• Author / Uploaded
• ronald

Citation preview

CASO PRÁCTICO INFORME SOBRE LA EVALUACIÓN DEL PROCESO DE TESORERÍA BAJO EL REQUERIMIENTO DE LA SECCIÓN 404 DE LA LEY SARBANES OXLEY Compañía Tico Electrónicos

I.

INTRODUCCIÓN SECCIÓN 404 DE LA LEY SARBANES OXLEY La compañía es una empresa que cotiza en la bolsa de valores de Estados Unidos, por lo que se encuentra obligada a cumplir con la sección 404 de la Ley Sarbanes Oxley (en adelante “Ley SOA”). A continuación se hace referencia a lo indicado en la sección 404 “Evaluación de la Gerencia sobre los Controles Internos” de la Ley Sarbanes Oxley:

a)

REGULACIONES

REQUERIDAS:

La

Comisión

prescribirá

regulaciones requiriendo que cada informe anual contenga un informe de control interno, el cual: 1.

Determine la responsabilidad de la gerencia por establecer y mantener una estructura adecuada de control interno y procedimientos para el reporte financiero.

2.

Contenga una evaluación, al final de año fiscal, de la estructura de control interno y los procedimientos del emisor para el reporte financiero.

b)

EVALUACIÓN Y REPORTE DEL CONTROL INTERNO: Con respecto a la evaluación del control interno requerido por la subsección (a), cada firma de contabilidad que prepara o emite el informe de auditoría para el emisor, testificará e informará sobre la evaluación hecha por la gerencia del emisor.

Para ello, la Compañía debe evaluar el control interno bajo el enfoque COSO (Comité de Organizaciones Patrocinadoras, en inglés The Committee of Sponsoring Organizations of the Treadway Commission), el cual es un marco de control interno reconocido y aplicado para el cumplimiento de la referida Sección.

II.

ALCANCE La Alta Gerencia de la Compañía en conjunto con sus auditores externos, han determinado el proceso de Tesorería como uno de los procesos críticos para someter a evaluación el control interno. Asimismo, se han definido los siguientes sub-procesos de Tesorería dentro del alcance de la

2

evaluación del control interno: Cuentas por Cobrar, Cuentas por Pagar y Caja Chica. Las observaciones y recomendaciones planteadas en la Matriz de Evaluación de Control Interno del presente informe serán reportadas a los involucrados en los procesos y deberán elaborar un plan de acción para superar las debilidades y/o mejoras identificadas, por lo que la Alta Gerencia de la Compañía se responsabiliza en implementar las recomendaciones y realizar el seguimiento respectivo. III.

METODOLOGÍA SEGUIDA Una vez identificados los sub-procesos a evaluar, se realizaron principalmente las siguientes actividades: 

Identificación de los dueños del sub-proceso y personal involucrado.



Relevamiento de los sub-procesos, a fin de entender las principales actividades (de inicio a fin).



Elaboración de los flujogramas de los sub-procesos.



Identificación de los riesgos asociados a los sub-procesos.



Determinación de los controles existentes en los sub-procesos para mitigar los riesgos identificados.



Análisis de la situación de los sub-procesos para establecer las brechas en los controles.



Elaboración de las recomendaciones.



Validación

de

documentación

involucrados en los sub-procesos.

3

y

observaciones

con

los

Como resultado del trabajo realizado, se presentan: la documentación del proceso y la matriz de evaluación del control interno.

IV.

DOCUMENTACIÓN DEL PROCESO Los sub-procesos han sido documentados en los diagramas de flujo o flujogramas, en los cuales se identifica: el personal involucrado, las principales actividades del sub-proceso desde su inicio a fin, los controles existentes y los posibles riesgos clave durante el flujo del proceso. Los riesgos y controles han sido identificados en el flujograma de la siguiente manera: 1

Símbolo del triángulo de color amarillo que corresponde a la identificación de un riesgo y el número de riesgo en la matriz de evaluación del control interno. Símbolo del círculo de color verde que corresponde a la

1

identificación de un control que se encuentra funcionando adecuadamente y el número de control en la matriz de evaluación del control interno. 1

Símbolo del círculo de color rojo que corresponde a la identificación de un control que se encuentra débil o no está funcionando adecuadamente y el número de control en la matriz de evaluación del control interno. En el caso de que círculo de color rojo no indique un número en su interior, indica que no existe control implementado en la compañía.

4

5

6

Objetivo Los cobros recibidos por Caja sean oportunamente registrados en las cuentas bancarias de la empresa.

ID Riesgo 1

Riesgo Los pagos con cheque u otros cobros podrían no ser depositados en las cuentas bancarias de la empresa.

ID Control 1

2

3

Las cobranzas sean registradas oportunamente en la contabilidad.

2

Cuentas por cobrar inexistentes debido a que el monto adeudado ha sido cancelado por el cliente, afectando la integridad del saldo.

4

5

Control

Tipo de Control

Recomendación

Los cheques son depositados en el banco el día en el que son recibidos.

P-M

No se encontraron observaciones.

El Analista Financiero revisa diariamente los depósitos a las cuentas bancarias de la empresa a través de la consulta por internet del banco y los coteja con los voucher de los cheques depositados.

D-M

Todos los cheques son sellados “No Negociable” y son girados a nombre de la empresa.

P-M

Diariamente, los pagos recibidos son aplicados a facturas individuales por el Asistente Financiero en el Sistema SAP.

P-S

El Analista Financiero Senior revisa semanalmente el estado de cuenta de clientes y verifica los cobros recibidos.

D-M

8

No se encontraron observaciones.

Objetivo Las cobranzas sean registradas correctamente al cliente que corresponde. Las funciones para registrar, aprobar y conciliar se encuentren adecuadamente segregadas.

ID Riesgo 3

4

Riesgo Cobranzas registradas incorrectamente a otro cliente. Carencia de una adecuada segregación de funciones, por lo que errores posiblemente no podrían ser detectados.

ID Control 5

4

6

7

Control

Tipo de Control

Recomendación

El Analista Financiero Senior revisa semanalmente el estado de cuenta de clientes y verifica los cobros recibidos.

D-M

No se encontraron observaciones.

El Analista Financiero registra las cobranzas en SAP.

P-S

El Analista Financiero realiza mensualmente el análisis de las cuentas por cobrar a clientes.

D-M

El Analista de Finanzas tiene acceso en SAP a funciones críticas como: emisión de comprobantes de pago, registro de cobros y análisis de las cuentas por cobrar, con lo cual existe una inadecuada segregación de funciones.

El Analista Financiero tiene accesos en SAP para emitir facturas, notas de crédito y notas de débito.

P-S

9

Se sugiere asignar las labores de emisión de comprobantes de pago a otro asistente y el análisis mensual de las cuentas por cobrar debe ser realizado por el Analista Financiero Senior, a fin de garantizar la segregación de funciones.

Objetivo El acceso a facturación, cobranzas y registros críticos sea permitido solamente a personal autorizado de acuerdo con sus funciones.

Procedimientos sean establecidos para el adecuado procesamiento de las cuentas por cobrar.

ID Riesgo 5

6

Riesgo El acceso al sistema SAP podría no estar limitado a personal autorizado, lo que podría ocasionar registros y/o modificaciones indebidas.

Las acciones sobre cobros no podrían ser realizados oportunamente.

ID Control 8

9

Control

Tipo de Control

Recomendación

El acceso a SAP se realiza mediante la contraseña de cada usuario, el cual tiene un perfil en el sistema SAP de acuerdo con sus responsabilidades y funciones.

P-S

Las labores del Analista Financiero deben ser reasignadas entre otros recursos del área, ya que debe existir una adecuada segregación de funciones en el registro y conciliación de las cuentas por cobrar.

El Analista Financiero es la única persona que tiene acceso al registro de las cobranzas en SAP.

P-S

No existen procedimientos para el sub-proceso de cuentas por cobrar.

La Gerencia de Tesorería debe realizar revisiones periódicas (p.e. bimensuales) de los accesos del personal en SAP, a fin de que los perfiles se encuentren actualizados con las funciones del personal de dicha área. La Gerencia de la Compañía debe definir formalmente procedimientos que contemplen el registro, revisión y seguimiento de las cuentas por cobrar. El procedimiento debe ser proporcionado a todo el personal involucrado a fin de que apliquen lo estipulado por la Gerencia.

10

Objetivo Procedimientos sean establecidos para el adecuado procesamiento de las cuentas por cobrar.

Desembolsos sean realizados solamente por bienes y servicios recibidos.

ID Riesgo 7

8

Riesgo

ID Control

Existencia de cuentas por cobrar con anticuamiento significativo sin que sean detectadas y monitoreadas oportunamente. Desembolsos podrían ser efectuados por servicios o bienes no recibidos.

Control

Tipo de Control

No existen procedimientos para el sub-proceso de cuentas por cobrar.

10

Todos los desembolsos tienen una orden de compra autorizada en el sistema SAP por el gerente del departamento responsable de la adquisición, la cual se encuentra asociada a una factura en el sistema.

11

Recomendación Ídem.

P-S

No se encontraron observaciones.

Objetivo Desembolsos sean autorizados.

Pagos son exactos y registrados oportunamente en la contabilidad.

ID Riesgo 9

10

Riesgo Desembolsos podrían no corresponder a obligaciones de la compañía.

Carencia de integridad de los saldos de las cuentas por pagar.

ID Control 11

12

13

Control

Tipo de Control

Recomendación

Las facturas firmadas por la gerencia que recibió el servicio o bien se encuentran adjuntas a los cheques. Todos los pagos a proveedores son realizados con cheque. Tico Electrónicos no usa sistemas electrónicos o servicios de transferencia bancaria electrónicas. En el caso de transferencias bancarias, la firma de dos personas autorizadas es requerida en la carta de solicitud. En el caso de cheques también debe ser firmado por dos personas autorizadas.

P-M

No se encontraron observaciones.

Para registrar un pago se debe asociar a una factura que se encuentre registrada en SAP.

P-S

No se encontraron observaciones.

El sistema SAP no permite registrar desembolsos por importes mayores a la factura o cuenta por pagar contabilizada.

P-S

12

Objetivo Asegurar que las obligaciones sean pagadas de manera exacta.

ID Riesgo 11

Riesgo Duplicación de pagos o pagos en exceso.

ID Control 14

13

Procedimientos sean establecidos para el adecuado procesamiento de las cuentas por pagar.

12

Incurrir en intereses o perder beneficios por pronto pago.

23

Control

Tipo de Control

Recomendación

Cuando una factura es pagada, automáticamente el sistema SAP la retira de las cuentas por pagar.

P-S

No se encontraron observaciones.

El sistema SAP no permite registrar desembolsos por importes mayores a la factura contabilizada. Finanzas tiene procedimientos para el proceso de cuentas por pagar documentado en correo electrónico, el cual es distribuido a todo el personal.

P-S

P-M

La Gerencia de la Compañía debe definir formalmente procedimientos que contemplen el registro, revisión y seguimiento de las cuentas por pagar. El procedimiento debe ser proporcionado a todo el personal involucrado a fin de que apliquen lo estipulado por la Gerencia.

Los desembolsos sean registrados correctamente al proveedor que corresponde.

13

Pagos registrados incorrectamente a otro proveedor.

No existe control.

13

Las cuentas por pagar deben ser analizadas y reconciliadas por el Supervisor de Tesorería, como mínimo mensualmente, a fin de verificar su integridad.

Objetivo Las funciones para registrar, aprobar y conciliar se encuentren adecuadamente segregadas.

El acceso a registro de facturas, pagos y otros registros críticos sea permitido solamente a personal autorizado de acuerdo con sus funciones.

ID Riesgo 4

5

Riesgo Carencia de una adecuada segregación de funciones, por lo que errores posiblemente no podrían ser detectados.

El acceso al sistema SAP podría no estar limitado a personal autorizado, lo que podría ocasionar registros y/o modificaciones indebidas.

ID Control 15

16

8

Control

Tipo de Control

Recomendación

El asistente de Tesorería registra los pagos en SAP.

P-S

El Tesorero gestiona los pagos, éstos son aprobados por personal autorizado por la Alta Gerencia, los cuales no tienen acceso a registrar transacciones de pagos en el SAP.

P-M

Existe una adecuada segregación de funciones; sin embargo, se ha identificado que no existen labores de conciliación. Ver recomendación en el punto anterior.

El acceso a SAP se realiza mediante la contraseña de cada usuario, el cual tiene un perfil en el sistema SAP de acuerdo con sus responsabilidades y funciones.

P-S

No se encuentra claramente identificado el personal que tiene acceso a transacciones referidas a las cuentas por pagar.

14

La Gerencia de Tesorería debe aprobar previamente los accesos otorgados al personal asignado a las transacciones de cuentas por pagar. Se sugiere solicitar al área de Sistemas la relación del personal con accesos y privilegios a dichas funciones en el SAP. La Gerencia de Tesorería debe realizar revisiones periódicas (p.e. bimensuales) de los accesos del personal en SAP, a fin de que los perfiles se encuentren actualizados con las funciones del personal de dicha área.

Objetivo El balance de caja y bancos se encuentre establecido con exactitud.

ID Riesgo 14

Riesgo

ID Control

Control

Tipo de Control

Recomendación

Carencias de fondos podrían no ser detectadas y resultar en una sobreestimación de los saldos de caja.

17

Finanzas tiene procedimientos para el proceso de administración de caja y bancos documentado en correo electrónico, el cual es distribuido a todo el personal

P-M

La Gerencia de la Compañía debe definir formalmente procedimientos que contemplen el registro, revisión y seguimiento de las cuentas por pagar. El procedimiento debe ser proporcionado a todo el personal involucrado a fin de que apliquen lo estipulado por la Gerencia. Conciliaciones bancarias deben ser realizadas mensualmente por el Contador de la Compañía.

La caja chica es administrada de manera apropiada.

15

Fondos de la compañía podrían ser utilizados de manera indebida.

18

19

La caja chica se encuentra en la caja fuerte de la empresa y cuya llave se encuentra bajo la custodia del Tesorero.

P-M

Todos los desembolsos de caja chica son aprobados previamente por el gerente del área que lo solicita.

P-M

15

No se encontraron observaciones.

Objetivo Toda la documentación e información relativa a las transacciones de caja se encuentra disponible. Todas las transacciones de caja y bancos son documentadas apropiadamente.

ID Riesgo 16

17

Riesgo Falta de documentación o información relativa a las transacciones de caja.

Documentación ficticia podría ser creada para las transacciones de caja.

ID Control 20

21

22

Control

Tipo de Control

Recomendación

El personal de contabilidad mantiene el registro de todos los desembolsos y recibos junto a la documentación correspondiente como facturas, comprobantes de cheque, cartas de transferencia e ingresos dentro del SAP.

P-M

No se encontraron observaciones.

Todos los desembolsos tienen una orden de compra autorizada en SAP y facturadas firmadas por los gerentes de área.

P-S

El personal de Contabilidad debe conducir revisiones aleatorias (arqueos) de caja chica. Este acto debe ser refrendado por el personal involucrado en dicha revisión.

El Gerente de área revisa mensualmente todos los gastos realizados por los empleados, que corresponden a desembolsos de caja chica.

D-M

16

Objetivo La caja chica es administrada de manera apropiada.

ID Riesgo 18

Riesgo Insuficiencia de fondos de caja chica.

ID Control 23

24

Control

Tipo de Control

Recomendación

El Tesorero solicita una vez a la semana la reposición del fondo de caja chica.

D-M

La reposición de caja chica es aprobada por la Gerencia de Finanzas.

P-M

Evaluar si el período de reposición (una vez a la semana) es suficiente para cubrir las necesidades de gastos menores de la compañía.

17

Establecer en el procedimiento para administración de caja la periodicidad de reposición del fondo de caja chica.

18