SOX 404 de riesgo de arriba hacia abajo evaluación

De Wikipedia, la enciclopedia libre

Contabilidad

Los conceptos clave

Contador · período de Contabilidad ·Contabilidad · Efectivo y acumulación

de base ·Flujo de efectivo de gestión · Plan de cuentas ·constante de poder

adquisitivo de Contabilidad· El costo de ventas · Crédito · Términosfecha

límite · Los débitos y créditos · sistema de entrada doble · Feria de

contabilidad por el valor · FIFO y LIFO · GAAP / IFRS · General libro · El

costo histórico · Coincidencia principio· Reconocimiento de

ingresos · Balance

Los campos de la contabilidad

Costo · Financiero · Legal · Fondo · Gestión ·Fusiones y

Adquisiciones · Impuestos

Estados financieros

Estado de Situación Financiera · Estado de flujos de efectivo · Estado de

cambios en el patrimonio neto · Estado del resultado integral ·Notas · MD

& A · XBRL

Auditoría

El informe del Auditor · Auditoría financiera ·NAGA / ISA · La auditoría

interna · Sarbanes-Oxley

Contabilidad de las calificaciones

CA · CCA · CGA · CMA · CPA · CGFM

Esta caja: ver · Discusión · editar
En la auditoría financiera de las empresas públicas en los Estados Unidos , SOX 404 por la evaluación
del riesgo-alto (TDRA) es una institución financiera de evaluación del riesgo realizado para cumplir con
la Sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX 404). El término es utilizado por los
EE.UU. Public Company Accounting Oversight Board (PCAOB) y la Comisión de Bolsa y
Valores (SEC). El TDRA se utiliza para determinar el alcance y las pruebas necesarias para apoyar la
gestión de las pruebas de sus controles internos en SOX404. También es usado por el auditor externo
para emitir un dictamen formal sobre los controles internos de la empresa. Sin embargo, como resultado
de la aprobación de la Norma de Auditoría N º 5, que la SEC ha aprobado, los auditores externos ya no
son necesarios para emitir un dictamen sobre la evaluación de la gestión de sus controles internos.

orientación detallada sobre cómo realizar la TDRA se incluye con la PCAOB Normas de Auditoría No. 5
(estreno 2007-005 "Una auditoría del control interno sobre los informes financieros que se integra con
una auditoría de estados financieros") [1] y de orientación interpretativa SEC (estreno 33-8810/34-55929)
"Informe de Gestión en Control Interno Sobre la Información Financiera"). [2] [3]Esta guía es aplicable para
el año 2007 las cuotas para las empresas con 31.12 el año fiscal sin salida. El comunicado de la
PCAOB sustituirá a los existentes PCAOB Auditing Standard No. 2, mientras que la orientación de la
SEC es la primera guía detallada para la gestión en particular.

El lenguaje utilizado por el Presidente de la SEC en el anuncio de la nueva orientación fue muy directa:
"el Congreso nunca la intención de que el proceso debe ser 404 inflexible, pesado, y derrochador El
objetivo de la Sección 404 es proveer acceso significativo a los inversores sobre la eficacia de una. los
controles internos de sistemas de la compañía, sin crear cumplimiento cargas innecesarias o perdiendo
el accionista recursos. " [4] A partir de esta declaración y la nueva orientación, parece que la SEC y el
PCAOB esperar una reducción significativa de los costes asociados con la SOX 404 de cumplimiento,
por centrar los esfuerzos en zonas de alto riesgo y los esfuerzos de reducción en las zonas de menor
riesgo.

TDRA es una estructura jerárquica que implica la aplicación de factores de riesgo específicos para
determinar el alcance y las pruebas necesarias en la evaluación del control interno. Tanto el PCAOB y la
orientación de la SEC contiene marcos similares. En cada paso, los factores de riesgo cualitativos o
cuantitativos se utilizan para definir el alcance del esfuerzo de evaluación SOX404 y determinar las
pruebas necesarias. Los pasos clave son:

1. la identificación de importantes elementos de información financiera (cuentas o la divulgación)

2. la identificación de material de los estados financieros los riesgos dentro de estas cuentas o
divulgaciones
3. determinar qué controles de nivel de entidad que enfrentarse a ellos con la suficiente precisión
 4. determinar que la transacción controles de nivel-que frente a estos riesgos en la ausencia de
controles de nivel de entidad-precisa

5. Para determinar la periodicidad de la naturaleza, extensión y de las pruebas reunidas para

completar la evaluación de los controles en el ámbito de aplicación-

Gestión se requiere para documentar cómo ha interpretado y aplicado su TDRA para llegar al alcance
de los controles probados. Además, la suficiencia de las pruebas necesarias (es decir, la naturaleza de
tiempo, y el alcance de las pruebas de control) se basa en la gestión (y del auditor) TDRA. Como tal,
TDRA tiene importantes costes de cumplimiento implicaciones para SOX404.

Contenido 
[hide]

Un método

2 Determinar el alcance

o 2.1 Determinar y errores riesgo importancia para los elementos de información financiera (cuentas y

revelaciones)

o 2.2 Identificar los objetivos financieros de informes

o 2.3 Identificar los riesgos de materiales para el logro de los objetivos

o 2.4 Identificar los controles que se ocupan de los riesgos errores materiales (MMR)

3 Consideraciones sobre las decisiones y las pruebas las pruebas

o 3.1 Vincular cada control clave para el "riesgo de representación errónea" de la cuenta correspondiente

o de la divulgación

o 3.2 Tasa de cada control clave para la "falta de control de riesgos (CFR)" y "CIIF de riesgo"

o 3.3 Considerar el impacto del riesgo sobre el calendario, la naturaleza y alcance de las pruebas

o 3.4 Considere la posibilidad de riesgo, la objetividad y competencia en las pruebas de las decisiones

4 Estrategias para la evaluación eficiente de SOX 404

o 4.1 Centralización y automatización

o 4.2 Método de evaluación general

o 4.3 Método de evaluación

5 Referencias

[ editar ]Método

La guía está basada en principios, proporcionando una gran flexibilidad en el enfoque TDRA. Hay dos
pasos principales: 1) Determinar el alcance de los controles a incluir en la prueba, y 2) Determinación de
la naturaleza, oportunidad y alcance de los procedimientos de prueba a realizar.
[ editar ]Determinación de alcance

El principio clave de la SEC relacionados con el establecimiento del ámbito de aplicación de los
controles de las pruebas podría enunciarse como sigue: ". Centrarse en los controles que aborden
adecuadamente el riesgo de error importante" Esto incluye los siguientes pasos:

[ editar ]determinar
la significación y el riesgo de errores para los
elementos de información financiera (cuentas y revelaciones)
En el marco del PCAOB AS 5 orientación, el auditor debe determinar si una cuenta es "significativo" o
no (es decir, sí o no), sobre la base de una serie de factores de riesgo relacionados con la probabilidad
de error de los estados financieros y la magnitud (valor en dólares ) de la cuenta. cuentas importantes y
revelaciones son consideradas en el estudio para la evaluación, por lo que la gestión suele incluir esta
información en su documentación y, en general lleva a cabo este análisis para la revisión por parte del
auditor. Dicha documentación podrá ser contemplado en la práctica como el "análisis de cuentas
importantes." Las cuentas con saldos grandes generalmente se presume que sea significativo (es decir,
en ámbito de aplicación) y requieren algún tipo de prueba.

Nueva bajo la dirección de la SEC es el concepto de calificación también importante para cada cuenta
"riesgo errores" (bajo, medio o alto), con base en factores similares utilizados para determinar la
significancia. La clasificación de riesgo errores es un factor clave para determinar la naturaleza,
oportunidad y alcance de las pruebas que se obtengan. A medida que aumenta el riesgo, la suficiencia
espera de las pruebas las pruebas acumuladas de los controles relacionados con las cuentas de los
aumentos significativos (ver más abajo la sección sobre las decisiones de las pruebas y pruebas).

Tanto el riesgo importancia y errores son conceptos inherentes de riesgo, lo que significa que las
conclusiones se determinó excluir la eficacia de los controles. la eficacia de control teóricamente se
aplica a las decisiones de las pruebas y evidencias, no cuenta las decisiones de alcance.

[ editar ]la presentación de informes financieros Identificar los objetivos

Objetivos ayudar a establecer el contexto y los límites en los que la evaluación del riesgo se
produce. El COSO de Control Interno-Marco Integrado, un estándar de control interno utilizado para el
cumplimiento de SOX, señala: "Una condición previa para la evaluación de riesgos es el establecimiento
de objetivos ..." y "evaluación de riesgos es la identificación y análisis de riesgos pertinentes para la
consecución de los objetivos." Según las orientaciones de SOX varios niveles jerárquicos en la
evaluación de riesgos que pueden ocurrir, como entidad, cuenta, la afirmación, el proceso, y la clase de
transacciones. Objetivos, los riesgos y los controles pueden ser analizadas en cada uno de estos
niveles. El concepto de una evaluación del riesgo de arriba hacia abajo significa considerar el alto nivel
del primer marco para el filtro de la consideración tanto de la actividad de evaluación de nivel más bajo
posible.

Gestión primero desarrolla los listados de objetivos de control de nivel de la entidad. Un ejemplo es: "Los
empleados son conscientes del Código de la Compañía de conducta." El marco COSO 1992/1994
define cada uno de los cinco componentes del control interno (es decir, Control de Medio Ambiente, la
Evaluación de Riesgos, Información y Comunicación, Monitoreo y Control de Actividades). sugerencias
de evaluación se incluyen al final de los capítulos clave y en los "Instrumentos de evaluación" volumen,
los cuales pueden ser modificados con el estado objetivo.

A continuación, se desarrolla la gestión de listas de objetivos de control de nivel de aseveración-

relacionado con el en ámbito de aplicación (significativo) cuentas. Un ejemplo de la afirmación de un
objetivo de nivel es "Los ingresos se reconocen sólo en la entrega de productos y servicios." Las listas
de objetivos de control de nivel de aseveración, están disponibles en la mayoría de los libros de texto de
auditoría financiera y exigirá la adaptación a la organización.Excelentes ejemplos están también
disponibles en AICPA Declaración sobre Normas de Auditoría No. 110 (SAS 110) [5] para el proceso de
inventario. SAS 106 incluye las últimas orientaciones sobre las afirmaciones de los estados
financieros. [6]

[ editar ] Elmaterial Identificar los riesgos para el logro de los objetivos

Los riesgos que tienen de por sí un "razonablemente posible" riesgo de causar un error material en el
saldo de la cuenta o de la divulgación son los riesgos de errores materiales ("TMM"). Tenga en cuenta
que se trata de una pequeña modificación a la "más remota" posibilidad de que el lenguaje PCAOB AS2,
destinado a limitar el alcance a menos, los riesgos materiales más críticos y los controles relacionados.

Gestión desarrolla una lista de MMR, vinculados con las cuentas y los objetivos específicos de control
desarrollado anteriormente. MMR puede ser identificado por la pregunta: "¿Qué puede salir mal
relacionado con la cuenta, la afirmación o el objetivo" MMR pueden surgir dentro de la función de
contabilidad (por ejemplo, con respecto a las estimaciones, los juicios y las decisiones políticas) o el
medio ambiente interno y externo (por ejemplo, los departamentos de las empresas que se alimentan de
la información del departamento de contabilidad, las variables económicas y del mercado de valores,
etc) los cambios de interfaces de comunicación, (personas, procesos o sistemas), la vulnerabilidad el
fraude, la anulación de los controles de gestión, estructura de incentivos, las transacciones complejas, y
el grado de juicio o la intervención humana que participan en el procesamiento de otros temas de alto
riesgo.

En general, la administración considera a preguntas como: ¿Qué es realmente difícil hacerlo

bien? ¿Qué problemas de contabilidad hemos tenido en el pasado? ¿Qué ha cambiado? ¿Quién puede
ser capaz o motivados para cometer fraude o la información financiera fraudulenta? Como un alto
porcentaje de fraudes financieros históricamente han supuesto una sobrevaloración de los ingresos,
cuentas por regla general, merecen una atención adicional. AICPA Declaración sobre Normas de
Auditoría No. 109 (SAS 109) [7] también proporciona una guía útil con respecto a la evaluación de
riesgos financieros.

Bajo la guía de 2007, las empresas están obligadas a realizar una evaluación del riesgo de fraude y
evaluar los controles relacionados. Normalmente, esto implica la identificación de escenarios en los que
el robo o la pérdida puede ocurrir y determinar si los procedimientos existentes de control de administrar
eficazmente el riesgo a un nivel aceptable. [8] El riesgo de que la alta dirección puede reemplazar los
controles financieros importantes para manipular la información financiera es también un área clave de
se centran en la evaluación del riesgo de fraude. [9]

En la práctica, muchas empresas se combinan los estados objetivo y el riesgo al describir MMR. Estas
declaraciones MMR servir como un objetivo, concentrando los esfuerzos para identificar los controles de
mitigación.

[ editar ]Identificar
los controles que la dirección de los riesgos
importantes errores (MMR)
Para cada uno de MMR, la gerencia determina que controla la dirección y el riesgo lo suficientemente
precisa como para mitigarlo. La palabra "mitigar" en este contexto, el control (o controles) reduce la
probabilidad de error material presentado por la triple vírica a una "remota" probabilidad. A pesar de que
varios controles pueden influir en el riesgo, sólo aquellos que se aborden como se definió anteriormente
se incluyen en la evaluación. En la práctica, estos se llaman "dentro del alcance" o controles "clave".

El juicio es normalmente la mejor guía para la selección de los controles más importantes en relación
con un riesgo particular para la prueba. PCAOB AS5 introduce un marco de tres niveles que describe los
controles de nivel de la entidad-en diferentes niveles de precisión (monitorización directa, e indirecta.)
En la práctica, la precisión de control por tipo de control, en orden de menos a más precisa, se puede
interpretar como:

1. Transacciones específicas (nivel de no-entidad) - Revisión (o el sistema de controles

preventivos) en relación a operaciones concretas, individuales;

2. resumen de transacciones (nivel no-entidad) - Examen de los informes anuncio transacciones

individuales;

3. Cierre del período de informes - Control Diario entrada, conciliaciones de las cuentas o el
análisis de la cuenta detallada;
 4. Monitorización directa - Revisión a fondo del resumen de la información financiera y operativa, o
listas de control verificar los procedimientos de control más detallado se completa (es decir, los
controles que supervisar la ejecución de otros controles), y
5. Indirecta - a nivel de los controles de la entidad que no están vinculados a operaciones
concretas, tales como el entorno de control.

Cada vez es más difícil argumentar que la confianza en los controles es razonable en el logro de los
objetivos de nivel de aseveración, como un viaje a lo largo de este continuo de menos a más preciso, y
como aumenta el riesgo. Una combinación de tipo 3 y 4 por encima de los controles (de particular a nivel
de entidad) puede ayudar a reducir el número de controles de tipo 1 y 2 (transacciones) que requieren
una evaluación de riesgos particulares, especialmente en los de menor riesgo, los procesos intensivos
en transacciones.

Bajo la guía de 2007, lo que parece aceptable a confiar mucho más en los controles de cierre del
período (es decir, la revisión de asientos de diario y conciliaciones de cuentas) que en el pasado, para
abordar eficazmente muchos de los riesgos de errores materiales y que permite ya sea: a) la eliminación
de un número significativo de los controles de las transacciones del ámbito de aplicación del año
anterior de las pruebas, o b) las pruebas relacionadas con la reducción obtenida. El número de controles
de nivel de transacciones se puede reducir de manera significativa, en particular para las cuentas de
bajo riesgo.

[ editar ]Consideraciones en las decisiones y las pruebas las pruebas

El principio clave de la SEC sobre las decisiones de las pruebas se puede resumir de la siguiente
manera: "Alinear a la naturaleza, oportunidad y alcance de los procedimientos de evaluación de las
áreas que plantean los mayores riesgos para la presentación de informes financieros confiables." La
SEC ha indicado que la suficiencia de las pruebas necesarias para apoyar la evaluación de la SPR
específicos han de basarse en dos factores: a) Financiación representación errónea de elementos de
riesgo ("declaración equivocada del riesgo") y el riesgo b) La falta de control. Estos dos conceptos (el
cuenta los riesgos o relacionadas con la divulgación y los riesgos relacionados con el control) se les
llama "de control interno sobre información financiera de riesgo" o de riesgo "CIIF". Una mesa fue
incluido en la guía para ilustrar este concepto, es la única mesa tales, lo que indica el énfasis puesto en
él por la SEC. CIIF riesgo debe estar asociado con los controles durante el alcance que se indica arriba
y puede ser parte de ese análisis. Esto incluye los siguientes pasos:
SEC Diagrama de riesgo y en títulos adicionales

[ editar ]Enlace
cada control clave para el "riesgo de representación
errónea" de la cuenta correspondiente o de la divulgación
Gestión de manifiesto el riesgo para cada cuenta de errores significativos y divulgación en el marco de
la evaluación de ámbito superior. El rango bajo, medio o alto evaluado debe estar asociado con los
controles relacionados con la cuenta. Una forma de lograr esto sería la inclusión de la clasificación en el
control de inventario o de control de documentos de la matriz de la empresa.

[ editar ]Tasa
de cada control clave para la "falta de control de riesgos
(CFR)" y "CIIF de riesgo"
CFR se aplica en el nivel de control individual, basado en factores en la orientación relacionados con la
complejidad del proceso, manual contra la naturaleza automatizada del control, el juicio que participan,
etc Gestión fundamentalmente hace la pregunta: "¿Qué tan difícil es ejecutar este control
adecuadamente cada uno y cada vez? "

Con el riesgo de errores y cuenta CFR definido, la gestión se puede concluir sobre el riesgo de CIIF
(bajo, medio o alto) para el control. CIIF es el concepto de riesgo utilizados en las decisiones de las
pruebas.

[ editar ]Considere
el impacto del riesgo sobre el calendario, la naturaleza
y alcance de las pruebas
La guía ofrece flexibilidad en el tiempo, la naturaleza y el alcance de la evidencia basada en la
interacción de representación errónea de Riesgos y Control de Riesgos de incumplimiento (en conjunto,
CIIF de riesgo). Estos dos factores deben ser utilizados para actualizar la "Guía de muestreo y pruebas",
utilizada por la mayoría de las empresas. Como estos dos factores aumentan el riesgo, la suficiencia de
las pruebas necesarias para hacer frente a cada aumento de MMR.

Gestión tiene la flexibilidad significativas en cuanto a las pruebas siguientes consideraciones y pruebas,
en el contexto del riesgo CIIF relacionado con un control determinado:
Impacto de Riesgo CIIF sobre el calendario, la naturaleza y alcance de las pruebas

 Extensión (tamaño de la muestra): El tamaño de la muestra aumentos proporcionales al riesgo

CIIF.

 Naturaleza de la evidencia: Investigación, observación, inspección y ejecución de re-son los

cuatro tipos de pruebas, en orden de suficiencia. La evidencia más allá de la investigación, por lo
general de inspección de documentos, es necesario para las pruebas de la eficacia del control
operativo. evidencia de nuevo el rendimiento que se esperaría para los controles de mayor riesgo,
como en el proceso de información al cierre del período.

 La naturaleza del control (manual vs automatizada): Para controles totalmente automáticos, ya

sea una muestra de una o un "benchmarking" estrategia de prueba se puede utilizar. Si los
controles de TI en general relacionados con el cambio de gestión eficaz y el control totalmente
automatizado ha sido probado en las pruebas anteriores, anual no es necesario. El punto de
referencia debe ser establecido periódicamente.

 Ámbito de aplicación de roll-forward pruebas requeridas: A medida que aumenta el riesgo, las
pruebas de puesta al cada vez más probable que sea necesario ampliar el efecto de las pruebas
provisionales al cierre del ejercicio. controles de bajo riesgo probablemente no requieren pruebas de
tipo roll-forward.

factores generalizados que afectan también a las consideraciones mencionadas pruebas incluyen:

 la fuerza total de los controles a nivel de entidad, sobre todo el entorno de control: el acto
fuertes controles a nivel de entidad como omnipresente "contrapeso" al riesgo en general, la
 reducción de la suficiencia de las pruebas necesarias en las zonas de menor riesgo y apoyar el
espíritu de la nuevas orientaciones en términos de reducción del esfuerzo general.

 el conocimiento acumulado de las evaluaciones anteriores en materia de controles particular: Si

los procesos particulares y los controles tienen un historial de trabajo con eficacia, el alcance de las
pruebas necesarias en las zonas de bajo riesgo puede ser reducido.
[ editar ]Considere
la posibilidad de riesgo, la objetividad y competencia
en las pruebas de las decisiones
Gestión tiene la facultad discrecional significativo en que realiza sus pruebas. Los lineamientos de la
SEC indica que la objetividad de la persona prueba un control determinado debe aumentar
proporcionalmente al riesgo CIIF relacionados con dicho control. Por lo tanto, las técnicas como la auto-
evaluación son adecuados para las zonas de riesgo bajo, mientras que los auditores internos (o el
equivalente) en general, debe probar las zonas de riesgo alto. Una técnica intermedia en la práctica es
"la garantía de calidad", donde un Administrador de pruebas de trabajo Administrador de B, y viceversa.

La capacidad de los auditores externos que confiar en las pruebas de la administración sigue una lógica
similar. La dependencia es proporcional a la competencia y objetividad de la persona que completó la
gestión de las pruebas, también en el contexto de riesgo. Para las zonas de mayor riesgo, tales como el
entorno de control y el proceso de cierre del período de presentación de informes, los auditores internos
o el cumplimiento de los equipos probablemente la mejor opción para realizar la prueba, si un alto grado
de dependencia que se espera del auditor externo. La capacidad del auditor externo que se basan en la
evaluación de la gestión es un factor de coste importante en el cumplimiento.

[ editar ]Estrategias para la evaluación eficiente de SOX 404

Hay una variedad de oportunidades concretas para que la SOX 404 evaluación lo más eficiente
posible. [10] [11] Algunos son más a largo plazo en la naturaleza (tales como la centralización y la
automatización del tratamiento), mientras que otros pueden ser fácilmente implementadas. Una
interacción frecuente entre la dirección y el auditor externo es esencial para determinar qué estrategias
de eficiencia será efectivo en circunstancias particulares de cada empresa y en qué medida la reducción
de posibilidades de control es el adecuado.

[ editar ]La centralización y automatización

Centralizar: Utilizando un modelo de servicios compartidos en las zonas de riesgo permite múltiples
ubicaciones a ser tratado como uno de los propósitos de prueba. modelos de servicios compartidos se
utilizan normalmente para la nómina y las cuentas de los procesos de pagar, pero se puede aplicar a
muchos tipos de procesamiento de transacciones. Según una encuesta reciente de Ejecutivos de
Finanzas Internacionales, las empresas descentralizadas había mucho más altos los costos de
cumplimiento SOX que las empresas centralizadas. [12]

Automatizar y referencia: Clave totalmente automatizado de TI controles de aplicación tienen requisitos

mínimos de tamaño de la muestra (generalmente una, en lugar de hasta el 30 para el control manual) y
que no tenga que ser probado directamente a todos bajo el concepto de evaluación
comparativa. Evaluación comparativa (véase el Apéndice B de la orientación PCAOB) permite
completamente automatizado aplicación informática los controles que deben excluirse de la prueba si
determinados TI cambiar los controles de gestión son eficaces. Por ejemplo, muchas empresas
dependen en gran medida en las interfaces entre los sistemas manuales, con hojas de cálculo creadas
para la descarga y carga de asientos manuales. Algunas compañías de procesar miles de entradas
como cada mes. Mediante la automatización de asientos manuales, los costos de evaluación del trabajo
y SOX puede ser dramáticamente reducido. Además, la fiabilidad de los estados financieros ha
mejorado.

[ editar ]enfoque de la evaluación general

Revisión de pruebas de aproximación y Documentación: Muchas compañías o empresas de auditoría
externa por error intentaron imponer marcos genéricos sobre los procesos únicos nivel de transacción, o
en diferentes ubicaciones. Por ejemplo, la mayoría de los elementos del marco COSO representan
controles indirectos a nivel de entidad, que debe ser probado independientemente de los procesos
transaccionales. Además, los controles de seguridad de TI (un subconjunto de ITGC) y controles de
servicios compartidos se pueden colocar en la documentación del proceso separado, lo que permite la
asignación más eficiente de la responsabilidad de la prueba y la eliminación de la redundancia a través
de localizaciones. Prueba de los asientos principales y conciliaciones de las cuentas como los esfuerzos
adicionales por separado permite la eficiencia y el enfoque para ser depositados en ellos los controles
críticos.

Confíe en directo a nivel de entidad Controles: La guía hace hincapié en que la identificación de los
controles directos a nivel de entidad, en particular el proceso de cierre del período y algunos controles
de vigilancia, son lo suficientemente precisas para eliminar la afirmación de nivel (transaccional) los
controles del ámbito de aplicación. La clave es determinar qué combinación de nivel de entidad y los
controles de nivel de aseveración dirección de MMR en particular.

Minimizar en avance de la prueba: Gestión tiene más flexibilidad en la nueva orientación de ampliar la
fecha de vigencia de las pruebas realizadas a mediados de año ("provisional") los períodos de la fecha
de fin de año. Sólo los controles de mayor riesgo es probable que requiera de pruebas en avance bajo la
dirección nueva. PCAOB AS5 indica que los procedimientos de investigación, en cuanto a si los cambios
en el proceso de control se produjo entre el período de fin de año y provisional, puede ser suficiente en
muchos casos, para limitar las pruebas en avance.

Revisar Alcance de localidades o unidades de negocio evaluadas: Esta es un área compleja que
requiere un juicio importante y análisis. La nueva guía se centra en la triple viral específica, en lugar de
magnitud en dólares para determinar el alcance y la suficiencia de las pruebas que se obtengan en las
unidades descentralizadas. La interpretación (común bajo la dirección anterior) que una unidad o grupo
de unidades es material y por lo tanto un gran número de controles a través de múltiples procesos
requieren la prueba, ha sido reemplazado. Cuando los saldos de cuentas de las unidades individuales o
grupos de unidades similares son una parte importante del saldo de la cuenta consolidada, la gestión
debe considerar cuidadosamente si MMR pueden existir en relación con estas cuentas solamente. Las
pruebas se centraron únicamente en los controles relacionados con la triple vírica a continuación, se
debe realizar. controles de seguimiento, tales como se detalla reuniones de evaluación de desempeño
con los paquetes de información sólida, también se debe considerar para limitar las pruebas de
transacciones específicas.

[ editar ]TI enfoque de evaluación

Enfoque de control de TI en general (ITGC) pruebas: ITGC no están incluidos en la definición de los
controles de nivel de entidad en virtud de la SEC u orientación PCAOB. Por lo tanto, las pruebas ITGC
se debe realizar en la medida en que aborda MMR específica. Por naturaleza, ITGC permite la gestión
de confiar en los controles de aplicación totalmente automatizada (es decir, aquellas que operan sin la
intervención humana) y los controles de TI-dependiente (es decir, aquellos que implican la revisión de
los informes generados automáticamente). Enfocado prueba ITGC es merecido para apoyar los
objetivos de control o aseveraciones que controla totalmente automatizado no se han modificado sin
autorización y que el control genera información sea exacta y completa. Áreas clave de enfoque ITGC
por lo tanto probable que sea crítica son: los procedimientos de gestión del cambio se aplica a las
implementaciones específicas del sistema financiero durante el período, los procedimientos de gestión
de cambios suficientes para apoyar una estrategia de evaluación comparativa y seguimiento periódico
de la seguridad de aplicaciones, incluyendo la separación de funciones.

Enfoque de control de TI de prueba de aplicaciones: Nunca ha sido un requisito para realizar global de
TI de control de aplicaciones de prueba (es decir, los controles de entrada y salida de procesamiento) de
los sistemas financieros. Sólo la aplicación totalmente automatizado controles identificados como claves
para hacer frente a MMR requieren pruebas específicas, las cuales pueden ser punto de referencia
como se mencionó anteriormente. Un ejemplo es un maestro de proveedores automatizado de control
de archivos que asegura que sólo el nombre del fabricante y las combinaciones válidas de direcciones
se pueden introducir en las cuentas de procesamiento de facturas por pagar. En estos controles se
identifican como clave, que debe ser probada o de referencia. Normalmente hay varios de esos
controles clave en cada proceso transaccional.

[ editar ]Referencias

1. ^ PCAOB Estándar de Auditoría N º 5

2. ^ Guía de Interpretación de la SEC
3. ^ SEC Lista de Orientación SOX
4. ^ Comunicado de prensa de la SEC 2007-101
5. ^ Declaración de Normas de Auditoría del AICPA N ° 110
6. ^ Declaración de Normas de Auditoría del AICPA N º 106
7. ^ Declaración de Normas de Auditoría del AICPA N ° 109
8. ^ PWC - Elementos de un Programa de Lucha contra el Fraude
9. ^ Gestión AICPA Reemplazar
10. ^ Deloitte Touche-Lean y equilibrado
11. ^ E & Y Libro "La Nueva Ley de Equilibrio de 404"
12. ^ FEI Encuesta