SOXSOXVigente

Sarbanes-Oxley Act - IT Controls and PCAOB Standards

SOX no es una regulacion europea, pero es critica para grupos cotizados, filiales y equipos de auditoria IT. Esta seccion estructura las obligaciones mas relevantes para tecnologia, controles internos y evidencia de cumplimiento.

Articulos

10

Guias oficiales

3

Preguntar al asistente IA sobre SOX
Texto oficial

Controles internos sobre el reporting financiero

SOX en breve

La Ley Sarbanes-Oxley (SOX) exige a las empresas cotizadas controles internos sólidos sobre la información financiera, lo que incluye los controles generales de TI que soportan los sistemas financieros.

A quién aplica

Empresas que cotizan en mercados de EE. UU. y sus filiales, así como los auditores que prestan servicios a esas entidades.

Plazos clave

  • Certificación de la dirección: Periódica (informes financieros)
  • Evaluación de controles (ICFR): Anual

Obligaciones principales

  • Establecer y documentar controles internos sobre el reporting financiero (ICFR).
  • Controles generales de TI: gestión de accesos, cambios y operaciones.
  • Pruebas periódicas de eficacia de los controles.
  • Certificación de la dirección y auditoría independiente.
Diagnostica tu madurez SOX Mapear SOX a tu organización

Preguntas frecuentes

¿Qué exige SOX en materia de TI?+

La Ley Sarbanes-Oxley exige controles internos sobre el reporting financiero (ICFR), lo que incluye controles generales de TI (accesos, cambios, operaciones) que soportan los sistemas financieros.

¿A quién aplica SOX?+

Aplica principalmente a empresas que cotizan en mercados de EE. UU. y a sus filiales, así como a auditores que prestan servicios a esas entidades.

Guias tecnicas y fuentes oficiales

PCAOBAuditing standard

PCAOB AS 2201 - Audit of Internal Control Over Financial Reporting

Norma PCAOB para auditoria integrada de controles internos sobre reporting financiero.

Ver guía integrada
PCAOBStandards repository

PCAOB - Auditing Standards

Repositorio oficial de normas de auditoria PCAOB.

Ver guía integrada
SECOfficial guidance

SEC - Sarbanes-Oxley Section 404 guide

Guia SEC sobre evaluacion de controles internos bajo SOX 404.

Ver guía integrada

General

10
Art. DEF-1

Deficiency evaluation and remediation

Criterios para evaluar deficiencias de control, severidad, compensating controls y remediacion.

Art. EVID-1

Evidence retention and audit trail

Define criterios de trazabilidad, retencion y completitud de evidencias para auditoria SOX.

Art. ITAC-1

Automated application controls

Controles automaticos dentro de aplicaciones financieras que validan calculos, autorizaciones, interfaces y reportes.

Art. ITGC-1

Access management controls

Controles de altas, bajas, revisiones periodicas, privilegios y segregacion de funciones en sistemas financieros.

Art. SOC-1

Third-party service organisation controls

Uso de informes SOC 1/SOC 2 para proveedores que soportan procesos financieros o infraestructura critica.

Art. ITGC-2

Change management controls

Controles para cambios en aplicaciones, configuraciones, integraciones y reportes que afectan al reporting financiero.

Art. ITGC-3

IT operations controls

Controles operativos sobre jobs, backups, monitorizacion, incidentes y continuidad de procesos financieros.

Art. 302

Corporate responsibility for financial reports

Responsabilidad de CEO/CFO sobre la exactitud de la informacion financiera y controles de divulgacion.

Art. 404

Management assessment of internal controls

Exige evaluacion anual de la efectividad de los controles internos sobre reporting financiero.

Art. AS2201.21

Top-down risk-based approach

El auditor parte del riesgo financiero y baja hacia cuentas, procesos, aplicaciones y controles relevantes.