Para cumplir con la ley SOX y los requisitos del ICFR, las organizaciones deben crear controles que abarquen un amplio espectro de aspectos financieros y de TI, todos ellos adaptados a su estructura organizativa específica. Las organizaciones líderes apuestan por marcos como COBIT y COSO, e incluso una combinación de ambos, para adoptar en su búsqueda del cumplimiento de la ley SOX y el ICFR. La biblioteca de contenidos de Alyne va más allá de proporcionar controles relacionados con la seguridad informática y de la información, y ahora contiene una amplia cobertura de controles financieros centrados exclusivamente en la integridad financiera de una empresa.
La primera codificación de los controles contables internos se produjo hace casi cuatro décadas, impulsada por el aumento de los casos de soborno y corrupción en las empresas estadounidenses en 1977. Desde entonces, y más notoriamente debido al escándalo contable de Enron y otros, los requisitos de control financiero y presentación de informes se han ido definiendo y aplicando cada vez con mayor claridad. La Ley Sarbanes-Oxley (SOX) está en vigor desde 2002 para todas las empresas que cotizan en bolsa en Estados Unidos y aquellas que operan en este país, como medio para prevenir y proteger contra los errores contables y las prácticas fraudulentas. La sección 404 exige la implementación de un control interno adecuado sobre la información financiera (ICFR) dentro de las empresas que cotizan en bolsa para garantizar prácticas de información financiera justas de acuerdo con los principios de contabilidad generalmente aceptados (GAAP). Los auditores externos deben certificar el diseño y la eficacia del control interno sobre la información financiera y la exactitud de los estados financieros de una organización.
Aunque anteriormente se menciona que los requisitos se han «definido con mayor claridad», los requisitos reales sobre cómo lograr el cumplimiento no son tan sencillos y la ley SOX no es elogiada por ofrecer una orientación clara sobre la mejor manera de lograr el cumplimiento. La Ley Sarbanes-Oxley, a pesar de exigir a las organizaciones que establezcan controles internos eficaces que regulen tanto el ámbito informático como el financiero, no proporciona una lista de verificación que seguir ni hitos para medir los logros. La ambigüedad de los requisitos de la ley SOX ha sido ampliamente criticada debido a su naturaleza imprecisa, por no hablar de la falta de diferenciación entre las partes clave del proceso.
A pesar de la falta de un marco de control claramente definido por parte de SOX, dos organizaciones líderes responsables de la implementación de SOX, a saber, la SECC y la PCAOB, señalan marcos comunes ampliamente aceptados, como COSO y COBIT, e incluso una combinación de ambos, para adoptar en su búsqueda del cumplimiento de SOX y garantizar el ICFR. La combinación de marcos también puede ayudar a garantizar que se cubran todos los aspectos de su lista de verificación de cumplimiento de la ley SOX y ayudar a sus organizaciones a cumplir los requisitos del ICFR, tal y como se enumeran en la sección 404.
COSO, COBIT, SOX e ICFR
Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) – 1985
El marco COSO proporciona un enfoque de gestión de riesgos aplicado a los controles internos y articula conceptos clave que las organizaciones pueden utilizar para disuadir el fraude. El marco también hace hincapié en los controles relacionados con las finanzas, diseñados para permitir los requisitos SOX 404 de ICFR. Sin embargo, el marco no tiene plenamente en cuenta el entorno informático de la organización. Según COSO, existen tres tipos de controles internos:
- Aquellos que afectan al funcionamiento de una empresa.
- Aquellos que afectan al cumplimiento de las leyes y normativas por parte de una empresa .
- Aquellos que afectan a la información financiera de una empresa información financiera de una empresa. (ICFR)
Objetivos de control para la información y la tecnología relacionada (COBIT) – 1992
COBIT es un marco de gestión de TI desarrollado por ISACA que proporciona una hoja de ruta clara para desarrollar políticas y buenas prácticas para el control de TI, ayudando a las organizaciones a alcanzar sus objetivos en el ámbito de la tecnología de la información. El modelo COBIT permite a los gestores salvar la brecha entre los requisitos de control, las cuestiones técnicas y los riesgos empresariales.
Ley Sarbanes-Oxley (SOX) – 2002
-
Sección 404: Control interno sobre la información financiera
La ley SOX se aplica a todas las empresas que cotizan en bolsa en Estados Unidos, así como a las filiales de propiedad exclusiva y a las empresas extranjeras que cotizan en bolsa y operan en Estados Unidos. El informe de controles internos, exigido por la sección 4 de la ley, comúnmente conocida como SOX 404, exige que todas las empresas afectadas dispongan de controles internos adecuados para presentar datos financieros precisos en sus informes anuales. Más concretamente, la SOX 404 exige a las empresas que implementen un control interno adecuado sobre la información financiera (ICFR) para garantizar que se han establecido prácticas de información financiera justas de conformidad con los principios de contabilidad generalmente aceptados (GAAP).
Cumplimiento de la ley SOX y requisitos de ICFR en Alyne
En un mundo interconectado, la integridad financiera depende en gran medida de una infraestructura de TI segura y que funcione correctamente. La capacidad de realizar un seguimiento de sus finanzas requiere total transparencia y garantía sobre dónde y cómo fluyen sus datos. Para cumplir los requisitos de ICFR establecidos en SOX 404, una organización no solo debe contar con controles financieros sólidos, centrados en la integridad financiera de la empresa, sino también abarcar controles empresariales relevantes, con temas relacionados con la seguridad de la información y las TI.
Cubierto dentro de Alyne:
-
Mapeo completo basado en COBIT-COSO.
-
Controles exhaustivos relacionados con la seguridad informática y de la información.
-
Biblioteca de controles financieros centrada exclusivamente en la integridad financiera de una empresa.
Conjunto de controles y plantilla de evaluación del ICFR:
El contenido disponible en la plataforma Alyne nos ha permitido lanzar un conjunto de controles listo para usar para el control interno sobre la información financiera (ICFR): Control interno sobre la información financiera (ICFR) para el cumplimiento de SOX y SOC 1.
Además del conjunto de controles, Alyne ofrece una plantilla de evaluación lista para usar con niveles de madurez preconfigurados que ayudan a las empresas a evaluar la madurez de su integridad financiera. Las autoevaluaciones periódicas ayudan a las organizaciones a revisar el cumplimiento de sus requisitos de información financiera y les ayudan a reforzar su control interno sobre la información financiera. La última función de control interno sobre la información financiera de Alyne permite realizar una revisión completa del estado de su empresa y de su base de proveedores, tanto para el cumplimiento de la ley SOX como de la norma SOC 1.
Descargue nuestro último informe técnico y obtenga más información sobre SOX/SOC-in-a-Box y cómo Alyne puede ayudar a su organización con los requisitos de control interno sobre la información financiera (ICFR) de la Ley Sarbanes-Oxley (SOX) «Evaluación de la gestión de los controles internos» y el marco de controles de sistemas y organizaciones 1 (SOC 1), definido como «Informes sobre la revisión de los controles en una organización de servicios relevantes para el control interno sobre la información financiera de las entidades usuarias».
