Lo que debemos saber antes de SOX:

Gobierno Corporativo y Controles Internos

La Ley Sarbanes-Oxley (SOX) tiene como base fundamental las prácticas de Gobierno Corporativo y
Controles Internos y para comprender el espíritu de SOX debemos desarrollar dichos conceptos:

Es el sistema de gestión por el cual las organizaciones son dirigidas y

monitoreadas, involucrando políticas, normas, reglamentos y prácticas
empresariales. Las buenas prácticas de un gobierno corporativo tienen la
Gobierno finalidad de garantizar la confianza y credibilidad de la gestión de la empresa a su
Corporativo público, alineadas a los objetivos empresariales y a los principios de
sustentabilidad.

Para leer más haga clic aquí.

Es definido como un proceso ejecutado por la Alta Administración y demás

colaboradores, proyectado para proveer un nivel razonable de seguridad (mitigación de
Control Interno los principales riesgos) para el logro de los objetivos empresariales.

Para leer más haga clic aquí.

"Controles internos son componentes fundamentales de la estructura del Gobierno Corporativo

de las organizaciones. Empresas con un buen Gobierno Corporativo poseen Controles Internos
sólidos".

Gobierno Corporativo es el sistema de gestión por el cual las organizaciones son dirigidas y
monitoreadas, involucrando políticas, normas, reglamentos y prácticas empresariales. Las buenas
prácticas de un gobierno corporativo tienen la finalidad de garantizar la confianza y credibilidad de la
gestión de la empresa a su público, alineadas a los objetivos empresariales y a los principios de
sustentabilidad.

Los principales elementos corporativos operan de manera coordinada y son los siguiente
  Controles Internos: actúan en la
gestión de las prácticas por los cuales
los recursos de la Organización son
dirigidos, monitoreados y medidos;
desempeñan un papel fundamental en
la prevención y detección de fraudes,
protección de los activos físicos e
intangibles y garantizan la confianza
en los estados financieros y sus
procesos correlativos.

 Auditoría Interna: es una función

independiente y de asesoramiento
para la Alta Administración, destinada
a agregar valor y mejorar las
operaciones de la Organización, por
medio de la actualización de los
instrumentos destinados a la gestión
de riesgos, controles y procesos de
gobierno. Su alcance de actuación es
amplio y contribuye para la
confiabilidad de los estados
financieros, salvaguarda de los activos
y el cumplimiento con leyes y
reglamentos internos (compliance).

 Gestión de Riesgos: tiene como

objetivo la identificación de eventos
que pueden comprometer las
estrategias de la Organización en el
logro de sus objetivos de negocio;
actúa en el gerenciamiento de estos
eventos, de modo a contribuir con el
alineamiento de las directrices del
apetito de riesgo.

Control Interno es definido como un proceso ejecutado por la Alta Administración y demás colaboradores,
proyectado para proveer un nivel razonable de seguridad (mitigación de los principales riesgos) para el logro de los
objetivos empresariales.

Función de Control Interno

Actuación de la función de control interno en Itaipu Binacional

Principales actividades
 Revisar las directrices y procedimientos internos elaborados por los gestores.
 Gestionar la documentación de los procesos (revisar documentos, aprobaciones, divulgar en los canales de
 comunicación aplicables).
 Asesorar a los gestores en la reformulación de procesos y la definición de controles mitigantes.
 Actualizar los controles de acceso y la definición de límites y alzadas.
 Conducir la Revisión de Controles.
 Revisar y aprobar los planes de acción definidos por las áreas.
 Acompañar los planes de acción con base en los principales puntos identificados por las Auditorías Interna y
Externa.

En Itaipu Binacional el monitoreo del ambiente de Control Interno es atribuición de las Asesorías de Compliance
y cada uno de los colaboradores de la Itaipu Binacional al ejecutar los procesos que les competen realizan
diferentes tipos de control.

Mitos

 Los controles internos pueden asegurar el éxito de las empresas y proporcionar una absoluta
seguridad en los informes financieros y en el cumplimiento de las leyes y reglamentos vigentes.

 Los controles internos son responsabilidad de un área específica.

 Los controles internos pueden proteger a una organización de los errores en la toma de decisiones,
del fraude de dos o más personas o de la disposición de la gerencia a burlar el sistema.

Verdades

 Los controles internos ayudan a la empresa a lograr sus metas de rendimiento y cumplimiento del
presupuesto.

 Los controles internos ayudan a la empresa a evitar daños a su reputación.

 Los controles internos ayudan a las organizaciones a mitigar sus riesgos.

 Los controles internos permean en toda la empresa y son responsabilidad de todas las áreas.
Cada uno participa del control interno de la Entidad

Todos los empleados de la Entidad participan de varios procesos para cumplir sus funciones. Cada
proceso tiene actividades y uno o varios controles involucrados. De esta forma todos los empleados
colaboran con el control interno de la empresa.

Tipos de Controles

PREVENTIVO (P) – Ejecutados al inicio del proceso. Previenen acontecimientos de errores o

irregularidades y minimizan los riesgos en su origen. Control pro-activo.

DETECTIVO (D) - Ejecutados a lo largo del proceso. Detectan errores que son difíciles de definir o
prever. Control reactivo.

AUTOMATIZADO (A) - Controles ejecutados por sistemas automatizados, no dependen de juicios

personales. Para garantizar su coherencia, precisión y sincronización, es preciso tener un sistema
seguro y confiable.

MANUAL (M) - Controles manuales ejecutados por personas.

Documentación de los controles

Como mencionamos anteriormente, los controles están presentes en los diferentes procesos. A
 continuación desarrollamos un caso para ejemplificar cómo se documentan los controles:

Referencias:
1- ¿El control es manual o automático?
2- ¿Cuál es el origen de la información?
3- ¿Qué sistemas están involucrados?
4- ¿Con qué frecuencia se ejecutan los controles?
5- ¿Quién ejecuta el control? (área / cargo)
6- ¿Cómo se evidencia el control? (ej: aprobación formal/ firma del informe)
7- ¿Cómo son tratadas las excepciones?

Pruebas de Controles Internos

Periódicamente, se realizan pruebas sobre los Controles Internos para obtener la confirmación
de que los controles operan de manera eficaz y continua durante el periodo.

Las pruebas de controles internos son realizadas por las Auditorías, tanto Interna como
Externa, con enfoques y objetivos diferentes. Las pruebas de control deben confirmar su
eficacia para atenuar los riesgos identificados, reduciendo así la exposición a estos riesgos.

Las áreas son responsables por la eficacia de los controles internos y por garantizar que éstos
operen durantes todo el periodo previsto. Es decir, si un control debe ser ejecutado de forma
diaria, semanal y/o mensual deber ser realizado todas las veces previstas, pues de otra forma
no operan de forma eficaz.

De esta forma, para que las Auditorías no realicen observaciones ni reporten gaps, el Diseño
de los Controles debe asegurar la mitigación de los riesgos, y la ejecución de los controles
debe ocurrir de conformidad con el diseño, garantizando su Efectividad.

Si el Diseño del Control establece que diariamente se deben realizar las conciliaciones
de cuentas de todos los bancos con las que opera la Entidad, confrontando con los
registros contables y, sólo se realiza la conciliación algunos días de la semana, el
control no opera de manera eficaz. Para que el control sea considerado eficaz debe ser
ejecutado todas la veces que el diseño del control lo establezca, para de esta manera
mitigue el riesgo. Esto se llama Efectividad del Control.

Ley Sarbanes-Oxley (SOX)

 SOX es el estándar de controles internos con enfoque en mitigacion de riesgos relacionados a errores
y fraudes en los Estados Financieros adoptado como mejor práctica de las mayores empresas del
mundo. Este estándar fue adoptado por Itaipu Binacional.

SOX recomienda la adopción del modelo COSO para la estructuración de controles internos. La Ley
Sarbanes-Oxley o SOX (julio/2002) fue una reacción natural a los eventos que causaron serias pérdidas de
credibilidad y confianza de grandes empresas y fue promovida por un Senador y un Diputado de los Estados
Unidos de America de quienes proviene la denominación de esta ley.

Principales acciones promovidas por SOX

 Reportar de forma rápida y continua informaciones que puedan alterar sustancialmente las condiciones
financieras de la empresa.
 La Alta Administración garantiza que los controles internos relativos a los estados financieros son efectivos.
 El auditor externo verifica que los controles internos con impacto en los Estados Financieros tienen
adherencia a SOX.

Controles con enfoque en riesgos

SOX promueve la Racionalización de Controles que permite mejorar el diseño y efectividad de los controles
con el fin de administrar y minimizar los riesgos relacionados con el reporte financiero y abarca los siguientes
criterios:

 El uso de un enfoque de arriba hacia abajo (top-down) basado en riesgo.

 La eliminación de controles innecesarios y la selección de los controles clave.
 El uso de planes de prueba basados en riesgo.
 La optimización de controles automáticos y de nivel entidad.
 El adecuado enfoque en los controles de área de mayor riesgo.
 La estandarización y centralización estratégica de los controles.

En este portal, en el capítulo SOX en Itaipu, profundizamos cómo estos criterios se implementan en
Itaipu Binacional.

Implementación de Sarbanes-Oxley en Itaipu Binacional

SOX en Itaipu Binacional está implementada por medio de una estructura de trabajo donde intervienen varias
áreas, así también posee una metodología propia que busca atender las necesidades de la Entidad.

La implementación de SOX en la Itaipu Binacional inició en el año 2006 y es coordinado por las Asesorías de
Compliance con el objetivo de gerenciar las actividades a ser desarrolladas para la emisión de un informe de
adherencia a SOX.

Alineamiento Estratégico
SOX está alineado con los Objetivos Estratégicos de la Itaipu Binacional, específicamente con el
Objetivo Estratégico Nº 5 "Perfeccionar las prácticas de gestión y gobernanza empresarial".

Asimismo, las Directrices Tácticas definen los indicadores específicos de SOX para el
acompañamiento y monitoreo del logro de este objetivo estratégico (ver indicador 5.1).

Estructura Operacional

SOX opera de manera integrada, con la coordinación realizada por las Asesorías de Compliance
y la participación de todas las Áreas Gestores de Procesos.
Para leer más haga clic aquí.
Metodología de Trabajo

La metodología de trabajo para la implementación de SOX en Itaipu está formalizada en el

Manual de Controles Internos SOX aprobada por la RDE-288/14, siendo que el Manual está en
revisión.

Este manual tiene por objetivo describir el modelo de Controles Internos SOX, detallando la
estructura y los mecanismos utilizados para alcanzar los objetivos de gobernanza inherentes al
proceso de elaboración de los estados financieros de la Entidad.
Para leer más haga clic aquí.

Estructura operacional de SOX en Itaipu Binacional

Son los representantes de la Alta Administración para los fines y objetivos

de SOX. Patrocinan las mejoras del entorno de controles internos,
buscando siempre el equilibrio entre la eficacia de los procesos, de los
controles y de los costos, así como el alineamiento con los objetivos
Asesorías de estratégicos empresariales.
Compliance
Son los responsables de coordinar y operacionalizar la metodología y
diferentes actividades necesarias para cumplir con la normativa SOX,
brindar soporte a las áreas gestoras de los procesos de Itaipu y facilitar el
trabajo de las auditorías siendo el enlace con las áreas gestoras.

Son los responsables de ejecutar los procesos y controles establecidos en

la Metodología de Control Interno y demás cuerpos normativos de la Itaipu
Binacional (RCA, RDE, DET, etc.). Los procesos bajo el alcance de SOX
Áreas Gestoras de son aquellos que podrían impactar de forma significativa en los Estados
Procesos Financieros de Itaipu si los controles establecidos no operan según el
diseño para mitigar los riesgos del mismo. En un proceso pueden
intervenir varias áreas (Superintendencias, Departamentos y/o Divisiones).
Para leer más acerca de los Procesos SOX hacer clic aquí.

Metodología de Trabajo SOX

en Itaipu Binacional
La metodología de trabajo para la implementación de SOX en Itaipu está formalizada en el Manual de
Controles Internos SOX, siendo que el Manual está en revisión. Este manual tiene por objetivo describir el
modelo de Controles Internos SOX, detallando la estructura y los mecanismos utilizados para alcanzar los
objetivos de gobernanza inherentes al proceso de elaboración de los Estados Financieros de la Entidad.

Documentación SOX
Los principales documentos que son utilizados en la Itaipu Binacional para formalizar y evidenciar los controles
son los siguientes:
Matriz de Objetivos de Control
(MOC)
Relación de los objetivos de control
y riesgos vinculados a actividades
de control ejecutados por el área de
negocio. La matriz también presenta
los atributos de los controles como
la natureza, finalidad de
automatización y MOC
frecuencia.Cada proceso y/o sub-
proceso SOX cuenta con una MOC
donde están mapeados los
controles que se ejecutan en dicho
proceso.
Narrativas
Descripción de las actividades de
control desempeñadas por el área
de negocio para la ejecución del
proceso. Al igual que la MOC, cada
proceso y/o sub-proceso SOX
cuenta con una Narrativa donde Narrativa
también se referencian los controles
ejecutados por el área durante el
proceso.
Flujogramas
Representación gráfica de las
actividades y controles en una
secuencia lógica, segregadas por el
área de negocio. Flujograma

Walkthrough

El Walkthrough es una actividad muy importante ejecutada por la propia Área Gestora, para comprender
y comprobar la efectividad de los controles de los procesos y la actualización de los documentos SOX.

El Walkthrough consiste en realizar el paso a paso del proceso, verificando los formularios, sistemas y
responsables en cada actividad, teniendo como objetivos principales:
 Confirmar la comprensión y eficacia de los controles del proceso de negocio.
 Determinar si todos los riesgos del proceso se han mapeado, identificado y existe un control que lo mitigue.
 Evaluar y generar evidencias de la efectividad de los controles por medio de pruebas de conformidad sin
muestra (selección de una única transacción) comparando con los documentos SOX correspondientes.

Cronograma anual de SOX para cada ejercicio

Actualización de Documentos SOX

Conforme lo establecido en el Manual de Controles Internos SOX, compete a las Áreas Gestoras garantizar la
constante actualización de los Documentos SOX (Narrativa, Matriz de Objetivos de Control, Flujograma), con
relación a la realidad de los procesos que se ejecutan en el área.

¿En qué casos generalmente debemos actualizar los Documentos SOX?

 Existencia de cambios en los procesos y/o controles, por ejemplo:
 Automatización de procesos que anteriormente se realizaban de forma manual.
 Implementación y/o modificación de formularios.
 Adición de controles.
 Cambio de responsables por procesos.
 Implementación y/o modificación de sistemas informáticos que soportan el proceso.

 Existencia de nuevos riesgos, por ejemplo:

 Implementación de nuevos procesos y/o actividades con impacto financiero que no están contemplados
en los documentos SOX.
 Hechos y/o circunstancias externas a la empresa que generan nuevos riesgos en su negocio.

IMPORTANTE!
Los controles diseñados no pueden ser modificados si el nuevo diseño no mitiga el riesgo con el que está
mapeado en la Matriz de Objetivos de Control. En caso que los Procesos sufran cambios significativos, es
conveniente que las modificaciones en el diseño de los controles sean sometidas previamente a consideración
de las Asesorías de Compliance.

Aprobación de Documentos SOX y evidencias de control: procedimento para firma por

gestor substituto
Conforme la recomendación emitida por la Auditoria Interna, en caso que existe la necesidad de que un gestor
substituto apruebe algún documento y/o evidencia de controles relacionado a procesos de SOX en el lugar
del gestor titular, debe observar lo siguiente:

 Emitir MP - Movimiento de Personal formalizando la substitución, mismo que el plazo de

substitución sea inferior a 10 días y no genere gratificación de función;

 Firmar los documentos empleando el nombre del Gestor Sustituto y el cargo en ejercicio. No debem
ser utilizadas firmas con las siglas P/, PP, PA o similar.

Ejemplo, en caso de
vacaciones del gerente
de división XYZ, Sr. Juan
___________________________
Pereira, sustituído por la
Maria de Souza
Sra. María de Souza, en
Gerente da División XYZ
la identificación de las
firmas en los documentos
SOX tendríamos:
Procesos SOX en Itaipu Binacional y Contactos

En todas las empresas existen variedad de procesos desarrollados por sus funcionarios y/o terceros para el
logro de sus objetivos. Sin embargo, los procesos que están bajo el alcance de SOX son aquellos que
tienen un impacto significativo en la preparación de los Estados Financieros.

El seguiente enlace contiene la lista que representa el mapeo de los procesos que a la fecha impactan la
preparación de los Estados Financieros de la Itaipu Binacional con sus respectivos Gestores de Procesos y
Contactos. Los procesos bajo el alcance de SOX pueden variar de un ejercicio a otro dependiendo de la
evaluación de los riesgos del negocio, cambios significativos en los procesos, implementación de nuevos
sistemas, etc.

Auditoría SOX
Anualmente, los Procesos SOX son probados tanto por la Auditoría Interna de ITAIPU
Binacional como también por la Auditoría Externa contratada de forma binacional.

Las Asesorías de Compliance, en consenso con las partes involucradas, planifica y

acompaña el cronograma de las actuaciones tanto de la Auditoría Interna como de la
Auditoría Externa en las diferentes Áreas Gestoras de Proceso de manera a que el impacto
en las actividades diarias sea el menor posible.

Si bien ambas Auditorías realizan la revisión de los mismos Procesos SOX, el objetivo y
enfoque de los trabajos son diferentes:

Prueban los controles internos mapeados en

los Procesos SOX con la finalidad de reportar al
Auditoría Interna
Consejo de Administración y al área en caso
que existan controles inefectivos o ineficaces.

Garantizan la razonabilidad de las

informaciones de los estados financieros de la
Auditoría Externa Itaipu Binacional y para esto prueban los
controles internos con impacto significativo en
las informaciones contables.

AUDITORIA INTERNA
El Papel de Auditoría Interna para el cumplimiento de los objetivos de SOX

La Auditoria Interna de Itaipu ejecuta las pruebas de eficacia operativa de los controles internos
identificados y mapeados en los Procesos SOX, con el fin de obtener evidencias que soporten
su evaluación, conforme a los procedimientos formalizados en el documento “Organización,
Normas y Procedimientos de Auditoría Interna” aprobado por el Consejo de Administración.

Los procedimientos de pruebas de los controles son realizados en fechas programadas con la
Asesoría de Compliance y previamente comunicado a los Gestores responsables, buscando
siempre un equilibrio entre el cumplimiento con el cronograma aprobado y el buen desempeño
de las actividades.

Con este esquema de trabajo coordinado, se busca garantizar que los Controles Internos estén
siendo ejecutados en base al respectivo diseño (que constan en los Documentos SOX) y
preparar a las Áreas Gestoras para la revisión de la Auditoría Externa.

Pruebas realizadas por la Auditoría Interna

Modalidades de pruebas de control realizadas para cada Control mapeado en los Procesos SOX:

 Pruebas de control: Procedimiento utilizado para obtener la confirmación que los controles operan de
manera eficaz y continua. Las pruebas de control deben confirmar su eficacia para atenuar los riesgos
identificados, reduciendo así la exposición a estos riesgos.

 Prueba sustantiva: Procedimientos ejecutados con la finalidad de detectar y cuantificar errores que puedan
haber ocurrido pero que no hayan sido detectados o corregidos por las actividades de control.

Dependiendo de la naturaleza y frecuencia del control, la Auditoría Interna realiza una muestra de las
evidencia que solicitarán al Área Gestora según la tabla que se muestra abajo:

Resultados de la Auditoría Interna

Como resultado de las pruebas realizadas sobre los controles, la Auditoría Interna emite informes y clasifica
las deficiencias de control verificadas en las siguientes categorías según criticidad:
 Una excepción de control interno sobre la preparación y difusión de los informes financieros existe
cuando una falla detectada esta dentro de un porcentaje de tolerancia razonable con relación a la muestra
seleccionada para la prueba, definida con base en la frecuencia del control y de su periodo de operación,
o cuando se tratasen de aspectos de formalización. En ambas no se puede comprometer la eficacia del
control.
 Una deficiencia de control interno sobre la preparación y difusión de los informes financieros existe
cuando el diseño o la operación del control no permite a la administración o a los empleados, en el curso
normal de sus actividades de desempeño de funciones designadas, prever o detectar errores en los
estados financieros a tiempo.

o Una deficiencia en el diseño existe cuando (a) no son asignados controles a los objetivos de control
requeridos o (b) un control existente no es apropiadamente diseñado de modo que los objetivos de
control no sean alcanzados.
o Una deficiencia en la operación existe cuando el control no opera conforme a lo diseñado, o cuando
las personas que desempeñan los controles no poseen autoridad necesaria o competencia para
desempeñarlos eficazmente.
 Una deficiencia significativa es una deficiencia, o una combinación de deficiencias, en el control interno
sobre la preparación y difusión de los informes financieros que es menos grave que una debilidad material,
pero lo suficientemente importante para merecer la atención de los responsables de la supervisión de los
informes financieros de la entidad.
 Una debilidad material es una deficiencia, o una combinación de deficiencias, de una naturaleza grave,
en el control interno sobre la preparación y difusión de los informes financieros que permite la posibilidad
razonable que un error material en la preparación y difusión de los estados financieros contenidos en el
informe anual no sea previsto o detectado oportunamente.

Auditoría Externa SOX

Adicionalmente a la auditoría a los Estados Financieros de ITAIPU Binacional, realizada anualmente por
una firma de auditoría independiente contratada de forma binacional, le empresa adjudicada realiza
también las siguientes actividades:

• Pruebas y evaluación de los controles internos de los procesos de negocio y de tecnología de la

información considerados como materiales según la Sección 404 de la Ley Sarbanes-Oxley;

• Pruebas y evaluación de los controles internos a nivel de Entidad (“Entity Level”), según la
Sección 404 de la Ley Sarbanes-Oxley.

Como resultado de las pruebas realizadas, la firma de Auditoría Externa emite un Informe de Adherencia a
la Normativa SOX y incluye las observaciones con relación a la inefectividad de los controles sometidos a
auditoría.

Posteriormente, las Asesorías de Compliance socializan este Informe con las Áreas Gestoras de Procesos
para subsanar las observaciones conforme un Plan de Remediación consensuado entre los Gestores de
Procesos afectados.
GLOSARIO DE TÉRMINOS
 Apetito al Riesgo: Exposición al riesgo que la organización está dispuesta a aceptar para
lograr sus metas y objetivos, y crear valor, relacionada directamente con su estrategia.

 Controles Internos: Control interno es definido como un proceso, ejecutado por la Alta
Administración, gerencia u otros colaboradores de una organización, considerando
políticas, procedimientos, actividades y mecanismos designados para proporcionar una
seguridad razonable (mitigación de sus principales riesgos) sobre el logro de los objetivos
empresariales.

 COSO: Modelo internacional de controles internos compuesto por ocho componentes

(Ambiente Interno, Definición de Objetivos, Identificación de Eventos, Evaluación del
Riesgo, Respuesta al Riesgo, Actividad de Control, Información y Comunicación, y
Monitoreo).

 Factor, Fuente u Origen del Riesgo: Describe determinada circunstancia o actividad que
contribuye, en forma individual o combinada a otras, para la materialización de los
riesgos en las operaciones de la empresa.

 GAP: por su traducción del inglés significa brecha; y en el contexto de los informes de
auditoría SOX se utiliza para nombrar las observaciones sugidas de las pruebas realizadas
que indican la brecha exstente entre los controles diseñados para mitigar riesgos y los
controles que efectivamente el Área Gestora de Proceso realizó o no.

 Gestión de Riesgos Corporativos: Es un concepto de evaluación y gestión de las

incertidumbres (“riesgos”) que enfrentan las Organizaciones a través de un enfoque
estructurado de controles que alinea estrategia, procesos, personas, tecnología y
conocimientos con el objetivo de crear valor.

 Gobierno Corporativo: Es el sistema de gestión por el cual las sociedades son dirigidas y
monitoreadas, involucra políticas, normas, reglamentos y prácticas empresariales. Las
buenas prácticas de gobierno corporativo tienen la finalidad de garantizar la confianza y
credibilidad de la gestión de la empresa a su público, alineadas a los objetivos
empresariales y a los principios de sustentabilidad.

 Impacto: Es la evaluación cualitativa y/o cuantitativa de la consecuencia del riesgo sobre

los objetivos de negocio de la empresa.

 Plan de Acción: Documento donde consta el conjunto de actividades o proyectos

planificados por el Área Gestora de Procesos para mejorar un control con el objetivo de
realizar el proceso más eficiente. En este plan se detallan plazos y responsables
específicos.

 Plan de Remediación: Documento donde consta el conjunto de actividades o proyectos

planificados por el Área Gestora de Procesos para regularizar y/o corregir GAPs informados
por la Auditoría Externa y/o Auditoría Interna. En este plan también se detallan plazos y
responsables específicos.

 Riesgo: Eventos o situaciones que pueden impactar en la consecución de los objetivos de

negocio de la Organización.

 Roll Forward: en el contexto de las pruebas de auditoría, significa actualizar las pruebas y
evidencias de un control.

 Vulnerabilidad: Nivel de exposición al riesgo considerando la actual estructura de

controles de la Organización.

 Walkthrough: actividad ejecutada por el Área Gestora de Proceso donde verifica el paso a
paso de sus procesos contra la Documentación SOX (Narrativa, Matriz de Objetivo de
Control, Flujo) con el objetivo de corroborar el cumplimiento de los controles diseñados,
identificar nuevos riesgos y/o cambios en el proceso/controles que deban ser evaluados y
actualizados en dicha documentación.