EN ES
Solicitar una consulta

Área de práctica

Cumplimiento SOX.

Alcance, recorridos y remediación para nuevos y experimentados declarantes. Supera la auditoría externa sin crecer ciclo tras ciclo.

La práctica

SOX realizado como el PCAOB realmente lo lee.

Los nuevos declarantes delimitan SOX de manera demasiado estrecha. El PCAOB lo ha notado.

La Sección 404(a) es una declaración de la dirección. La Sección 404(b) es la opinión del auditor sobre esa declaración. La brecha entre las dos es donde la mayoría de los programas SOX salen mal — generalmente porque el alcance se definió en aislamiento, el inventario de IPE fue una idea de último momento, y los controles que importan al auditor no fueron los que la institución invirtió en probar.

Hemos ejecutado programas SOX para presentadores S-1 por primera vez, presentadores acelerados experimentados e instituciones que emergen de remediaciones de debilidad material. El trabajo tiene la misma forma — alcance, recorridos, pruebas de efectividad de diseño y operación, agregación de deficiencias, informes — pero la calibración es diferente en cada caso.

La disciplina está en lo que se deja fuera. Un buen programa SOX no prueba todos los controles; prueba aquellos que, si fallaran, importarían. Nuestro alcance comienza con las aserciones de los estados financieros y trabaja hacia atrás hasta los controles. Menos trabajo, mayor cobertura, menos sorpresas en octubre.

El trabajo

El trabajo en esta práctica, nombrado.

  1. Alcance Materialidad, análisis de cuentas y revelaciones, mapeo de procesos, identificación de controles calibrada al enfoque de la firma de auditoría.
  2. Recorridos Una transacción completa por proceso significativo; flujogramas actualizados; IPE inventariado y validado.
  3. Efectividad de diseño y operación Planes de prueba, tamaños de muestra que coinciden con las expectativas del auditor, evaluación de excepciones, ciclos de remediación.
  4. Controles generales de TI ITGCs en cambios, acceso y operaciones; vinculados explícitamente a los controles de aplicaciones que respaldan.
  5. Agregación de deficiencias Deficiencias, deficiencias significativas, debilidades materiales — y la matemática que las distingue.
  6. Informes trimestrales y de fin de año Controles de divulgación (302), conclusión sobre ICFR (404) y las conversaciones con el comité de auditoría en torno a cada uno.
Un compromiso típico

Un primer año SOX, del alcance a la primera declaración.

Fase Entregable
Alcance Materialidad establecida, procesos mapeados, controles inventariados, IPE catalogado.
Pruebas de diseño Recorridos, evaluación de diseño, brechas identificadas, planes de remediación elaborados.
Pruebas de operación Pruebas basadas en muestras a lo largo del año; excepciones registradas, evaluadas, comunicadas.
Informes Agregación de deficiencias, conclusión sobre ICFR, presentación al comité de auditoría, revelaciones del 10-K.