Escrito por Claudia Diego Viernes, 12 de Diciembre de 2008 22:00
Blog - Metodologías y Legislación
Por Claudia Diego
La Ley Sarbanes-Oxley es una Ley federal de Estados Unidos que ha tenido mucha controversia debido a que surge en respuesta a los escándalos financieros de corporaciones, tales como; Enron, Tyco International, WorldCom y Peregrine Systems.
Se considera uno de los cambios más significativos desde el “New Deal” de 1930. Establece responsabilidades concretas para: 1. PCAOB, 2. Compañías: Gerencias y Comité de auditoria y 3. Auditores Externos, como también, introduce una serie de novedades.
A saber:
• La creación del “Public Company Accounting Oversight Board” (Comisión encargada de supervisar las auditorias de las compañías que cotizan en bolsa), conocida como la PCAOB.
• El requerimiento de que las compañías que cotizan en bolsa garanticen la veracidad y exactitud de las evaluaciones de sus controles internos en el informe financiero, así como también los auditores independientes de estas compañías constaten los atributos mencionados.
• Certificación de los informes financieros, por parte del CEO (comité ejecutivo) y CFO (comité financiero de la empresa).
• Independencia de la empresa auditora.
• El requerimiento de que las compañías que cotizan en bolsa tengan un comité de auditores completamente independientes, que supervisen la relación entre la compañía y su auditoria. Este comité de auditores pertenece a la compañía, no obstante, los miembros que lo forman son completamente independientes a la misma.
• Prohibición de préstamos personales a directores y ejecutivos.
• Transparencia de la información de acciones y opciones, de la compañía en cuestión, que puedan tener los directivos, ejecutivos y empleados claves de la compañía y consorcios, en el caso de que posean más de un 10% de acciones de la compañía. Asimismo estos datos deben estar reflejados en los informes de las compañías.
• Endurecimiento de la responsabilidad civil así como las penas, ante el incumplimiento de la Ley. Se alargan las penas de prisión, así como las multas a los altos ejecutivos que incumplen y/o permiten el incumplimiento de las exigencias en lo referente al informe financiero.
• Protecciones a los empleados en caso de fraude corporativo. La OSHA (Oficina de Empleo y Salud) se encargará en menos de 90 días, de la reinserción del trabajador, se establece una indemnización por daños, la devolución del dinero defraudado y los gastos en pleitos legales, entre otros.
Es muy común escuchar que la ley SOX aplica a todo lo relacionado a los estados financieros y los controles inherentes, omitiendo o desconociendo lo que la anterior exige en el marco de TI ya que el gobierno de TI es una parte esencial y transparente del gobierno corporativo.
¿Cuál es el impacto de SOX para TI?
LA PCAOB establece en la Sección 404 (Evaluación de los controles internos del negocio), los siguientes requerimientos:
• Asesoramiento del diseño y la eficacia del funcionamiento de los controles internos relacionados con el mantenimiento de los balances financieros relevantes.
• Entendimiento de la importancia de las transacciones registradas, autorizadas, procesadas, y contabilizadas.
• Documentación suficiente sobre el flujo de transacciones para identificar posibles errores o fraudes que hayan podido ocurrir.
• Evaluación de la credibilidad de los controles de la compañía, de acuerdo con el estándar “COSO” (Committee of Sponsoring Organizations of the Treadway Commission). COSO es una organización sin fines de lucro, dedicada a mejorar la calidad de los reportes financieros a través de: los principios éticos del negocio, los controles internos efectivos y el gobierno corporativo.
• Análisis de los controles destinados para prevenir o detectar fraudes, incluidos los controles a la dirección.
• Redacción de un informe de control interno al final de cada ejercicio fiscal.
Cuando evaluamos los controles internos del negocio no podemos dejar de evaluar los controles internos del área de TI y a fin de establecer el marco eficiente de controles es preciso contar con el estándar COBIT (Controles de TI), este conjuntamente con el estándar COSO permitirán definir los controles internos acorde la exigencia de ley. Es importante resaltar que ya no estamos aplicando las mejores prácticas del mercado, por el contrario, es una exigencia de ley, la Ley Sarbarnes-Oxley, por lo tanto, estamos cumpliendo con la ley.
¿Qué deben certificar las gerencias en relación a los controles internos?
• La documentación correspondiente.
• La evaluación de la efectividad.
• La guarda de la evidencia del testeo efectuado.
• El monitoreo de la vigencia en el tiempo (mejora continua).
• Firmar su conformidad.
Es de vital importancia relevar los controles internos de TI. El relevamiento puede ser extensivo e incluir un número significativo de controles relativos al desarrollo, mantenimiento, operación de las aplicaciones y de la infraestructura, como así también, al entorno de seguridad implementada: en la red, aplicativos y datos.
Muchas veces se torna dificultoso para el gerenciamiento de TI, diseñar y operar controles completamente efectivos, debido a la naturaleza técnica de los controles, a los presupuestos ajustados y al mundo cambiante de amenazas informáticas a las que se enfrenta la compañía. Por otro lado, las deficiencias de los controles de TI pueden resultar en un error material si este no es controlado por oposición (otras áreas independientes de TI).
En pos de cumplir con la sección 404 de SOX debe prestarse especial atención a los controles primarios relacionados con:
• Control de cambios.
• Política de seguridad.
• Procesos automáticos, semiautomáticos y manuales.
• Planillas Excel y herramientas de usuario final.
• Segregación de Funciones.
• áreas Restringidas.
• Controles ejecutados por terceras partes (Informe SAS70).
De UD. depende, podrá ser un mero cumplidor, un bombero que corre velozmente en busca de implementar con lo exigido, o simplemente un hombre de negocio que entiende que un error material o un fraude financiero pueden acabar con su organización.
“La mejor estructura no garantiza los resultados ni el rendimiento,
pero la estructura equivocada es una garantía de fracaso.” Peter Drucker.
| < Prev | Próximo > |
|---|
 |
 |
 |
 |
Revista Impresa #16
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 3 registrados
Este mes: 12 registrados
Visitas
 | Hoy | 2616 |
 | Ayer | 5873 |
 | Esta semana | 23189 |
 | Ultima semana | 49831 |
 | Este mes | 118827 |
 | Ultimo mes | 238584 |
 | Todos los días | 8350376 |
Hoy: May 18, 2012
Comentarios
Sentrigo Hedgehog Enterprise es una solución escalable para el monitoreo de la actividad de la base de datos y la
prevención de intrusiones. Las vulnerabilidades de las Bases de Datos y el robo de información sensible exponen a
riesgos a las empresas y pueden causar irreparables daños de elevado costo.
Hedgehog Enterprise provee visibilidad completa sobre toda la actividad de la Base de Datos incluyendo acceso local
privilegiado, protección en tiempo real con alertas y capacidad de prevención, permitiendo a las organizaciones el
cumplimiento de políticas de seguridad y conformidad con requerimientos regulatorios como PCI DSS, Sarbanes-Oxley,
Se lo pueden descargar gratuitamente y testearlo utilizando este link: www.sentrigo.com/.../
Saludos!!
Suscripción de noticias RSS para comentarios de esta entrada.