Marcos de control interno y cumplimiento de los requisitos del ICFR
Para cumplir la SOX y los requisitos del ICFR, las organizaciones deben crear controles que abarquen una amplia gama de aspectos informáticos y financieros, todos ellos adaptados a su estructura organizativa única. Las organizaciones líderes señalan marcos como COBIT y COSO, e incluso una combinación de ambos, para adoptar en su búsqueda del cumplimiento de SOX e ICFR. La biblioteca de contenidos de Alyne va más allá de los controles relacionados con la TI y la seguridad de la información, y ahora incluye una amplia cobertura de los controles financieros centrados exclusivamente en la integridad financiera de una empresa.
La primera codificación de los controles contables internos se produjo hace casi cuatro décadas, espoleada por los crecientes casos de soborno y corrupción de empresas estadounidenses en 1977. Desde entonces, y de forma más notoria debido al escándalo contable de Enron y otros, los requisitos de los controles e informes financieros se han ido definiendo y aplicando poco a poco con mayor claridad. La Ley Sarbanes-Oxely (SOX) está en vigor desde 2002 para todas las empresas estadounidenses que cotizan en bolsa y las que operan en Estados Unidos, como medio de prevenir y proteger contra errores contables y prácticas fraudulentas. La Sección 404 exige la implantación de un Control Interno adecuado sobre la Información Financiera (ICFR) dentro de las empresas cotizadas para garantizar prácticas de información financiera justas de acuerdo con los Principios de Contabilidad Generalmente Aceptados (GAAP). Los auditores externos deben dar fe del diseño y la eficacia del control interno de la información financiera y de la exactitud de los estados financieros de una organización.
Aunque se menciona más arriba que los requisitos están "más claramente definidos", los requisitos reales sobre cómo lograr el cumplimiento no son tan sencillos y la SOX no es alabada por ofrecer orientaciones directas sobre la mejor manera de lograr el cumplimiento. La Ley Sarbanes-Oxley, a pesar de exigir a las organizaciones que establezcan controles internos eficaces tanto en el ámbito informático como en el financiero, no proporciona una lista de comprobación a seguir, ni hitos para medir los logros. La ambigüedad de los requisitos de la SOX ha sido ampliamente condenada debido a su naturaleza vaga, por no hablar de la falta de diferenciación entre las partes clave del proceso.
A pesar de la falta de un marco de control claramente definido por la SOX, dos de las principales organizaciones responsables de la aplicación de la SOX, la SECC y el PCAOB, sí señalan marcos comunes ampliamente aceptados, como COSO y COBIT, e incluso una combinación de ambos, para adoptar en su búsqueda del cumplimiento de la SOX y garantizar el ICFR. La combinación de marcos también puede ayudar a garantizar que todos los aspectos estén cubiertos en su lista de comprobación de cumplimiento SOX y ayudar a sus organizaciones a cumplir los requisitos ICFR, tal y como se enumeran en la Sección 404.
COSO, COBIT, SOX & ICFR
Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) - 1985
El marco COSO ofrece un enfoque de gestión del riesgo aplicado a los controles internos y articula conceptos clave que las organizaciones pueden utilizar para impedir el fraude. El marco también hace hincapié en los controles relacionados con las finanzas, diseñados para cumplir los requisitos SOX 404 de ICFR. Sin embargo, el marco no tiene plenamente en cuenta el entorno informático de la organización. Según COSO, existen tres tipos de controles internos:
- Las que afectan al funcionamiento de una empresa
- Las que afectan al cumplimiento de las leyes y reglamentos por parte de una empresa .
- Los que afectan a la información financiera. (ICFR)
Objetivos de control para la tecnología de la información y afines (COBIT) - 1992
COBIT es un marco de gestión de TI desarrollado por ISACA, que proporciona un camino claro para desarrollar políticas y buenas prácticas de control de TI, ayudando a las organizaciones a alcanzar sus objetivos en el ámbito de las tecnologías de la información. El modelo COBIT permite a los gestores salvar la distancia entre los requisitos de control, las cuestiones técnicas y los riesgos empresariales.
Ley Sarbanes-Oxley (SOX) - 2002
-
Sección 404 - Control interno de la información financiera
La SOX se aplica a todas las empresas que cotizan en bolsa en Estados Unidos, así como a las filiales de su propiedad y a las empresas extranjeras que cotizan en bolsa y hacen negocios en Estados Unidos. El Informe de Controles Internos, exigido por la Sección 4 de la Ley, comúnmente conocido como SOX 404, requiere que todas las empresas aplicables dispongan de controles internos adecuados para comunicar datos financieros exactos en sus informes anuales. Más concretamente, la SOX 404 exige a las empresas que apliquen un Control Interno adecuado sobre la Información Financiera (ICFR) para garantizar que se han establecido prácticas de información financiera justas de conformidad con los Principios de Contabilidad Generalmente Aceptados (GAAP).
Cumplimiento de SOX y de los requisitos de ICFR en Alyne
En un mundo interconectado, la integridad financiera depende en gran medida de una infraestructura informática segura y que funcione correctamente. La capacidad de seguir sus finanzas requiere total transparencia y garantía de dónde y cómo fluyen sus datos. Cumplir los requisitos ICFR establecidos en SOX 404, requiere que una organización no sólo tenga controles financieros sólidos, centrados en la integridad financiera de una empresa, sino que también cubra los controles de negocio pertinentes, con temas relacionados con TI y seguridad de la información.
Cubierto dentro de Alyne:
-
Mapeo completo basado en COBIT-COSO.
-
Amplios controles relacionados con las TI y la seguridad de la información.
-
Biblioteca de controles financieros centrados exclusivamente en la integridad financiera de una empresa.
Conjunto de controles ICFR y plantilla de evaluación:
El contenido disponible en la plataforma Alyne nos ha permitido lanzar un conjunto de controles listo para usar para ICFR: Control interno sobre la información financiera (ICFR) para el cumplimiento de SOX y SOC 1.
Además del conjunto de controles, Alyne ofrece una plantilla de evaluación lista para usar con niveles de madurez preconfigurados que ayudan a las empresas a evaluar la madurez de su integridad financiera. Las autoevaluaciones periódicas ayudan a las organizaciones a revisar el cumplimiento de sus requisitos de información financiera y les ayudan a reforzar su Control Interno sobre la Información Financiera. La última capacidad de Alyne de Control Interno sobre los Informes Financieros permite una comprobación completa de la salud de su empresa, así como de su base de proveedores, tanto para el cumplimiento de SOX como de SOC 1.
Descargue nuestro último libro blanco y obtenga más información sobre SOX/SOC-in-a-Box y sobre cómo Alyne puede ayudar a su organización con los requisitos de Control Interno sobre la Información Financiera (ICFR) de la Ley Sarbanes- Oxley (SOX) de EE.UU. "Evaluación de los Controles Internos por parte de la Dirección", y el marco Sistema y Organización de Controles 1 (SOC 1), definido como "Informe sobre un Examen de Controles en una Organización de Servicios Relevantes para el Control Interno sobre la Información Financiera de las Entidades Usuarias."