

Rec. 46. Que el Comité de Auditoría pueda convocar a cualquier empleado o
directivo de la sociedad, e incluso disponer que comparezcan sin presencia
de ningún otro directivo.
Rec. 47. Que el Comité de Auditoría informe al Consejo, con carácter previo
a la adopción por éste de las correspondientes decisiones, sobre :
• a. La información financiera que, por su condición de cotizada, la
sociedad deba hacer pública periódicamente.
• b. La creación o adquisición de participaciones en entidades de propósito
especial o domiciliadas en países o territorios que tengan la consideración
de paraísos fiscales
• c. Las operaciones vinculadas, salvo que esa función de informe previo
haya sido atribuida a otra Comisión de las de supervisión y control.

Sistema de Control Interno de la Información Financiera (SCIIF):
• Principios de control emitido por la CNMV en 2010
• Permite evaluar la eficacia de los controles internos
• Requiere declarar el sistema de gestión de riesgos en el informe anual de
gobierno corporativo
• El auditor externo debe revisar el marco de control interno como parte de
la revisión de cuentas

Explicación del Sistema de Gestión de Riesgos
• Principios de control emitido por la CNMV en 2010
• Permite evaluar la eficacia de los controles internos
• Requiere declarar el sistema de gestión de riesgos en el informe anual de
gobierno corporativo
• El auditor externo debe revisar el marco de control interno como parte de
la revisión de cuentas

SOX & FCPA
03. Marco Práctico de SOX
Hernan Huwyler – Mar 2015

* 1985: Se forma el Comité de Organizaciones Patrocinadoras de la
Comisión Treadway (COSO).
* 1992: Informe COSO I “Internal Control - Integrated Framework”
* 2002: Se emite la ley Sarbanes Oxley obligando a evaluar el control
interno, y toma a COSO como referencia
* Otras referencias: Cobit, Tumbull, CoCo Criteria of Control, ITIL,….
* 2002+: Cambios en ambientes: internacionalización, nuevas
tecnologías y preponderancia de sistemas, outsourcing, objetivos no
financieros, expectativas de reguladores e inversores, riesgos
emergentes (cybercrime, cloud-computing) y objetivos no
financieros.
* 2004: COSO II sobre riesgos
* 2013: COSO III con transición al 15 de Diciembre de 2014
Contexto Histórico

 Misma definición de control interno:
• El control interno es un proceso, es un medio para alcanzar un fin.
• Al control interno lo realizan las personas, no son sólo políticas y procedimientos.
• El control interno sólo brinda un grado de seguridad razonable, no es la seguridad total.
• El control interno tiene como fin facilitar el alcance de los objetivos de una organización en lo referido a sus
operaciones, reporte y cumplimiento.
 Mismos 5 componentes
• Entorno de control: el personal es el núcleo del negocio, como así también el entorno donde trabaja.
• Evaluación de riesgos: toda organización debe conocer los riesgos a los que enfrenta, estableciendo
mecanismos para identificarlos, analizarlos y tratarlos.
• Actividades de control: establecimiento y ejecución de las políticas y procedimientos que sirvan para
alcanzar los objetivos de la organización.
• Información y comunicación: los sistemas de información y comunicación permiten que el personal capte e
intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones.
• Supervisión: Para que un sistema reaccione ágil y flexiblemente de acuerdo con las circunstancias, deber
ser supervisado.
• Mismos conceptos fundamentales
COSO 2013

COSO 2013
• Reconoce los reportes no financieros e internos
Objetivos de Reporte
• Legales y regulatorios
• Reconoce la complejidad de los mismos
Objetivos de Cumplimiento
• Eficiencia y efectividad de las operaciones
• Salvaguarda de activos por pérdidas
• Considera los cambios en el ambiente
Objetivos Operativos

COSO 2013
Un marco sobre principios y componentes
No prescribe controles específicos para desarrollar e implementar sino que se asocian al criterio de la
dirección y la situación de cada entidad.

COSO 2013
• Que soportan los 5 componentes
• Deben estar integrados al implementar
el control y en funcionamiento
• Deben funcionar en conjunto en forma
dinámica para reducir el riesgo de
incumplir los objetivos
• Guia para diseñar, implementar y
evaluar controles hacia los gestores
Codificación 17 Principios

COSO 2013 - Principios
• Principio 1: Demostrar compromiso con la integridad y
valores éticos.
• Principio 2: El consejo de administración ejerce su
responsabilidad de supervisión del control interno.
• Principio 3: Establecimiento de estructuras, asignación
de autoridades y responsabilidades.
• Principio 4: Demuestra su compromiso de reclutar,
capacitar y retener personas competentes.
• Principio 5: Retiene a personal de confianza y
comprometido con las responsabilidades de control
interno.
Del Ambiente de Control

• Principio 6: Se especifican objetivos claros para
identificar y evaluar riesgos para el logro de los
objetivos.
• Principio 7: Identificación y análisis de riesgos para
determinar cómo se deben mitigar.
• Principio 8: Considerar la posibilidad del fraude en la
evaluación de riesgos.
• Principio 9: Identificar y evaluar cambios que podrían
afectar significativamente el sistema de control
interno.
•
De la Gestión de Riesgos

• Principio 10: Selección y desarrollo de actividades de
control que contribuyan a mitigar los riesgos a niveles
aceptables.
• Principio 11: La organización selecciona y desarrolla
actividades de controles generales de tecnología para
apoyar el logro de los objetivos.
• Principio 12: La organización implementa las
actividades de control a través de políticas y
procedimientos
•
De la Actividad de Control

• Principio 13: Se genera y utiliza información de
calidad para apoyar el funcionamiento del control
interno.
• Principio 14: Se comunica internamente los objetivos y
las responsabilidades de control interno.
• Principio 15: Se comunica externamente los asuntos
que afectan el funcionamiento de los controles
internos.
•
De la Información y Comunicación

• Principio 16: Se lleva a cabo evaluaciones sobre la
marcha y por separado para determinar si los
componentes del control interno están presentes y
funcionando.
• Principio 17: Se evalúa y comunica oportunamente las
deficiencias del control interno a los responsables de
tomar acciones correctivas, incluyendo la alta
administración y el consejo de administración.
•
Del Monitoreo

Planes Acción
Debilidades
Interrelaciones por SOX

Preventivos,
detectivos y
correctivos
Reclutamiento
selectivo y
entrenamiento
Controles físicos Controles lógicos
Controles de
sistema
Separación de
funciones
Tipos de Controles

Sin controles
compensatorios
Alto riesgo
Se testean
Claves
Con controles
compensatorios
Riesgo medio
Se aprueba el
CSA
No
Claves
Tipos de Controles

Tipos de Controles
Se efectúan
“en papel y
lapíz”
Se testean por
muestreo y
revisión de
documentación
Manuales
Los efectúa un
sistema (No
ciclo de IT)
Se testean por
pruebas de
sistemas
Sin sampling
Automáticos

Tipos de Controles
Monitorean el
balance y los
resultados, así
como la relación
al presupuesto
Enfoque
tradicional de
COSO/SOX
Financieros
Monitorean la
performance
organización
Relacionados a
la información no
financiera.
Finalmente afectan lo
financiero.
No
financieros
- Controles sobre
objetivos
estratégicos
- satisfacción de
clientes/empleados
- métricas de
eficiencia y calidad,
KPIs/KRIs
- Planeamiento y
estrategia
- Seguimiento
inventarios
- Controles generales
de IT (ej. respaldos)
- Controles sobre
aprobaciones y
delegaciones
- Conciliaciones de
cuenta
- Control de costos y
presupuesto

Tipos de Controles
No asegura un
proceso o no
reporta información
de calidad
No implementado
Del Walkthrought
Procedimiento o
Flowchart
Diseño
Control
implementado sin
consistencia de
cumplimiento
Del Testeo
Operaciones

Tipos de Controles
Afectan a
todos los
ciclos
Alto riesgo
Surgen del
ciclo entorno
de control
Entity
Level
Controles
relacionados
con un ciclo
Surgen del
resto de los
ciclos
Process
Level
Muchas veces no se
utilizan y aprovechan
completamente
Costosos: se
testean a través
de transacciones

Tipos de Controles
Actividades del Directorio
Acciones del Nivel Ejecutivo
Entity
Level
Controles de Jefes de Departamentos
Controles de Mandos Intermedios
Control de Supervisión
Process
Level
Código Ético
Ambiente de Control
Políticas de GRC
Procedimientos
Controles
Transaccionales
Instrucciones

Tipos de Controles
Evaluación del riesgo
Ambiente de control
Entity
Level
Comité de riesgos, política ERM, evaluación anual,
revisión de planes de acción sobre riesgos
Actividad de control
Información y comunicación
Monitoreo de actividades
Comité de dirección, comité de auditoria y ética,
línea de denuncia, sistema normativo
Área de control interno, procedimientos para todos
los niveles, documentación sobre controles claves,
testeos, remediaciones
Documentación de los testeos de SOX y del
proceso de riesgos, reportes de controles,
presentación de remediaciones
Reuniones efectivas de todos los comités,
presentación de reportes, seguimiento de KPIs y
KRIs

Entity-Level
- Plan estratégico y
filosofía de gestión
- Políticas,
procedimientos y
monitoreo
- Evaluación de
riesgos
- Entrenamiento
- Calidad y auditoria
→ Gobierno
Corporativo de IT
De Aplicación
- Integridad
(transmisión de
datos, interfaces,
totales de control)
- Confiabilidad
- Existencia /
Autorización
(Segregación de
funciones)
- Presentación /
Revelación
Generales
- Desarrollo de
Programas
- Gestión de
Cambios
- Operaciones de
Sistemas
- Respaldos y
restauración
- Seguridad lógica
Tipos de Controles de Sistemas
Activity Level
Efecto
generalizado en
el resto de los
controles

Tipos de Controles de Sistemas
Ventas
Controles de
Aplicación para
Emitir una O/C
Inventarios C/P Tesorería
Controles de
Aplicación para
Completar una
O/C
Controles de
Aplicación para
Pagar una O/C
Desarrollo de Aplicativos y Gestión del Cambio
Controles de Acceso a Bases de Datos
Controles de Acceso al S.O y Aplicativo
Cuentas Contables
Significativas
Controles
Generales
Controles de
Aplicación

Segregación de Funciones
Iniciar
Autorizar
Reconciliar
Custodia
física
Acceso a
archivos
maestros
Ej. SoD IT
Desarrollo de
Operaciones
DBA de
Seguridad
Lógica
DBA y rol de
Admin

DEMO
Universo de Controles y Riesgos
Entity Level
Ciclos financieros y operativos
Ciclo de sistemas
Pruebas de testeo
Matrices de control
Documentación

SOX & FCPA
03.1 Gestión de un Proyecto
de Aseguramiento para SOX

Determinar controles y áreas/ unidades de negocio.
Definir enfoque, tiempos, y recursos del proyecto.
Lanzar el proyecto.
1 Planificación
Documentar el diseño de los controles de
cada entidad alcanzada.
2
Documentación
Evaluar el diseño y cumplimento del control interno
generación de información financiera y documentar los
resultados de la evaluación.
3 Evaluación
Identificar, acumular y evaluar las deficiencias del diseño.
y efectividad operacional; comunicar hallazgos y
corregir deficiencias.
4 Plan de Acción
Preparar la declaración escrita de la alta gerencia sobre
efectividad del control interno
sobre la información financiera.
5 Reporte
Etapas
RevisióndeControlInterno
independiente
6Reaseguro

Elaborar y comunicar un plan integral que defina claramente el alcance, y enfoque
con la asignación de recursos que sirve como base para una evaluación exitosa.
1 Planificación
Etapas
Unidades y Locaciones
Balance y Estados
Impuesto y TI
Consejo:
Involucrar a auditoria externa
Preguntas claves para la gerencia:
¿Qué políticas y procedimientos deberán estar implementados para
fomentar una evaluación consistente en toda la organización?
¿Qué enfoque de documentación y herramientas tecnológicas se
emplearán en la evaluación?
¿Qué países o unidades de negocios se incluirán en el alcance de la
evaluación?
¿Qué enfoque de Gerencia del proyecto y estructura de control del
proyecto se emplearán?
¿Qué capacitación y comunicación se necesita para aplicar el
proceso de evaluación en toda la organización?
¿Cómo se compara la estructura de control existente vs. COSO?
De ser necesario, ¿habrá suficiente tiempo para llevar a cabo
medidas correctivas?

La documentación del control interno de la compañía es un aspecto claves y
se considera un e del proceso de evaluación
2Documentación
Etapas
Walk-through
Diagramas de flujos
Proceso de cierre
Consejo:
Catálogos de controles y
procesos
Análisis de gaps con COSO
¿Cómo se identificarán los controles importantes?
¿Cuál será el formato y contenido de la documentación relativa a los
controles importantes?
¿Qué se necesita documentar en relación con los controles
importantes?
¿Qué incluirá de los cinco elementos de COSO en la documentación
de los controles importantes?
¿Cuenta la organización con la capacidad y recursos para satisfacer
los requerimientos de documentación de toda la organización?
¿Qué proceso se aplicará para efectuar las revisiones de control de
calidad y verificaciones de integridad de los controles documentados
de toda la organización?
¿Qué fuentes de referencia de control (tales como COSO,
requerimientos de control a nivel corporativo, etc.) se debieran aplicar
para evaluar el diseño de los controles?

La evaluación del diseño de control es un proceso importante que requiere del juicio del
revisor en la los componentes del control, técnicas a aplicar a fin de determinar si
el control previene o detecta los evaluación de la gerencia de la efectividad de operación,
y que debe ser soportada con suficiente evidencia
3 Evaluación
Etapas
Procedimientos de testeos
Seguimiento de operaciones
Consejo:
Combinación de técnicas
¿Cuáles políticas y técnicas se utilizarán para evaluar los controles
significativos, incluyendo la efectividad del diseño y la operación?
¿Quiénes serán responsables de llevar a cabo la evaluación en las
localidades más importantes y de los controles más importantes, en
toda la organización?
¿Estas personas, necesitan entrenamiento para llevar a cabo la
evaluación?
¿Cómo se documentarán y reportarán los resultados de la evaluación
a través de la organización?

Inicial
Enero >Agosto
Remediación
>Agosto <Diciembre
Actualización
> Agosto
< Diciembre o
< 14 Enero
Etapas

La Gerencia deberá analizar las deficiencias encontradas para determinar su
importancia.
4 Plan de Acción
Etapas
Tipos de Deficiencias:
Deficiencia : Documentación
incompleta pero aseveración
respaldada.
Deficiencia significativa:
Documentación
incompleta pero el resto de las
pruebas respaldan.
Debilidad material:
Documentación
incompleta o inexistente
y las pruebas no respaldan.
¿Qué procesos se utilizarán para identificar y acumular las
deficiencias encontradas en toda la organización, incluyendo todos
los países, regiones y unidades de negocio evaluadas?
¿Cómo se evaluará el control de deficiencias para determinar si éstas
son de tal magnitud que constituyan deficiencias significativas o
debilidades materiales?
¿Qué acción correctiva se establecerá?
¿Qué proceso se utilizará para comunicar los hallazgos al comité de
auditoría, auditor independiente y otros?

Los resultados de las fases previas deberán soportar las afirmaciones escritas de la
administración acerca de la efectividad del control interno. El auditor independiente llevará
a cabo una auditoría del control interno para asegurar que los reportes financieros están de
acuerdo con los estándares aprobados
5 Reporte
6 Reaseguro
Etapas
Norma de auditoría N° 5
emitida por el PCAOB
¿Esta la administración en la posición de proveer afirmación escrita
acerca de la efectividad del control interno sobre los reportes
financieros?
¿Está la evaluación soportada con la suficiente evidencia, incluyendo
la documentación de los controles, evaluación de la efectividad del
control y la evaluación de las deficiencias?
¿Qué acción correctiva se establecerá?
¿Qué proceso se utilizará para comunicar los hallazgos al comité de
auditoría, auditor independiente y otros?

Etapas mejorando el negocio
Mejorar el Negocio
MejorarlosControlesyRiesgos
Evaluación y
certificación
de controles
Mejoras en
procesos
aislados
Integración de
mejoras
Mejora de
cumplimiento
Mejora en la
estructura de
información
Reorganización
de reportes
Eliminación duplicidades, automatización
y eficientización de secuencia de
actividades

Inventarios de controles
Un control es una actividad que valida información y crea un contexto para una acción. Un control
puede ser manual o automático, preventivo o detectivo.
Manual
Automático
Detectivos Preventivos

* Comenzar los testeos con una carpeta electrónica
estandarizada
* Dividirla en un archivo permanente (poderes, políticas,
CoCo) y de testeo anual (controles SOX operativos)
* Aplicar el concepto de “auditoría continua”, no
esperando al final del año para el testeo
* Orientarnos a operaciones no rutinarias y uso de
estimaciones
Consejos de Testeos

* Son datos generados o procesados por una aplicación de sistemas y/o una solución
informática para el usuario final (ej. MS Excel, data warehouse, herramientas de
reportes), que pueden ser electrónicas o impresas y se usan para soportar
procedimientos de auditoria en la evaluación de controles internos (ej. reportes de
anticuación de saldos, listados de servicios prestados pero no facturados, emails de
autorización…).
* Los dueños del proceso deben escribir que controles incluyen al menos anualmente
y documentarlos cada vez que los efectúan
* Preguntar: ¿Cómo te aseguras que los datos que vienen del ERP son completos y
exactos? ¿Cómo sabes que configuración tiene este reporte? ¿Qué filtros
seleccionas?
* Preguntarnos: ¿qué datos se pueden manipular de este reporte? ¿tienen cálculos
muy complejos? ¿qué importancia tiene cada dato en la contabilidad?
* Buena práctica: identificar estos reportes y documentar la fuente de datos para
asegurarnos que sean completos y exactos. Involucrar a especialistas de sistemas.
Electronic Audit Evidence (EAE)

DEMO
Matriz de Testeo
Validación de datos
Cruce de universos

• Conjunto de políticas y procedimientos que generan los dueños de un proceso para
asegurarse que los objetivos de la dirección son llevados a cabo por los empleados.
• Ocurren por: aprobaciones, autorizaciones, verificaciones, conciliaciones, revisión de
performance, custodia de activos y segregación de funciones.
Actividad de Control

Ejemplo Matriz de Testeo
General / Sin riesgos específicos
Periodicidad Universo
Anual
Muestras
aleatorias
Errores
Admitidos
Anual 1 1 0
Semestral 2 2 0
Trimestral 4 2 0
Mensual 12 2 0
Semanal 52 5 0
Diaria 360 15 0
Múltiple +360 30 0
45 2
Automáticos 1 - Por simulación

• Narrativos de procesos, tomando un flujo de transacciones como ejemplo (cuya
documentación se puede usar como testeo)
• Procedimiento para trazar una transacción a la contabilidad y los sistemas.
• Se efectúa durante una entrevista con el dueño del proceso, usando una transacción
de ejemplo para identificar los controles efectuados y su contabilización.
• Se identifican excepciones, riesgos, y el historial de errores.
• Se pueden identificar deficiencias de diseño
• No requerido por auditores externos usualmente, pero necesario para identificar los
atributos de control
• Soporte con un modelo genérico
• Entrevista con encargado de proceso para detectar las actividades de control y
relacionarlas con la documentación de ejemplo
• Entrevista estructurada: ¿Cómo se realiza el control en ausencia del encargado?
¿Qué hacen con excepciones? ¿Qué puede salir mal? ¿Qué procedimientos tienen?
¿Qué reportes usas? ...
• Reperformance del control, entrevistas corroborativas y observación del control
Walkthroughs

Políticas y
Procedimientos
- de seguridad
- de control de
acceso
- de activos
informáticos
- de correo
electrónico
- aplicaciones de
usuario final
Seguridad
(aplicativos y Redes)
- matriz de
autorización
- diagramas de redes
Gestión de Cambios
- gestión de
proyectos
Continuidad de
Negocios
- plan de
recuperación de
desastres
- respaldos y pruebas
- planificación de
trabajos (job
scheduling)
Controles de Sistemas y COSO

Garantizar
Operaciones
- Definir los acuerdos
de nivel de servicios
- Resolver los
incidentes
- Gestionar los
servicios de terceros
Garantizar
Seguridad
- Asegurar los
accesos a sistemas
Gestión de Datos
- Gestionar los datos
- Gestionar la
configuración y
parámetros
Garantizar el
Desarrollo
- Gestionar el cambio
- Compra y desarrollo
de aplicativos
- Compra y desarrollo
de infraestructura
- Instalación de
parches y
actualizaciones
Objetivos de Sistemas

• ERP FiCo
• A/P
• A/R
• Nómina (no recursos humanos en general)
• Activos fijos / Gestión de almacenes
• Tesorería
• Ambientes productivos (los ambientes y aplicativos de testeo
tienen un impacto indirecto al analizar gestión de cambios)
Alcance de SOX IT
SOX APP
Contribuyen a los estados contables (datos financieros y operativos)
Impacto de controles automáticos

DEMO
Testeo de ciclo estándar de sistemas
Documentación
Mejores prácticas SOX IT
Resolución de problemas comunes

Consejos para un Buen Testeo
• 1. Mapa de riesgos a nivel entidad, procesos y de sistemas
• Determinar las unidades de negocios que alcanzamos (y revisar los riesgos de las que dejamos afuera)
• Evaluar los cambios en la operatoria y estrategia, incluyendo el reporte no financiero
• 2. Evaluar permanentemente los controles claves
• Formularios de autoevaluación de controles (CSAs)
• Considerar el riesgo de los controles financieros y no financieros
• Considerar los controles de compliance, operacionales, de fraude y sistemas
• 3. Relacionar el programa de SOX con el marco de COSO 2013
• Enfocarnos en los controles automáticos y el gobierno corporativo
• Atención a la narrativa de los controles para cumplir con todos los componentes de COSO
• 4. Enfocarnos al cumplimiento de los objetivos estratégicos
• Considerar todos los riesgos con enfoque top-down
• Riesgos de fraude y error vinculados a un factor humano (ej. background check, entrenamiento adecuado)
• 5. Actualizar la documentación de SOX
• Consolidar la valuación de las deficiencias
• Evaluar el efecto combinado de las deficiencias (ej. controles mitigantes parciales)

Sistema Normativo
Estrategia
Programa de
Compliance
Procesos
Sub-Procesos
Gente Sistemas Activos
Compliance
Interno
Compliance
Externo
Valores, código tico,
estatutos, resoluciones
del directorio
Normas de algo nivel GRC
Políticas sobre
requerimientos externos
o internos (ciclos)
Instrucciones sobre
controles paso a paso

Sistema Normativo
Sistema de Gestión de Normas
Riesgos
Redacción
Consulta
Benchmarking
CoordinaciónCCOy
dueñodelproceso
Aprobación
Publicación
traducciónyversiones
Implementación y
Entrenamiento
Comunicación
Programasde
Desarrollo
Consultas
Excepciones (Waivers)
Auditoria
Gestiónde
Incidentes
Nuevo
Ciclo de
Gestión
de
Políticas

Consejos para Buenas Políticas
• 1. Sistema de normas centralizado (norma de normas, policy-on-policy o meta-policy)
• Custodia el compliance officer por consistencia y para integrarlas en niveles y por dueños del proceso
• Cambios de versiones, traducciones, y notificaciones en forma colaborativa
• 2. Del papel a la acción
• Lenguaje simple con uso de narrativos, flujogramas, fotos, y preguntas/respuestas para facilitar las
decisiones (ej. prueba obligatoria luego de notificar el cambio de una norma)
• Construcción consultiva y seguimiento obligatorio (acknowledgements, medidas disciplinarias expresas)
• Relacionar las normas a los departamentos o cargos afectados
• 3. Vinculadas a los riesgos
• Facilitar la actualización de normas (siguiendo los cambios: quién, cuando y cómo)
• Validación por legales
• 4. Actuaciones estándar
• Normas de industrias y mejores prácticas (seguir la estructura de controles SOX)
• 5. Monitoreo
• Revisión anual en base a observaciones de auditores, cambios regulatorios e incumplimientos y fraudes
• Entrevista con entrenamiento sobre procesos especialmente confusos para los afectados

Soluciones de Entrenamiento
• 1. Difusión del concepto de “auto-control”
• Capacitaciones que mejoran los resultados de SOX:
• Políticas y procedimientos
• Controles antifraude
• Controles financieros y spreadsheet controls
• 2. Medios de capacitación
• Presenciales, eLearning, eSeminars
• Revistas y newsletters
• 3. Momentos
• Ingreso de nuevos empleados: pack de bienvenida, charla de inmersión al código de ética
• Campañas periódicas
• Propuestas colectivas con gestión de riesgos, compliance, IT y recursos humanos
• 4. Capacitación a los SOX testers
• CIA (IIA), CISA/CRISC Risk and Information Systems Control (ISACA), CFE (ACFE)
• COBIT/COSO y metodología de testeos y selección de muestras
• Reportes efectivos e influencia

Situational
judgement
tests

Videos
Online tests
eLearnings con
storytelling
eLearnings
interactivos

Posters sobre
controles
Emails con
humor
Desayunos de
entrenamiento

Checklist para SOX Training
√¿Contamos con un programa para áreas de para cada riesgo?
Deficiencias pasadas, cambios normas, empleados que roten
√¿El entrenamiento ofrecido tiene sentido con las áreas que
aportan valor y los riesgos de fraude y compliance detectados?
√
¿Mido todas las etapas del entrenamiento y lo ajusto en
consecuencia? Asistencia, entendimiento, contenido, método
√¿Incluyo y centralizo los riesgos y controles de sistemas?
√¿Comparo el costo del entrenamiento con el ahorro en
eficiencia del testo de SOX por auditores internos y externos?
√¿Les doy ejercicios concretos a cada sector: operaciones,
finanzas, SOX testers?

mydailyexecutive.blogspot.com
 hwyler@gmail.com
www.linkedin.com/in/hernanwyler


FCPA Compliance

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to FCPA Compliance

Similar to FCPA Compliance (20)

More from Hernan Huwyler, MBA CPA

More from Hernan Huwyler, MBA CPA (20)

Recently uploaded

Recently uploaded (20)

FCPA Compliance

Editor's Notes