Página de título
-
Nombre de la compañía
-
Domicilio social
-
Preparada por
-
Realizada el
Inspección
Evaluación de la gestión de controles internos
-
¿La gerencia operativa se ha hecho cargo de sus procesos y documentación, en lugar de dejarlo en manos del equipo de la Sección 404 o de la función de auditoría interna?
-
¿La gerencia operativa actualiza todos los procesos y la documentación de control con prontitud durante todo el año y no solo cuando comienza la temporada de auditoría?
-
¿Existe un proceso efectivo de gestión de cambios, incluida la evaluación oportuna de los cambios de proceso por su impacto potencial en los controles clave?
-
¿La gerencia operativa se compromete a evaluar y remediar todas las deficiencias de control sin demoras?
-
En situaciones en las que la remediación no está justificada en base a la evaluación de riesgos y costos de la gerencia, ¿esta se compromete a comunicar esa decisión sin demora para que el efecto en la evaluación general de los controles de la gerencia pueda identificarse y abordarse?
-
¿Se ha utilizado un enfoque de arriba hacia abajo y basado en el riesgo para identificar aquellos controles clave?
-
¿La gerencia está segura de que todos los controles clave identificados son verdaderamente clave?
-
¿Se revisó el diseño de los procesos relacionados para determinar si los cambios pueden resultar en menos controles y más efectivos, confiando más en controles automatizados o en controles de nivel superior?
-
(por ejemplo, reconciliaciones detalladas y análisis de flujo)
-
¿La gerencia del programa de la Sección 404 está a un nivel suficientemente alto dentro de la organización para influir en la gestión operativa en relación con el cumplimiento de sus responsabilidades?
-
¿La gerencia del programa de la Sección 404 se encuentra en un nivel suficientemente alto dentro de la organización para comunicar de manera efectiva el progreso del programa y los posibles contratiempos con la gerencia ejecutiva?
-
¿La gerencia del programa de la Sección 404 está a un nivel suficientemente alto dentro de la organización para negociar según sea necesario con el auditor externo?
-
(p. ej., para aumentar la confianza en las pruebas de gestión, acordar controles clave con anticipación y abordar las inquietudes a medida que surjan)
-
¿Se optimiza el uso de los recursos internos, incluido el uso de auditores internos para realizar pruebas o para validar la evaluación de la eficacia de la gestión?
-
¿Se ha optimizado la dotación general de personal, reduciendo la dependencia de consultores y evaluadores externos más costosos?
-
¿Se ha optimizado la confianza del auditor externo en la evaluación de la eficacia de la gestión?
-
¿El auditor externo sigue un enfoque de arriba hacia abajo basado en el riesgo como se requiere?
-
¿Existe un plan de proyecto detallado que incluya un recorrido por todos los procesos importantes a principios de año, preferiblemente en el primer trimestre?
-
¿Existe un plan de proyecto detallado con pruebas programadas de tal manera que todos los controles clave se prueben a mediados de año, con pruebas adicionales para actualizar los resultados programadas más cerca del final del año?
-
Esto permite que el auditor externo comience sus recorridos y pruebas con anticipación, lo que proporciona tiempo para que la administración aborde y repare cualquier deficiencia identificada en las pruebas de la gerencia o del auditor externo.
-
¿Existe un plan de proyecto detallado que incluya todas las actividades clave necesarias para completar el programa, como la evaluación de riesgos de fraude, la consideración de cualquier contratiempo informático del usuario final, la evaluación de los informes SAS 70 de los proveedores de servicios, etc.?
-
¿Existe un plan de proyecto detallado que detalle todos los recursos necesarios, incluidos los especialistas (por ejemplo, para procesos y controles de TI o fiscales), de modo que puedan programarse con anticipación?
-
¿Existe un plan de proyecto detallado con informes regulares que se centre en contratiempos y métricas clave?
-
Incluidos
-
¿Progreso de los cronogramas, destacando los pasos que están o pueden estar retrasados?
-
¿El porcentaje de controles clave probados en comparación con su nivel de finalización programado?
-
¿El número y porcentaje de controles clave que están fallando?
-
¿El número de controles fallidos que son potencialmente significativos para la evaluación de la Sección 404?
-
¿La cantidad de controles fallidos donde la remediación no se completará dentro de 30 días, para que la alta gerencia pueda concentrarse en una finalización a tiempo?
-
¿La cantidad de controles clave en los que la remediación y la nueva prueba pueden no completarse con tiempo suficiente para que el auditor externo vuelva a hacer las pruebas (es probable que sean deficiencias abiertas al final del año)?
-
¿Los costos hasta la fecha y previstos hasta el final del año?
-
¿Posibles contratiempos en los recursos?
-
¿Otros contratiempos, como la coordinación y las inquietudes planteadas por el auditor externo?
-
¿Ha habido comunicación y coordinación con todos los proveedores de servicios para garantizar que un informe SAS 70 tipo II esté disponible en el momento adecuado?
-
¿Se proporciona una alerta temprana para detectar posibles deficiencias durante la auditoría SAS 70?
-
¿Se evalúa la eficacia del programa de la Sección 404 en sí mismo de manera continua, para garantizar que se mejore a medida que la organización aprende de la experiencia y se beneficia de los cambios en las reglamentaciones o su interpretación?
Rúbrica
-
Comentarios adicionales
Equipo de gestión
-
Miembro
-
Nombre y firma
-
Puesto
