Professional Documents
Culture Documents
Contabilidad
ingresos · Balance
Costo · Financiero · Legal · Fondo · Gestión ·Fusiones y
Adquisiciones · Impuestos
Estados financieros
& A · XBRL
Auditoría
interna · Sarbanes-Oxley
CA · CCA · CGA · CMA · CPA · CGFM
Esta caja: ver · Discusión · editar
En la auditoría financiera de las empresas públicas en los Estados Unidos , SOX 404 por la evaluación
del riesgo-alto (TDRA) es una institución financiera de evaluación del riesgo realizado para cumplir con
la Sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX 404). El término es utilizado por los
EE.UU. Public Company Accounting Oversight Board (PCAOB) y la Comisión de Bolsa y
Valores (SEC). El TDRA se utiliza para determinar el alcance y las pruebas necesarias para apoyar la
gestión de las pruebas de sus controles internos en SOX404. También es usado por el auditor externo
para emitir un dictamen formal sobre los controles internos de la empresa. Sin embargo, como resultado
de la aprobación de la Norma de Auditoría N º 5, que la SEC ha aprobado, los auditores externos ya no
son necesarios para emitir un dictamen sobre la evaluación de la gestión de sus controles internos.
orientación detallada sobre cómo realizar la TDRA se incluye con la PCAOB Normas de Auditoría No. 5
(estreno 2007-005 "Una auditoría del control interno sobre los informes financieros que se integra con
una auditoría de estados financieros") [1] y de orientación interpretativa SEC (estreno 33-8810/34-55929)
"Informe de Gestión en Control Interno Sobre la Información Financiera"). [2] [3]Esta guía es aplicable para
el año 2007 las cuotas para las empresas con 31.12 el año fiscal sin salida. El comunicado de la
PCAOB sustituirá a los existentes PCAOB Auditing Standard No. 2, mientras que la orientación de la
SEC es la primera guía detallada para la gestión en particular.
El lenguaje utilizado por el Presidente de la SEC en el anuncio de la nueva orientación fue muy directa:
"el Congreso nunca la intención de que el proceso debe ser 404 inflexible, pesado, y derrochador El
objetivo de la Sección 404 es proveer acceso significativo a los inversores sobre la eficacia de una. los
controles internos de sistemas de la compañía, sin crear cumplimiento cargas innecesarias o perdiendo
el accionista recursos. " [4] A partir de esta declaración y la nueva orientación, parece que la SEC y el
PCAOB esperar una reducción significativa de los costes asociados con la SOX 404 de cumplimiento,
por centrar los esfuerzos en zonas de alto riesgo y los esfuerzos de reducción en las zonas de menor
riesgo.
TDRA es una estructura jerárquica que implica la aplicación de factores de riesgo específicos para
determinar el alcance y las pruebas necesarias en la evaluación del control interno. Tanto el PCAOB y la
orientación de la SEC contiene marcos similares. En cada paso, los factores de riesgo cualitativos o
cuantitativos se utilizan para definir el alcance del esfuerzo de evaluación SOX404 y determinar las
pruebas necesarias. Los pasos clave son:
Gestión se requiere para documentar cómo ha interpretado y aplicado su TDRA para llegar al alcance
de los controles probados. Además, la suficiencia de las pruebas necesarias (es decir, la naturaleza de
tiempo, y el alcance de las pruebas de control) se basa en la gestión (y del auditor) TDRA. Como tal,
TDRA tiene importantes costes de cumplimiento implicaciones para SOX404.
Contenido
[hide]
Un método
2 Determinar el alcance
o 2.1 Determinar y errores riesgo importancia para los elementos de información financiera (cuentas y
revelaciones)
o 2.4 Identificar los controles que se ocupan de los riesgos errores materiales (MMR)
o 3.1 Vincular cada control clave para el "riesgo de representación errónea" de la cuenta correspondiente
o de la divulgación
o 3.2 Tasa de cada control clave para la "falta de control de riesgos (CFR)" y "CIIF de riesgo"
o 3.3 Considerar el impacto del riesgo sobre el calendario, la naturaleza y alcance de las pruebas
o 4.1 Centralización y automatización
o 4.3 Método de evaluación
5 Referencias
[ editar ]Método
La guía está basada en principios, proporcionando una gran flexibilidad en el enfoque TDRA. Hay dos
pasos principales: 1) Determinar el alcance de los controles a incluir en la prueba, y 2) Determinación de
la naturaleza, oportunidad y alcance de los procedimientos de prueba a realizar.
[ editar ]Determinación de alcance
El principio clave de la SEC relacionados con el establecimiento del ámbito de aplicación de los
controles de las pruebas podría enunciarse como sigue: ". Centrarse en los controles que aborden
adecuadamente el riesgo de error importante" Esto incluye los siguientes pasos:
[ editar ]determinar
la significación y el riesgo de errores para los
elementos de información financiera (cuentas y revelaciones)
En el marco del PCAOB AS 5 orientación, el auditor debe determinar si una cuenta es "significativo" o
no (es decir, sí o no), sobre la base de una serie de factores de riesgo relacionados con la probabilidad
de error de los estados financieros y la magnitud (valor en dólares ) de la cuenta. cuentas importantes y
revelaciones son consideradas en el estudio para la evaluación, por lo que la gestión suele incluir esta
información en su documentación y, en general lleva a cabo este análisis para la revisión por parte del
auditor. Dicha documentación podrá ser contemplado en la práctica como el "análisis de cuentas
importantes." Las cuentas con saldos grandes generalmente se presume que sea significativo (es decir,
en ámbito de aplicación) y requieren algún tipo de prueba.
Nueva bajo la dirección de la SEC es el concepto de calificación también importante para cada cuenta
"riesgo errores" (bajo, medio o alto), con base en factores similares utilizados para determinar la
significancia. La clasificación de riesgo errores es un factor clave para determinar la naturaleza,
oportunidad y alcance de las pruebas que se obtengan. A medida que aumenta el riesgo, la suficiencia
espera de las pruebas las pruebas acumuladas de los controles relacionados con las cuentas de los
aumentos significativos (ver más abajo la sección sobre las decisiones de las pruebas y pruebas).
Tanto el riesgo importancia y errores son conceptos inherentes de riesgo, lo que significa que las
conclusiones se determinó excluir la eficacia de los controles. la eficacia de control teóricamente se
aplica a las decisiones de las pruebas y evidencias, no cuenta las decisiones de alcance.
Gestión primero desarrolla los listados de objetivos de control de nivel de la entidad. Un ejemplo es: "Los
empleados son conscientes del Código de la Compañía de conducta." El marco COSO 1992/1994
define cada uno de los cinco componentes del control interno (es decir, Control de Medio Ambiente, la
Evaluación de Riesgos, Información y Comunicación, Monitoreo y Control de Actividades). sugerencias
de evaluación se incluyen al final de los capítulos clave y en los "Instrumentos de evaluación" volumen,
los cuales pueden ser modificados con el estado objetivo.
Gestión desarrolla una lista de MMR, vinculados con las cuentas y los objetivos específicos de control
desarrollado anteriormente. MMR puede ser identificado por la pregunta: "¿Qué puede salir mal
relacionado con la cuenta, la afirmación o el objetivo" MMR pueden surgir dentro de la función de
contabilidad (por ejemplo, con respecto a las estimaciones, los juicios y las decisiones políticas) o el
medio ambiente interno y externo (por ejemplo, los departamentos de las empresas que se alimentan de
la información del departamento de contabilidad, las variables económicas y del mercado de valores,
etc) los cambios de interfaces de comunicación, (personas, procesos o sistemas), la vulnerabilidad el
fraude, la anulación de los controles de gestión, estructura de incentivos, las transacciones complejas, y
el grado de juicio o la intervención humana que participan en el procesamiento de otros temas de alto
riesgo.
Bajo la guía de 2007, las empresas están obligadas a realizar una evaluación del riesgo de fraude y
evaluar los controles relacionados. Normalmente, esto implica la identificación de escenarios en los que
el robo o la pérdida puede ocurrir y determinar si los procedimientos existentes de control de administrar
eficazmente el riesgo a un nivel aceptable. [8] El riesgo de que la alta dirección puede reemplazar los
controles financieros importantes para manipular la información financiera es también un área clave de
se centran en la evaluación del riesgo de fraude. [9]
En la práctica, muchas empresas se combinan los estados objetivo y el riesgo al describir MMR. Estas
declaraciones MMR servir como un objetivo, concentrando los esfuerzos para identificar los controles de
mitigación.
[ editar ]Identificar
los controles que la dirección de los riesgos
importantes errores (MMR)
Para cada uno de MMR, la gerencia determina que controla la dirección y el riesgo lo suficientemente
precisa como para mitigarlo. La palabra "mitigar" en este contexto, el control (o controles) reduce la
probabilidad de error material presentado por la triple vírica a una "remota" probabilidad. A pesar de que
varios controles pueden influir en el riesgo, sólo aquellos que se aborden como se definió anteriormente
se incluyen en la evaluación. En la práctica, estos se llaman "dentro del alcance" o controles "clave".
El juicio es normalmente la mejor guía para la selección de los controles más importantes en relación
con un riesgo particular para la prueba. PCAOB AS5 introduce un marco de tres niveles que describe los
controles de nivel de la entidad-en diferentes niveles de precisión (monitorización directa, e indirecta.)
En la práctica, la precisión de control por tipo de control, en orden de menos a más precisa, se puede
interpretar como:
3. Cierre del período de informes - Control Diario entrada, conciliaciones de las cuentas o el
análisis de la cuenta detallada;
4. Monitorización directa - Revisión a fondo del resumen de la información financiera y operativa, o
listas de control verificar los procedimientos de control más detallado se completa (es decir, los
controles que supervisar la ejecución de otros controles), y
5. Indirecta - a nivel de los controles de la entidad que no están vinculados a operaciones
concretas, tales como el entorno de control.
Cada vez es más difícil argumentar que la confianza en los controles es razonable en el logro de los
objetivos de nivel de aseveración, como un viaje a lo largo de este continuo de menos a más preciso, y
como aumenta el riesgo. Una combinación de tipo 3 y 4 por encima de los controles (de particular a nivel
de entidad) puede ayudar a reducir el número de controles de tipo 1 y 2 (transacciones) que requieren
una evaluación de riesgos particulares, especialmente en los de menor riesgo, los procesos intensivos
en transacciones.
Bajo la guía de 2007, lo que parece aceptable a confiar mucho más en los controles de cierre del
período (es decir, la revisión de asientos de diario y conciliaciones de cuentas) que en el pasado, para
abordar eficazmente muchos de los riesgos de errores materiales y que permite ya sea: a) la eliminación
de un número significativo de los controles de las transacciones del ámbito de aplicación del año
anterior de las pruebas, o b) las pruebas relacionadas con la reducción obtenida. El número de controles
de nivel de transacciones se puede reducir de manera significativa, en particular para las cuentas de
bajo riesgo.
El principio clave de la SEC sobre las decisiones de las pruebas se puede resumir de la siguiente
manera: "Alinear a la naturaleza, oportunidad y alcance de los procedimientos de evaluación de las
áreas que plantean los mayores riesgos para la presentación de informes financieros confiables." La
SEC ha indicado que la suficiencia de las pruebas necesarias para apoyar la evaluación de la SPR
específicos han de basarse en dos factores: a) Financiación representación errónea de elementos de
riesgo ("declaración equivocada del riesgo") y el riesgo b) La falta de control. Estos dos conceptos (el
cuenta los riesgos o relacionadas con la divulgación y los riesgos relacionados con el control) se les
llama "de control interno sobre información financiera de riesgo" o de riesgo "CIIF". Una mesa fue
incluido en la guía para ilustrar este concepto, es la única mesa tales, lo que indica el énfasis puesto en
él por la SEC. CIIF riesgo debe estar asociado con los controles durante el alcance que se indica arriba
y puede ser parte de ese análisis. Esto incluye los siguientes pasos:
SEC Diagrama de riesgo y en títulos adicionales
[ editar ]Enlace
cada control clave para el "riesgo de representación
errónea" de la cuenta correspondiente o de la divulgación
Gestión de manifiesto el riesgo para cada cuenta de errores significativos y divulgación en el marco de
la evaluación de ámbito superior. El rango bajo, medio o alto evaluado debe estar asociado con los
controles relacionados con la cuenta. Una forma de lograr esto sería la inclusión de la clasificación en el
control de inventario o de control de documentos de la matriz de la empresa.
[ editar ]Tasa
de cada control clave para la "falta de control de riesgos
(CFR)" y "CIIF de riesgo"
CFR se aplica en el nivel de control individual, basado en factores en la orientación relacionados con la
complejidad del proceso, manual contra la naturaleza automatizada del control, el juicio que participan,
etc Gestión fundamentalmente hace la pregunta: "¿Qué tan difícil es ejecutar este control
adecuadamente cada uno y cada vez? "
Con el riesgo de errores y cuenta CFR definido, la gestión se puede concluir sobre el riesgo de CIIF
(bajo, medio o alto) para el control. CIIF es el concepto de riesgo utilizados en las decisiones de las
pruebas.
[ editar ]Considere
el impacto del riesgo sobre el calendario, la naturaleza
y alcance de las pruebas
La guía ofrece flexibilidad en el tiempo, la naturaleza y el alcance de la evidencia basada en la
interacción de representación errónea de Riesgos y Control de Riesgos de incumplimiento (en conjunto,
CIIF de riesgo). Estos dos factores deben ser utilizados para actualizar la "Guía de muestreo y pruebas",
utilizada por la mayoría de las empresas. Como estos dos factores aumentan el riesgo, la suficiencia de
las pruebas necesarias para hacer frente a cada aumento de MMR.
Gestión tiene la flexibilidad significativas en cuanto a las pruebas siguientes consideraciones y pruebas,
en el contexto del riesgo CIIF relacionado con un control determinado:
Impacto de Riesgo CIIF sobre el calendario, la naturaleza y alcance de las pruebas
Ámbito de aplicación de roll-forward pruebas requeridas: A medida que aumenta el riesgo, las
pruebas de puesta al cada vez más probable que sea necesario ampliar el efecto de las pruebas
provisionales al cierre del ejercicio. controles de bajo riesgo probablemente no requieren pruebas de
tipo roll-forward.
factores generalizados que afectan también a las consideraciones mencionadas pruebas incluyen:
la fuerza total de los controles a nivel de entidad, sobre todo el entorno de control: el acto
fuertes controles a nivel de entidad como omnipresente "contrapeso" al riesgo en general, la
reducción de la suficiencia de las pruebas necesarias en las zonas de menor riesgo y apoyar el
espíritu de la nuevas orientaciones en términos de reducción del esfuerzo general.
La capacidad de los auditores externos que confiar en las pruebas de la administración sigue una lógica
similar. La dependencia es proporcional a la competencia y objetividad de la persona que completó la
gestión de las pruebas, también en el contexto de riesgo. Para las zonas de mayor riesgo, tales como el
entorno de control y el proceso de cierre del período de presentación de informes, los auditores internos
o el cumplimiento de los equipos probablemente la mejor opción para realizar la prueba, si un alto grado
de dependencia que se espera del auditor externo. La capacidad del auditor externo que se basan en la
evaluación de la gestión es un factor de coste importante en el cumplimiento.
Hay una variedad de oportunidades concretas para que la SOX 404 evaluación lo más eficiente
posible. [10] [11] Algunos son más a largo plazo en la naturaleza (tales como la centralización y la
automatización del tratamiento), mientras que otros pueden ser fácilmente implementadas. Una
interacción frecuente entre la dirección y el auditor externo es esencial para determinar qué estrategias
de eficiencia será efectivo en circunstancias particulares de cada empresa y en qué medida la reducción
de posibilidades de control es el adecuado.
Confíe en directo a nivel de entidad Controles: La guía hace hincapié en que la identificación de los
controles directos a nivel de entidad, en particular el proceso de cierre del período y algunos controles
de vigilancia, son lo suficientemente precisas para eliminar la afirmación de nivel (transaccional) los
controles del ámbito de aplicación. La clave es determinar qué combinación de nivel de entidad y los
controles de nivel de aseveración dirección de MMR en particular.
Minimizar en avance de la prueba: Gestión tiene más flexibilidad en la nueva orientación de ampliar la
fecha de vigencia de las pruebas realizadas a mediados de año ("provisional") los períodos de la fecha
de fin de año. Sólo los controles de mayor riesgo es probable que requiera de pruebas en avance bajo la
dirección nueva. PCAOB AS5 indica que los procedimientos de investigación, en cuanto a si los cambios
en el proceso de control se produjo entre el período de fin de año y provisional, puede ser suficiente en
muchos casos, para limitar las pruebas en avance.
Revisar Alcance de localidades o unidades de negocio evaluadas: Esta es un área compleja que
requiere un juicio importante y análisis. La nueva guía se centra en la triple viral específica, en lugar de
magnitud en dólares para determinar el alcance y la suficiencia de las pruebas que se obtengan en las
unidades descentralizadas. La interpretación (común bajo la dirección anterior) que una unidad o grupo
de unidades es material y por lo tanto un gran número de controles a través de múltiples procesos
requieren la prueba, ha sido reemplazado. Cuando los saldos de cuentas de las unidades individuales o
grupos de unidades similares son una parte importante del saldo de la cuenta consolidada, la gestión
debe considerar cuidadosamente si MMR pueden existir en relación con estas cuentas solamente. Las
pruebas se centraron únicamente en los controles relacionados con la triple vírica a continuación, se
debe realizar. controles de seguimiento, tales como se detalla reuniones de evaluación de desempeño
con los paquetes de información sólida, también se debe considerar para limitar las pruebas de
transacciones específicas.
Enfoque de control de TI de prueba de aplicaciones: Nunca ha sido un requisito para realizar global de
TI de control de aplicaciones de prueba (es decir, los controles de entrada y salida de procesamiento) de
los sistemas financieros. Sólo la aplicación totalmente automatizado controles identificados como claves
para hacer frente a MMR requieren pruebas específicas, las cuales pueden ser punto de referencia
como se mencionó anteriormente. Un ejemplo es un maestro de proveedores automatizado de control
de archivos que asegura que sólo el nombre del fabricante y las combinaciones válidas de direcciones
se pueden introducir en las cuentas de procesamiento de facturas por pagar. En estos controles se
identifican como clave, que debe ser probada o de referencia. Normalmente hay varios de esos
controles clave en cada proceso transaccional.
[ editar ]Referencias