Curso ley sox en pemex version final 2006 by Erick Fuentes González

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

CURSO DE CONOCIMIENTO DE LA LEY SARBANES OXLEY Y SU IMPACTO EN PEMEX 1.- Antecedentes de la Ley Sarbanes- Oxley Los incidentes corporativos financieros de 2001 y 2002 en los Estados Unidos de América han sido referidos como “la tormenta perfecta”. Todo lo que podría haber salido mal en algunas de las corporaciones publicas más grandes ocurrió. El centro de dichos incidentes radicó un clásico problema: el riesgo de que los gerentes y directores pueden no siempre subordinar sus propios intereses a los intereses de los accionistas sobre los cuales ellos se supone que actúan en su representación. El riesgo es evidente cuando las presiones de sus contrapartes tales como auditores, abogados, consultores, analistas y otros asesores están ausentes. Tal es el caso en muchas de las corporaciones públicas en dificultades que encabezaron los titulares de los diarios. Agentes y asesores fallaron a los accionistas al poner sus propios intereses primero o aceptando pasivamente el status quo del poder de la administración que actuaba sin ser cuestionada y por lo tanto sin ser supervisada. Para muchos ejecutivos envueltos en esos incidentes tal vez haya sido cuestión que no haber tenido acceso a la información requerida para detectar conductas de bajo nivel. Las barreras estructurales y culturales tal vez han bloqueado el flujo de información importante, o tal vez han impedido un entendimiento del contexto que hizo importante a la información. Los intereses individuales han sido influidos por la riqueza generada por negocios con acciones en una economía en ascenso, la oportunidad de negocios adicionales o flujo de negocios a entidades relacionadas, así como una prevaleciente cultura de la gestión directiva y gerencial incuestionable puede resultar en una actuación negativa de personas honestas. Haciendo referencia a la dimensión de la falla del sistema de gobierno corporativo, el resultado fue un serio daño a la confianza pública en los _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 1 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

mercados financieros estadounidenses. Cuando el público no puede confiar en los agentes de valores y en los asesores para proveer una efectiva supervisión de los activos proporcionados por los inversionistas, el público, en su propio interés declinará invertir. Por ello, restaurar la confianza de los inversionistas en el verano del 2002 era vital. Adicionalmente a la expansión de las regulaciones de supervisión y proporcionando una guía para auditores, analistas y abogados, la Ley Sarbanes-Oxley de 2002, interpretada por la SEC (Securities & Exchange Commission) a través de reglas de implementación, con un nuevo set de estándares desde el NYSE (New York Stock Exchange) y el NASDAQ, regula muchos de los asuntos estructurales y culturales que presumiblemente impedían el flujo de información a directivos, gerentes e inversionistas. Ahora la parte difícil empieza en los gerentes, directivos y sus asesores y el trabajo en conjunto que les espera por hacer para la implementación de lo previsto por la Ley Sarbanes-Oxley, especialmente en lo relativo al control interno y a la implicación del rol del Consejo de Administración en la evaluación de riesgos y el flujo de información. La legislación, regulación, reglas para listarse en mercados de valores, o normas éticas no restringirán a los individuos que tienen la intención de cometer un fraude. Por contrario una gestión directiva apropiadamente informada y asistida puede detectar y aislar el problema. Tanto como los modelos de gobierno corporativo se autocorrijan debido a amenazas emergentes, la confianza en las corporaciones públicas y en los mercados financieros retornará. Estas mejorías incrementarán persistentemente la fortaleza del clima de negocios en los mercados de valores. Una encuesta reciente revela que, como resultado de los incidentes corporativos en Enron, WorldCom, Adelphia Communications, y otros, dos terceras partes de los inversionistas creen que los ejecutivos _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 2 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

corporativos son deshonestos. Esta evaluación es peor aún ahora que durante la crisis financiera de los años 80.

El Congreso norteamericano ha respondido al reclamo público al autorizar la Ley Sarbanes Oxley. La ley ha enfatizado consecuencias para cada gerente que trabaje en una compañía pública. Ello no prevendrá el fraude o la ocurrencia de pérdidas operacionales, pero hará responsable al gerente por lo sucedido bajo su supervisión. La ley requiere que la administración gerencial certifique que su compañía posee un sistema operacional de control interno sobre los reportes de información financiera. Todos los gerentes son requeridos para mantener un sistema de control interno y serán penalizados si un fraude ocurre. Ahora más que nunca, los gerentes necesitan comprender que están enfrentando una batalla. Las amenazas vienen tanto dentro de sus propios rangos y desde fuera de su mundo de influencia. Parece ser como si la línea de frente estuviese en todos lados. Un fraude puede originarse desde fuerzas negativas fuera de la organización por aquellos posicionados para probar rápidamente y tomar ventaja de la estructura de control interno de la compañía, más frecuentemente que no, el fraude se originará desde los empleados _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 3 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

dentro de una empresa. Esos empleados son frecuentemente en quienes se confía, largamente tolerados, y conocen la compañía suficientemente bien para concebir actividades fraudulentas por años. Los esquemas más dañinos son probablemente cometidos por altos ejecutivos. Gerentes experimentados cometen fraudes que son hasta 28 veces más perjudiciales para las compañías que aquellos cometidos por sus contrapartes menos experimentadas. La última tendencia es que la alta gerencia “cocine los libros” sin el conocimiento del Consejo de Directores. Para el inversionista promedio, aparentemente Enron fue una de las siete corporaciones más grandes de los Estados Unidos que quedó en la bancarrota en cuestión de unas cuantas semanas. En realidad, Enron inició su descenso desde inicios de 1997, cuando comenzó a reportar estados financieros imprecisos. Las transacciones con partes relacionadas eventualmente ayudaron a destruir la compañía que enriqueció a la alta gerencia. Todo esto fue hecho bajo la completa vista de firmas de abogados y de contadores, quienes ayudaron a establecer los vehículos de inversión y bendijeron los estados financieros. La compañía tenía un distinguido Consejo cuyos miembros parecían largamente inconscientes de su delicada posición. La historia de Enron no es solamente de fraude, si no de manejo inadecuado de la ética profesional de un equipo gerencial, así como de la cultura corporativa de los empleados, y la ausencia de una estructura de control interno. 2.- La confiabilidad de la información financiera y su impacto para la Ley Sarbanes-Oxley Periódicamente los eventos bien publicitados tales como el fraude contable en Enron incrementan la conciencia de la importancia de un ambiente de control fuerte. Estamos ahora en un período de incidentes corporativos sin precedentes, lo cual ha costado cuantiosas pérdidas, credibilidad corporativa dañada y la eliminación de miles de puestos de _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 4 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

trabajo, ambos interna y externamente a las compañías en bancarrota. Como resultado el enfoque sobre el control interno permanecerá constantemente bajo el escrutinio de todos los interesados en la información financiera. La Ley Sarbanes Oxley tiene requerimientos específicos de control interno respecto de la elaboración de reportes de información financiera, los cuales que se indican a continuación:

Debemos tener presente en todo momento que la información financiera presentada por los diversos emisores de valores a la SEC en la forma de los reportes anuales en su formato 20F y trimestrales en su formato 10 K son analizados por los principales agentes de bolsa que a su vez apoyan y asesoran en la toma de decisiones a inversionistas que poseen recursos considerables. Este punto por concreto y simple que pudiese parecer es de naturaleza especialmente estratégica para todo el proceso del control interno relativo a la preparación de información financiera (no solamente de los estados financieros), aquí resulta particularmente relevante la importancia que adquieren los procesos de flujo de información necesaria para efectos de su revelación oportuna a los diversos interesados en la misma.

Página 5 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

No está por demás mencionar enunciativamente los tipos de decisiones que se derivan del análisis de la información financiera que los diversos emisores de valores presentan periódicamente ante la SEC (Securities & Exchange Commission): Inversión de acciones Desinversión de acciones Adquisición de títulos de deuda Diversificación de portafolio de inversiones Manejo de excedentes en recursos y flujos inactivos Financiamiento de proyectos estratégicos (Pedir a los participantes que mencionen ejemplos de las decisiones anteriores)

3.- Responsabilidad de la administración de la empresa La administración de la empresa en su conjunto es responsable del establecimiento, implementación, mantenimiento y monitoreo del control interno de cada uno de los procesos de negocios, así como de la elaboración de la información financiera que se deriva de tales procesos, esto es con la finalidad de evaluar periódicamente si los objetivos estratégicos de la empresa están siendo logrados acorde a lo planeado y de no ser así tomar las medidas pertinentes. De esta afirmación genérica se desprenden ciertas precisiones en las que bien vale la pena abundar y que exclusivamente implican responsabilidad de la administración, tales como: Establecimiento de objetivos estratégicos, tácticos y operativos Monitoreo de la correcta alineación de los objetivos estratégicos con la visión, misión y valores de la empresa.

Página 6 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Implementación Riesgos

de un Sistema de Administración Integral de

Identificación de los procesos y subprocesos de negocios más significativos de la empresa. Establecimiento, implementación, mantenimiento y monitoreo de los puntos y/ o medidas de control a través de los procesos y subprocesos de negocios de la organización. Documentación apropiada de los controles internos establecidos para los procesos de negocios. (Pedir a los participantes responsabilidades anteriores)

que

mencionen

ejemplos

las

Todas las personas que integran una entidad tienen alguna responsabilidad en la gestión de riesgos corporativos. El consejero delegado es su responsable último y debería asumir su titularidad. Otros directivos apoyan la filosofía de gestión de riesgos de la entidad, promueven el cumplimiento del riesgo aceptado y gestionan los riesgos dentro de sus áreas de responsabilidad en conformidad con la tolerancia al riesgo. El director de riesgos, director financiero, auditor interno u otros, desempeñan normalmente responsabilidades claves de apoyo. El restante personal de la entidad es responsable de ejecutar la gestión de riesgos corporativos de acuerdo con las directrices y protocolos establecidos. El Consejo de Administración desarrolla una importante supervisión de la gestión de riesgos corporativos, es consciente del riesgo aceptado por la entidad y está de acuerdo con él. Algunos terceros, como los clientes, proveedores, colaboradores, auditores externos, reguladores y analistas financieros, proporcionan a menudo información útil para el desarrollo de la gestión de riesgos _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 7 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

corporativos, aunque no son responsables de su eficacia en la entidad ni forman parte de ella. 4.- Marco COSO y su relación con la Ley Sarbanes Oxley Anteriormente la atención sobre los controles internos había sido provisional y ello ha obedecido a la falta de herramientas disponibles para su aplicación a los negocios. La publicación más completa actualmente disponible es un estudio preparado por el Comité Patrocinador de Organizaciones de la Comisión Treadway (Commitee of Sponsoring Organizations of the Treadway Commission – COSO) denominado Estructura Conceptual Integrada. La Comisión Treadway se creo en 1985 y está integrada por: The American Institute of Certifies Public Accountants The American Accounting Association The Institute of Internal Auditors The Institute of Management Accountants The Financial Executives Institute De hecho la SEC (Securities & Exchange Commission) ha aceptado específicamente el marco de referencia COSO para propósitos de cumplimiento de la Ley Sarbanes Oxley. Este marco de referencia es utilizado para la evaluación de controles al nivel de la entidad. Es conveniente analizar la estructura del marco COSO bajo las siguientes secciones: Objetivos de negocio 1. Eficiencia y eficacia de las operaciones 2. Confiabilidad en la información financiera 3. Cumplimiento de normas y regulaciones Componentes de control interno _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 8 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

1. 2. 3. 4. 5.

Ambiente de Control Evaluación de Riesgos Actividades de Control Información y Comunicación Monitoreo

Niveles organizacionales Dependen de cada entidad en particular La clave está en los procesos Ciclo de vida Cadena de valor Cadena de suministro Cadena de producción Cadena de distribución Los objetivos y los componentes pueden ser aplicados de manera matricial

Página 9 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

El contenido del marco de referencia COSO se integra de la siguiente manera:

Página 10 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Página 11 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Página 12 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Página 13 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Página 14 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Página 15 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

La aplicación del marco COSO está regulada por la PCAOB (Public Company Accounting Oversight Board) / Consejo de Supervisión Contable de Compañías Públicas fue creada expresamente para tal propósito por la Ley Sarbanes Oxley, por ello dicho Consejo ha emitido los siguientes pronunciamientos: AUDITING STANDARD No. 1 – References in Auditors' Reports to the Standards of the Public Company Accounting Oversight Board (Referencias a los reportes standard de auditoría del Consejo de Supervisión Contable de Compañías Públicas) AUDITING STANDARD No. 2 – An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements (Auditoría del Control Interno Sobre Reporteo Financiero desarrollado en conjunto con una auditoría de estados financieros) _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 16 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

AUDITING STANDARD No. 3 – Audit Documentation (Documentación de Auditoría) AUDITING STANDARD NO. 4 – Reporting on Whether a Previously Reported Material Weakness Continues to Exist (Reporteo sobre Debilidades materiales previamente reportadas) Para efectos del cumplimiento de la seccion 404 de la Ley Sarbanes Oxley se utiliza preponderantemente lo dispuesto por el pronunciamiento 2 de la PCAOB, para ello se consideran las siguientes provisiones clave:

(Pedir a los participantes durante cada uno de los puntos desarrollados que aporten su opinión sobre cómo visualizan estas exigencias ya customizadas al entorno de su responsabilidad) _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 17 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Es en este pronunciamiento 2 de la PCAOB en el que se establecen aseveraciones acerca de las características del contenido de la información financiera, dichas afirmaciones son: Existencia u ocurrencia Totalidad e Integridad Valuación o asignación Derechos y obligaciones Presentación y revelación Las afirmaciones sobre existencia u ocurrencia se refieren a si los activos o pasivos de la entidad existen a una fecha determinada y si las transacciones registradas han ocurrido durante un período dado. Por ejemplo, la administración afirma que las existencias de productos terminados en el balance general están disponibles para la venta. Asimismo, la administración afirma que las ventas en el estado de resultados representan el intercambio de bienes o servicios con clientes por dinero o por otra prestación. Las afirmaciones sobre integridad se refieren a si todas las transacciones y cuentas que deben presentarse en los estados financieros están de hecho así incluidas. Por ejemplo, la administración afirma que todas las compras de bienes o servicios están registradas e incluidas en los estados financieros. Igualmente, la administración afirma que el rubro documentos por pagar en el balance general incluye todas las obligaciones de este tipo de la entidad. Las afirmaciones sobre derechos y obligaciones se refieren a si los activos constituyen derechos de la entidad y si los pasivos representan las obligaciones de la entidad a una fecha determinada. Por ejemplo, la administración afirma que los montos capitalizados por concepto de leasing en el balance general representan el costo de los derechos de la entidad sobre los bienes en leasing y que el correspondiente pasivo por leasing represente una obligación de la entidad. _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 18 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Las afirmaciones sobre valuación o asignación se refieren a si las partidas que componen los activos, pasivos, patrimonio, ingresos y gastos han sido incorporados en los estados financieros de acuerdo a sus valores apropiados. Por ejemplo, la administración afirma que el activo fijo está registrado al costo histórico y que tal costo está asignado sistemáticamente a los períodos contables correspondientes. Asimismo, la administración afirma que el rubro de deudores por ventas incluido en el balance general está expresado a su valor neto de realización. Las afirmaciones sobre presentación y revelación se refieren a si determinados componentes de los estados financieros están debidamente clasificados, descritos y revelados. Por ejemplo, la administración afirma que las obligaciones clasificadas como pasivos a largo plazo en el balance general no vencerán dentro de un año. De igual forma, la administración afirma que los montos presentados como ítems extraordinarios en el estado de resultados están debidamente clasificados, descritos y revelados. Para identificar estas aseveraciones se debe evaluar: La naturaleza de la aseveración El volumen de las transacciones La naturaleza y complejidad de los sistemas

Página 19 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

5.- I mpacto y trascendencia de la Ley Sarbanes Oxley para PEMEX, organismos subsidiarios y filiales Petróleos Mexicanos Petróleos Mexicanos es un organismo público descentralizado de los Estados Unidos Mexicanos que obtiene recursos a partir de los ingresos generados por sí mismo y de varios acreedores. El gobierno federal incorpora el presupuesto anual de Petróleos Mexicanos a su presupuesto consolidado sometiéndolo a la aprobación del Congreso. Fideicomiso 163 (F/163) En 2003 se constituyó un fideicomiso bajo leyes mexicanas (F/ 163) para financiar Pidiregas (proyectos de infraestructura productiva de largo plazo) en moneda nacional. Pemex Project Funding Master Trust En 1998 se constituyó un fideicomiso en Delaware, E.U.A., denominado Pemex Project Funding Master Trust, para financiar Pidiregas (proyectos de infraestructura productiva de largo plazo). Pemex Finance Ltd. Pemex Finance, Ltd. es una sociedad de responsabilidad limitada constituida de conformidad con las leyes de las Islas Caimán en 1998. Pemex Finance, Ltd. utiliza los recursos de los bonos que emite para comprar cuentas por cobrar generadas por la venta de petróleo a clientes designados de P.M.I. Comercio Internacional, S.A. de C.V.. Repcon Lux, S.A. En enero de 2004 un vehículo estructurado en Luxemburgo emitió US$1.37 miles de millones de bonos intercambiables garantizados con _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 20 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

vencimiento en 2011. Estos bonos son garantizados por PEMEX y son intercambiables por acciones de Repsol YPF, S.A., o su equivalente en efectivo con opciรณn del emisor. Inversiรณn en capital La inversiรณn en capital es realizada por Petrรณleos Mexicanos y sus Organismos Subsidiarios. La inversiรณn en capital y los gastos de operaciรณn deben estar autorizados en el presupuesto anual de Petrรณleos Mexicanos, el cual es aprobado por el Congreso de la Uniรณn. Los PIDIREGAS (proyectos de infraestructura productiva de largo plazo) son un componente importante de la inversiรณn en capital de Petrรณleos Mexicanos y sus Organismos Subsidiarios. Inversiรณn en capital historica y programada

Pรกgina 21 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Inversión en capital 2006

Las necesidades de recursos para inversión en capital y amortizaciones de PEMEX en 2006 ascienden a alrededor de US$16.6 miles de millones. PEMEX pretende financiar la mayor parte de su inversión en capital y amortizaciones de 2006 con recursos provenientes de su flujo de operación. En adición, PEMEX pretende recurrir al financiamiento externo por un monto aproximado de entre US$1.0 y US$2.0 miles de millones. La utilización del flujo de operación para financiar la mayor parte de la inversión en capital y amortizaciones de 2006 está en función de: La generación de flujo de operación suficiente La autorización para poder ejercer una inversión en capital de US$13.1 miles de millones La autorización de una estructura que permita la utilización de recursos de Petróleos Mexicanos para financiar proyectos PIDIREGAS _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 22 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

En la actualidad podemos mencionar que entre otras las principales fortalezas de PEMEX son: Tercer productor de crudo a nivel mundial(1) Novena empresa petrolera integrada a nivel mundial(1) Reservas probadas equivalentes a 10 años de producción(2) Bajos costos de producción vs. el promedio del mercado Proveedor clave de crudo en el mercado estadounidense La empresa más grande de México con ingresos de 86 mil millones de dólares en 2005 Único productor de crudo, gas natural y productos refinados en México Comercializador único de productos refinados en México En el contexto internacional del mercado petrolero PEMEX esta posicionada de la siguiente manera:

Página 23 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Los principales proyectos de exploraci贸n y producci贸n son los siguientes:

P谩gina 24 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Un segmento significativo de los recursos que obtiene PEMEX para el financiamiento de muchos de los proyectos indicados anteriormente, provienen de la emisión de deuda inscrita en el Mercado de Valores y Cambios de Nueva York (NYSE-New York Stock Exchange) de los Estados Unidos de América. Sin dichos recursos no sería posible la realización y financiamiento de proyectos estratégicos de inversión. Es por esta razón que PEMEX, así como sus organismos subsidiarios y filiales, están sujetos al cumplimiento de la Ley Sarbanes Oxley. 6.- Secciones más significativas de la Ley Sarbanes Oxley Aplicación La Ley se aplica a todas las empresas norteamericanas y extranjeras que cotizan en la bolsa de valores de Estados Unidos (empresas públicas). Esto incluye a: La Casa Matriz sus subsidiarias y sus afiliadas Estructura de la ley Título I: Junta de Supervisión de Firmas de Contabilidad Pública Sec. 101. Establecimiento; disposiciones administrativas. Sec. 102. Registro ante la Junta. Sec.103. Auditoria, control de calidad, y normas y reglamentos de independencia Sec. 104. Inspecciones de firmas de contabilidad pública Sec. 105. Investigaciones y procedimientos disciplinarios Sec. 106. Firmas extranjeras de contabilidad pública Sec. 107. Comisión de Supervisión de la Junta Sec. 108. Normas de contabilidad _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 25 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Sec. 109. Hallazgos Título II: Independencia de los Auditores Sec. 201. Servicios fuera del alcance de la práctica de los auditores Sec. 202. Requisitos pre-aprobatorios Sec. 203. Rotación del socio de auditoria Sec. 204. Informes del auditor al comité de auditoria Sec. 205. Modificaciones acordadas Sec. 206. Conflictos de interés Sec.207. Estudio de la rotación obligatoria de las firmas de contadores públicos registrados Sec.208. Autoridad de la Comisión Sec.209. Consideraciones por las autoridades reguladoras Estatales apropiadas Título III: Responsabilidad Corporativa Sec. 301. Comité de la compañía de auditoria pública Sec. 302. Responsabilidad de la compañía por los informes financieros Sec. 303. Influencia impropia sobre la conducción de auditorias Sec. 304. Confiscación de ciertos bonos y ganancias Sec. 305. Excepciones y penalidades del funcionario y director Sec.306. Negociaciones internas durante los períodos censura “blackout”del fondo Sec. 403. Revelaciones de transacciones que involucran a la gerencia y de pensiones Sec. 307. Reglamentos de la responsabilidad profesional de los abogados Sec. 308. Fondos razonables para inversionistas Título IV: Revelaciones Financiera Mejoradas Sec. 401. Revelaciones en informes periódicos _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 26 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Sec. 402. Cláusulas de conflictos de interés Sec, 403. Revelaciones de transacciones que involucran a la gerencia y accionistas principales Sec. 404. Evaluación de la gerencia de los controles internos Sec. 405. Excepciones Sec. 406. Código de ética para los funcionarios financieros senior Sec. 407. Revelación del perito financiero del comité de auditoria Sec. 408. Revisión de las revelaciones periódicas por los emisores Sec. 409. Tiempo real de las revelaciones del emisor Título V: Conflicto de Intereses de los Analistas Sec. 501. Tratamiento de los analistas de valores para asociaciones de valores registradas y bolsas de valores nacionales Título VI: Recursos y Autoridad de la Comisión Sec. 601. Autorización de asignaciones Sec. 602. Apariencia y práctica ante la Comisión Sec. 603. Autoridad de la Corte Federal para imponer sanciones (penny stock bars) Sec.604. Calificaciones de personas asociadas a corredores y negociadores Título VII: Estudios e Informes Sec. 701 Estudio e informe GEAO sobre consolidación de firmas de contabilidad pública. Sec. 702. Estudio e informe de la Comisión referente a las agencias de evaluación de créditos Sec. 703. Estudio e informe sobre infractores e infracciones Sec. 704. Estudio de acciones vigentes _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 27 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Sec. 705. Estudio de bancos de inversión Título VIII Responsabilidad De La Compañía Por Fraude Penal Sec. 801. Subtitulo Sec. 802. Responsabilidad penal por alteración de documentos Sec. 803. Deudas no deducibles si fueron incurridas con violación de las leyes de fraude de valores Sec. 804. Estatuto de limitaciones por fraude de valores Sec. 805. Revisión de las Pautas de sentencia Federal por obstrucción de la justicia y fraude penal Sec. 806. Protección para empleados de compañías públicas registradas que indican evidencia de fraude Sec.807. Sentencias para accionistas defraudadores de compañías públicas registradas Título IX: Responsabilidad Penal De Empleados Sec. 901. Subtítulo Sec. 902. Intentos y conspiraciones para cometer fraude Sec. 903. Responsabilidad penal por fraude postal y cablegráfico Sec. 904. Responsabilidad penal por violaciones al Employee Retirement Income Security Act de 1974 Sec. 905.Modificación de las guías de sentencia referentes a ciertos delitos de empleados Sec. 906. Responsabilidad de la compañía por los informes financieros Título X: Declaraciones de Impuestos Corporativos Sec. 1001. Opinión del Senado sobre la firma de las declaraciones juradas de la compañía por funcionarios ejecutivos de la empresa Título XI: “Accountability” de Fraudes Corporativos _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 28 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Sec. 1101. Subtitulo Sec. 1102. Manipulación de un registro para impedir un procedimiento Oficial Sec. 1103. Bloqueo temporal de autorización por la Comisión Valores y Cambio (SEC) Sec. 1104. Modificación a las Guías de Sentencia Temporal Sec. 1105. Autoridad de la Comisión para prohibir a las personas prestar servicios como funcionarios o directores Sec. 1106. Responsabilidad penal bajo el Acta del SEC de 1934 Sec. 1107. Represalias contra los informantes Sección 302 Responsabilidad de la compañía por los informes financieros En cada informe (trimestral y anual), el ejecutivo principal (CEO) y el ejecutivo financiero (CFO) debe afirmar que: Ha revisado el informe que se presenta Sobre la base de su conocimiento, el informe no contiene ninguna afirmación falsa respecto de un hecho material Sobre la base de su conocimiento, los estados financieros y otra información financiera incluida en el informe, presentan razonablemente en todos sus aspectos materiales la condición financiera, los resultados de las operaciones y el flujo de efectivo, del período presentado Él y los otros funcionarios certificadores son responsables del establecimiento y mantención de “controles y procedimientos de revelaciones” del emisor; Él y los otros funcionarios certificadores han diseñado tales controles y procedimientos de revelaciones para asegurar que la información material sea conocida; _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 29 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Él y los otros funcionarios certificadores han evaluado la efectividad de los controles de revelaciones de la entidad Han presentado en su informe sus conclusiones respecto a la eficacia de los “Controles y Procedimientos de Revelación” basado en la evaluación ; y Han revelado a los auditores independientes y al comité de auditoría del emisor: Deficiencias significativas en el diseño u operación de los controles internos Cualquier fraude que involucre gerentes u otros empleados que tengan un rol significativo en los controles internos del emisor Han indicado en el informe si hubo o no cambios significativos en los controles internos.

Sección 302: Modelo de Certificado Yo, Mr. Xxxx Xxxxx, certifica que: 1. He revisado este informe anual de ZZZZ Corporation preparado en la Forma 40-F; 2. Sobre la base de mi conocimiento, este informe anual no incluye afirmaciones falsas respecto de un hecho material, ni omite declarar algún hecho significativo necesario para hacer las afirmaciones efectuadas, a la luz de las circunstancias bajo las cuales se hicieron las afirmaciones, no son erróneas con respecto al período cubierto por este informe anual;

Página 30 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

3. Sobre la base de mi conocimiento, los estados financieros, y otra información financiera incluida en el informe anual, presentan razonablemente, en todos sus aspectos significativos, los resultados de las operaciones y el flujo de efectivo de la compañía registrada por los períodos presentados en este informe anual; 4. Los demás funcionarios certificadores de la compañía registrada y yo somos responsables de establecer y mantener controles y procedimientos de revelación (según se define en las Reglas de la Ley de Valores 13a-14 y 15d-14) para la compañía registrada y hemos: a) diseñado dichos controles y procedimientos para asegurar que la información material relacionada con la compañía registrada, incluidas sus subsidiarias consolidadas, nos es informada por otras personas al interior de estas entidades, en especial durante el período en el que se prepara este informe anual; b) evaluado la efectividad de los controles y procedimientos de revelación de la compañía registrada, a una fecha 90 días anterior a la fecha de presentación de este informe anual (la “Fecha de Evaluación”); y c) presentado en este informe anual nuestras conclusiones respecto de la eficacia de los controles y procedimientos de revelación a la Fecha de Evaluación; 5. Los demás funcionarios certificadores de la compañía registrada y yo, hemos revelado, sobre la base de nuestra evaluación más reciente, a los auditores de la compañía registrada y al comité de auditoría del directorio de la compañía registrada, lo siguiente: a) todas las deficiencias significativas en el diseño o en la operación de los controles internos que podrían afectar negativamente la capacidad de la compañía registrada para registrar, resumir y reportar información financiera, y hemos identificado todas las debilidades a _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 31 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

materiales en los controles internos para los auditores de la compañía registrada; y b) cualquier fraude, material o no, que involucre a la administración o a otros empleados que jueguen un papel significativo en los controles internos de la compañía registrada; y 6. Los demás funcionarios certificadores de la compañía registrada y yo hemos indicado en este informe anual, si existieron cambios en los controles internos o en otros factores que pudieran afectar significativamente los controles internos después de la fecha de nuestra evaluación más reciente, incluidas las acciones correctivas respecto de las deficiencias significativas y debilidades materiales. Fecha:

Chief Executive Officer

Sección 404: Evaluación Gerencial de los Controles Internos y procedimientos para informes financieros Tiene 3 propósitos esenciales: Las transacciones están adecuadamente autorizadas, Los activos están adecuadamente protegidos contra uso no autorizado o inadecuado. Que las transacciones están adecuadamente registradas.

Página 32 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Requerimientos de Informes y Revelación 404 (a) De la Administración La administración es responsable por establecer y mantener controles y procedimientos internos adecuados para los informes financieros Evaluación de la administración al cierre del año fiscal respecto de la efectividad de los controles y procedimientos internos para los informes financieros. 404 (b) Del Auditor Externo Su reporte incluirá: La responsabilidad de la administración respecto de la estructura y procedimientos de control interno para informes financieros. Evaluación de la efectividad de dicha estructura y procedimientos Resumen de las evaluaciones 1. Por ejecutivos financieros, con respecto de los controles y procedimientos de revelación requeridos por las reglas de la sección 302. 2.Por la administración, con respecto a los controles y procedimientos internos para los informes financieros según la sección 404, y 3. Por el auditor independiente a fin de certificar las afirmaciones de la administración de acuerdo con la sección 404.

Página 33 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

7.- Estructura del control interno para el cumplimiento de la Ley Sarbanes Oxley La estructura del control interno para el cumplimiento de la ley Sarbanes Oxley se basa en 20 principios fundamentales directamente relacionados con los cinco componentes del marco COSO, dichos principios cuales son: Ambiente de Control 1. Integridad y valores éticos.- La integridad y valores éticos de la alta gerencia, son desarrollados y entendidos y establecidos en el standard de conducta para el reporteo de información financiera.

Página 34 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

2. Consejo de Directores.- El consejo de directores entiende y ejerce la responsabilidad de supervisión relacionada al reporteo financiero y al control interno. 3. Filosofía de la gerencia y estilo de operación.- La filosofía de la gerencia y el estilo de operación apoyan el desarrollo efectivo del control interno sobre el reporteo financiero. 4. Estructura organizacional.- La estructura organizacional de la compañía apoya efectivamente al control interno para el reporteo financiero. 5. Capacidades para el reporteo financiero.- La compañía retiene a los individuos competentes en reporteo financiero, así como a los roles de supervisión relacionados. 6. Autoridad y responsabilidad.- A los gerentes y empleados les son asignados niveles apropiados de autoridad y responsabilidad para facilitar el control interno para efectos de reporteo financiero. 7. Recursos Humanos.- Las políticas y prácticas de recursos humanos son diseñadas e implementadas para facilitar el control interno efectivo sobre reporteo financiero.

Evaluación de Riesgos 8. Objetivos de reporteo financiero.- La gerencia especifica objetivos de reporteo financiero con suficiente claridad y criterio para posibilitar la identificación de riesgos para la confiabilidad de la información financiera. 9. Riesgos de reporteo financiero.- La compañía identifica y analiza los riesgos para lograr los objetivos del reporteo financiero sobre las bases para determinar la manera en cómo los riesgos deberían ser administrados (DEBER SER). _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 35 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

10. Riesgo de fraude.- El potencial para errores materiales debido a fraude es explícitamente considerado en la evaluación de riesgos para el logro de los objetivos de reporteo financiero. Actividades de Control 11. Integración con evaluación de riesgos.- Las acciones son tomadas para dirigir los riesgos hacia el logro de los objetivos de reporteo financiero. 12. Selección y desarrollo de actividades de control.- Las actividades de control son seleccionadas y desarrolladas considerando su costo y su efectividad potencial para mitigar los riesgos para el logro de los objetivos de control del reporteo financiero. 13. Políticas y procedimientos.- Las políticas relacionadas a la confiabilidad de la información financiera son establecidas y comunicadas a lo largo de toda la compañía, con los procedimientos correspondientes resultando en directrices gerenciales que son llevadas a cabo. 14. Tecnología de la información.- Los controles de la tecnología de información, donde aplican, son diseñados e implementados para apoyar el logro de los objetivos de reporteo financiero.

Información y Comunicación 15. Reporteo de información financiera.- La información pertinente es identificada, capturada, utilizada a todos los niveles de la compañía, y distribuida en tiempo y forma que apoya el logro de los objetivos de reporteo financiero. _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 36 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

16. Información del control interno.- La información que es utilizada para ejecutar otros componentes de control, es identificada, capturada y distribuida en tiempo y forma de manera que posibilita al personal llevar a cabo sus responsabilidades del control interno. 17. Comunicación interna.- Las comunicaciones posibilitan el apoyo y entendimiento de los objetivos de control interno, procesos y responsabilidades individuales a todos los niveles de la organización. 18. Comunicación externa.- Los asuntos significativos que afectan al logro de los objetivos de reporteo financiero son comunicados con terceras partes. Monitoreo 19. Evaluaciones independientes y/o en proceso.- Las evaluaciones independientes y/ o en proceso permiten a la administración determinar el ambiente de control interno en el cual el reporteo financiero actual está funcionando. 20. Reporte de deficiencias.- Las deficiencias de control interno son identificadas y comunicadas de manera oportuna a aquellas partes que son responsables para tomar acciones correctivas, así como a la administración y al Consejo como corresponde.

Página 37 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Para la aplicación de estos 20 principios es necesario tomar en cuenta las siguientes consideraciones:

Página 38 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Página 39 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Página 40 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Página 41 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Página 42 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Para establecer una estructura de control interno a toda la cadena de valor es conveniente el uso de una metodología.

Página 43 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Las fases anteriormente mencionadas tienen por objeto permitir que los controles internos establecidos puedan ser sujetos de una auditoría, y que de manera resumida se presenta en el recuadro siguiente:

8.- Calidad de la evidencia documental y/ o electrónica como soporte efectivo del Control Interno a.- Principales requisitos de calidad

NATURALEZA DE LA EVIDENCIA COMPROBATORIA La evidencia comprobatoria que sustenta los estados financieros consiste en la información contable inherente (ver párrafo 16) y en _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 44 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

toda la información comprobatoria que el auditor tiene a su disposición. Los libros diario, mayor y auxiliares, los correspondientes manuales de contabilidad y registros tales como hojas de trabajo y planillas electrónicas que sustentan asignaciones de costos, cálculos y conciliaciones constituyen evidencia que sustenta los estados financieros. Esta información de la contabilidad está generalmente en forma electrónica, y por sí sola, para el auditor, no puede ser considerada respaldo suficiente de los estados financieros. Por otra parte, sin la adecuada atención a la propiedad y exactitud de esa información, no se podría emitir una opinión sobre los estados financieros. La información comprobatoria incluye la información tanto escrita como electrónica, tales como cheques, registros de transferencias electrónicas de fondos, facturas, contratos, minutas de sesiones, confirmaciones y otras representaciones escritas por personas idóneas, información obtenida por el auditor por consultas, observación, inspección y exámenes físicos y toda la información desarrollada por o disponible para el auditor, la cual le permite llegar a conclusiones mediante razonamiento lógico. En algunas entidades, parte de la información contable inherente e información comprobatoria está disponible solamente en forma electrónica. Documentos fuente tales como órdenes de compra, guías de embarque, facturas y cheques son reemplazados por mensajes electrónicos. Por ejemplo, las empresas pueden usar Intercambio de Datos Electrónicos (EDI) o sistemas de procesamiento de imágenes. En el Intercambio de Datos Electrónicos, la entidad y sus clientes o proveedores emplean enlaces de comunicación para transar negocios electrónicamente. Las transacciones de compra, envío, facturación, ingresos de caja, y egresos de caja se efectúan a menudo enteramente mediante el intercambio de mensajes electrónicos entre las partes que intervienen. En sistemas de procesamiento de imágenes, los documentos son procesados en scanner y convertidos en imágenes _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 45 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

electrónicas para facilitar el almacenamiento y referencia y los documentos fuente a veces no se mantienen después de la conversión. El auditor somete a prueba la información contable inherente mediante (a) análisis y revisión, (b) rastreo de los procedimientos seguidos en el proceso contable y en el desarrollo de las imputaciones pertinentes, (c) recálculo y (d) conciliación de aplicaciones relacionadas de la misma información. A través de la ejecución de tales procedimientos, el auditor puede determinar si los registros contables son internamente coherentes. Tal coherencia interna normalmente proporciona evidencia sobre la razonabilidad de la presentación de los estados financieros. La información contable e información comprobatoria pertinente para respaldar los asientos en la contabilidad y las afirmaciones de los estados financieros están normalmente disponibles en los archivos de la entidad y accesibles para el examen del auditor en ciertas oportunidades o períodos. El auditor puede dirigir sus indagaciones a personas informadas tanto dentro de la organización de la entidad como fuera de ella. Los activos físicos están disponibles para la inspección del auditor. Pueden observarse actividades del personal de la entidad. Basado en observaciones de estas y otras condiciones y circunstancias, el auditor puede llegar a conclusiones sobre la validez de varias afirmaciones en los estados financieros.

COMPETENCIA DE LA EVIDENCIA COMPROBATORIA La evidencia para ser competente, independiente de su forma, debe ser tanto válida como pertinente. La validez de la evidencia comprobatoria depende en tal medida de las circunstancias bajo las cuales se obtiene que las generalizaciones sobre la confiabilidad de diversas clases de evidencia están sujetas a importantes excepciones. Sin embargo, si se reconoce la posibilidad que existan importantes excepciones, los siguientes supuestos sobre la validez de la evidencia comprobatoria en auditoría, las cuales son mutuamente excluyentes, pueden tener alguna utilidad: _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 46 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

a) Cuando la evidencia comprobatoria puede obtenerse de fuentes independientes fuera de la entidad, dicha evidencia proporciona mayor seguridad de confiabilidad, para efectos de una auditoría independiente, que si se hubiese obtenido solamente dentro de ella. b) Mientras más eficaz es el control interno, más seguridad proporciona sobre la confiabilidad de la información contable y de los estados financieros. c) El conocimiento personal directo del auditor obtenido mediante el examen físico, observación, cálculo e inspección es más persuasivo que la información obtenida indirectamente.

SUFICIENCIA DE LA EVIDENCIA COMPROBATORIA

El objetivo del auditor independiente es obtener suficiente evidencia comprobatoria competente que le proporcione una base razonable para formarse una opinión. La cantidad y tipos de evidencia comprobatoria que se requiere para sustentar una opinión fundamentada son materias que el auditor debe determinar ejerciendo su criterio profesional tras un cuidadoso estudio de las circunstancias presentes en cada caso. Sin embargo, en la gran mayoría de los casos, el auditor debe confiar en la evidencia persuasiva en lugar de la convincente. Tanto las afirmaciones individuales en los estados financieros como la afirmación general de que ellos, considerados en su conjunto, están presentados razonablemente son de naturaleza tal, que aún un auditor experimentado rara vez logrará un convencimiento absoluto; en relación a todos los aspectos de los estados financieros objeto de la auditoría. El auditor trabaja normalmente dentro de límites económicos. La auditoría, para ser económicamente útil, debe ser desarrollada dentro _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 47 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

de un lapso de tiempo y costo razonables. El auditor debiera decidir, ejerciendo su criterio profesional, si la evidencia comprobatoria a su disposición dentro de límites de tiempo y costo razonables es suficiente para sustentar la expresión de una opinión sin salvedades. Como consecuencia de lo anterior, debiera existir una relación racional entre el costo de obtener la evidencia y la utilidad de la información obtenida. La dificultad y el gasto comprometido en someter a prueba una partida en particular no son, en si mismo, una base valedera para omitir la prueba. EVALUACIÓN DE LA EVIDENCIA COMPROBATORIA Al evaluar la evidencia comprobatoria el auditor analiza si los objetivos específicos de auditoría han sido logrados. El auditor independiente debe ser meticuloso en su búsqueda de evidencia comprobatoria e imparcial en su evaluación. Al diseñar los procedimientos de auditoría para obtener evidencia comprobatoria competente, debiera reconocer la posibilidad de que los estados financieros pueden no estar presentados razonablemente en conformidad con principios de contabilidad generalmente aceptados o con una base amplia de contabilidad distinta a los principios de contabilidad generalmente aceptados. Para formar su opinión, el auditor debería considerar la evidencia comprobatoria pertinente independientemente de si parece corroborar o contradecir las afirmaciones hechas en los estados financieros. En la medida que el auditor tenga una duda sustancial sobre cualesquiera de las afirmaciones relevantes, éste deberá abstenerse de formarse una opinión hasta que haya obtenido suficiente evidencia comprobatoria para disipar aquella duda sustancial, o deberá expresar una opinión con salvedades o abstenerse de opinar.

Página 48 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

b.- Tiempo de Conservación de la Evidencia Cierta evidencia electrónica puede solo existir en un momento determinado y no ser recuperable después de un período específico si los archivos son cambiados y si no existen los archivos de respaldo. Como consecuencia, el auditor debería analizar el tiempo durante el cual la información existe o está disponible al determinar la naturaleza, la oportunidad, alcance de las pruebas sustentativas y, de ser aplicable, las pruebas de controles. El pronunciamiento de la PCAOB AUDITING STANDARD No. 3 – Audit Documentation (Documentación de Auditoría) es muy preciso respecto del periodo de retención de la evidencia, indicando que cuando se emite un reporte de auditoría se debe retener la documentación de auditoría por siete años, comenzando con la fecha de emisión del reporte, a reserva de que por ley sea requerido un periodo de tiempo mayor. Si no se emite un reporte de auditoría, aun así deberá retenerse la documentación por siete años a partir de la fecha en la que ceso el compromiso de auditoría. La responsabilidad de la retención de la documentación de auditoría recae en la oficina de la firma que emite el reporte correspondiente, quien deberá asegurarse que cumple con lo requerido por este pronunciamiento.

9.- La Tecnología de la Información y La Ley Sarbanes Oxley a.- Marco COBIT COBIT 4.0 (Control OBjectives for Information and related Technology | Objetivos de Control para tecnología de la información y relacionada)

Página 49 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquiere y Pone en práctica, Entrega y Apoya, y Supervisa y Evalúa. Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI., apoya el alineamiento con el negocio y simplifica la implantación del COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo hecho. Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero. Lo ofrecen como un descargado libre (gratis) de www.isaca.org/ cobit, y, como una ventaja especial para miembros ISACA, está disponible a miembros exclusivamente durante un período de dos semanas. El 16 de diciembre, el descargado se hará disponible públicamente. Es un marco de gobernación TI que permite a gerentes acortar el hueco entre exigencias de control, cuestiones técnicas y riesgos de negocio. COBIT permite el desarrollo claro de política y la práctica buena para el control de TI en todas partes de organizaciones. La última versión del ITGI - COBIT ® 4.0 - acentúa el cumplimiento regulador, ayuda a organizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta en práctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones más tempranas de COBIT, pero en cambio puede ser usado realzar el trabajo ya hecho basado sobre aquellas versiones más tempranas. Cuando actividades principales son planeadas para iniciativas de gobernación TI, o cuando una revisión y reparación del marco de control de la empresa es esperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades de regalos en _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 50 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

una manera más dinamizada y práctica tan la mejora continua de la gobernación TI es más fácil que alguna vez para alcanzar. Esta nueva versión refleja la armonización aumentada con otras normas detalladas, el énfasis mayor sobre la gobernación TI, el dinamizar de conceptos y lengua, y el análisis detallado de conceptos de métrico, entre otras mejoras. El nuevo volumen, consistiendo en más de 200 páginas, incluye una descripción ejecutiva, el marco, el contenido principal (el control de alto nivel, objetivos de control, objetivos detallados, directrices de dirección y el modelo de madurez) para cada uno de los 34 procesos, y varios apéndices. PARA QUÉ SIRVE Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización. Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prácticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnología de información y desarrollo de la gobernación apropiada TI y el control en una empresa. Proporciona ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician de COBIT porque esto provee de ellos de una fundación sobre cual TI las decisiones relacionadas e inversiones pueden estar basadas. La toma de decisiones es más eficaz porque COBIT ayuda la dirección en la definición de un plan de TI estratégico, la definición de la arquitectura de la información, la adquisición del _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 51 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

hardware necesario TI y el software para ejecutar una estrategia TI, la aseguración del servicio continuo, y la supervisión del funcionamiento del sistema TI. TI usuarios se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de información cumplen con COBIT ya que esto implica mandos y la seguridad es en el lugar para gobernar los procesos. COBIT beneficia a interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto también les ayuda a corroborar sus conclusiones de auditoria. La misión COBIT es " para investigar, desarrollar, hacer público y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnología de información generalmente aceptados para el empleo cotidiano por directores comerciales e interventores. " Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas TI y decidir el nivel de seguridad (valor) y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernación TI. COBIT FAMILIA DE PRODUCTO El paquete de programas de COBIT completo es un juego que consiste en seis publicaciones: Resumen(Sumario) Ejecutivo Marco Objetivos de Control Directrices de auditoria Instrumento de puesta en práctica Directrices de Dirección Proporcionan una breve descripción de cada uno de los susodichos componentes debajo.

Página 52 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Resumen (Sumario) Ejecutivo Las decisiones de negocio están basadas en la información oportuna, relevante y concisa. Expresamente diseñado para directores ejecutivos embutidos de tiempo y gerentes, el Resumen (Sumario) COBIT Ejecutivo, consiste en una descripción ejecutiva que proporciona una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios. También incluido es un resumen del Marco, que proporciona un entendimiento más detallado de estos conceptos y principios, identificando los cuatro dominios del COBIT (la Planificación y la Organización, la Adquisición y la Puesta en práctica, la Entrega y el Apoyo, la Supervisión) y 34 procesos de TI.Marco Una organización acertada es construida sobre un marco sólido de datos e información. El Marco explica como los procesos de TI entregan la información que el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel, un para cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cuál de los siete criterios de la información (la eficacia, la eficacia, la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la fiabilidad), así como que recursos TI (la gente, usos, tecnología, instalaciones y datos) son importantes para los procesos de TI para totalmente apoyar el objetivo de negocio.Objetivos de Control La llave al mantenimiento de la rentabilidad en un ambiente que se cambia tecnológicamente es como bien usted mantiene el control. Los Objetivos de Control del COBIT proveen la perspicacia (idea) crítica tuvo que delinear una práctica clara de política y buena para mandos de TI. Incluido son las declaraciones de resultados deseados u objetivos para ser alcanzados por poniendo en práctica los 215 _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 53 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

objetivos de control específicos, detallados en todas partes de los 34 procesos de TI.Directrices De auditoria Analice, evalúa, haga de intérprete, reaccione, el instrumento. Para alcanzar sus objetivos deseados y objetivos usted y coherentemente constantemente debe revisar sus procedimientos. Directrices de auditoria perfilan y aconsejan actividades reales ser realizadas correspondiente a cada uno de los 34 objetivos de control de TI de alto nivel, justificando el riesgo de objetivos de control no siendo encontrados. Directrices de auditoria son un instrumento inestimable para interventores de sistemas de información en el aseguramiento de dirección que provee y/o el consejo para la mejora.

Instrumento de puesta en práctica Un Instrumento de Puesta en práctica , que contiene la Conciencia de Dirección y el Diagnóstico de Control de TI, y la Guía de Puesta en práctica, FAQs, estudios de caso de organizaciones actualmente que usan COBIT, y las presentaciones de diapositiva que pueden ser usadas introducir COBIT en organizaciones. El nuevo Juego de Instrumento es diseñado para facilitar la puesta en práctica de COBIT, relacionar lecciones cultas de organizaciones que rápidamente y satisfactoriamente aplicado COBIT en sus ambientes de trabajo, y la dirección de plomo(ventajosa) para preguntar sobre cada COBIT tratan: ¿Este dominio es importante para nuestros objetivos de negocio? ¿Bien es realizado? ¿Quién lo hace y quien es responsable? ¿Son formalizados los procesos y el control? Directrices de Dirección Para asegurar una empresa acertada, usted con eficacia debe manejar la unión eficaz entre procesos de negocio y sistemas de información. Las nuevas Directrices de Dirección son compuestas de Modelos de _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 54 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Madurez, ayudar determinar las etapas y los niveles de expectativa de control y compararlos contra normas de industria; Factores de Éxito Críticos, para identificar las acciones más importantes para alcanzar control de los procesos de TI; Indicadores de Objetivo Claves, para definir los niveles objetivo de funcionamiento; e Indicadores de Funcionamiento Claves, para medir si un proceso de control de TI encuentra su objetivo. Estas Directrices de Dirección ayudarán a contestar las preguntas de preocupación (interés) inmediata a todo los que tienen una estaca (un interés) en el éxito de la empresa.

COMO SE APLICA O COMO SE USA Organizaciones acertadas entienden las ventajas de tecnología de información (TI) y usan este conocimiento para conducir el valor de sus accionistas. Ellos reconocen la dependencia crítica de muchos _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 55 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

procesos de negocio sobre TI, la necesidad de cumplir con demandas de cumplimiento crecientes reguladoras y las ventajas de riesgo directivo con eficacia. Para ayudar organizaciones en satisfactoriamente la reunión de desafíos de hoy de negocio, el Instituto de Gobernación TI ® (ITGI) ha publicado la versión 4.0 de Objetivos de Control para la Información y ha relacionado la Tecnología (COBIT ®). El acercamiento a la utilización COBIT Lo maneja - riesgos relacionados de negocio: · El empleo bajo sobre objetivos de negocio en el Marco COBIT · seleccionan, procesa y controla TI apropiado por la organización de los Objetivos de Control de COBIT · funcionan del plan de negocio de organización · evalúan procedimientos y los resultados con Directrices de Revisión de cuentas de COBIT · evalúan el estado de la organización, identifican factores de éxito críticos, miden el funcionamiento con las Directrices de Dirección COBIT Para desarrollar un juego sano de procesos: · escogen los Objetivos de Control que caben los objetivos de negocio · identifican los modelos de industria que proporcionan la dirección para apoyar procesos (CMMI, Poblar CMM, ITIL) COBIT cubre cuatro dominios: Planificación y Organización Adquiera e Instrumento _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 56 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Entregue y Apoyo Monitor y Evalúa Planificación y Organización La Planificación y el dominio de Organización cubren el empleo de tecnología y como mejor esto puede ser usado en una empresa ayudar alcanzar los objetivos de la empresa y objetivos. Esto también destaca la forma de organización e infraestructural TI debe tomar para alcanzar los resultados óptimos y generar la mayor parte de ventajas del empleo de TI. La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Organización y la Planificación. OBJETIVOS DE CONTROL NIVEL ALTOS Planificación y Organización PO1 Definen un Plan de TI Estratégico PO2 Definen la Información Arquitectura PO3 Determinan Dirección Tecnológica PO4 Definen los Procesos de TI, Organización y Relaciones PO5 Manejan la Inversión TI PO6 Comunican Objetivos de Dirección y Dirección PO7 Manejan Recursos TI Humanos PO8 Manejan Calidad PO9 Evalúan y Manejan Riesgos de TI PO10 Manejan Proyectos _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 57 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Adquiera e Instrumento Identificación de sus exigencias TI, adquiriendo la tecnología, y poniéndolo en práctica (realización) dentro de los procesos de negocio corrientes de la empresa. Este dominio también dirige el desarrollo de un plan de mantenimiento que una empresa debería adoptar para prolongar la vida de un sistema TI y sus componentes. La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Puesta en práctica y la Adquisición. OBJETIVOS DE CONTROL NIVEL ALTOS Adquiera e Instrumento AI1 Identifican Soluciones Automatizadas AI2 Adquieren y Mantienen Software De aplicación AI3 Adquieren y Mantienen Infraestructura de Tecnología AI4 Permiten Operación y Usan AI5 Procuran Recursos TI AI6 Manejan Cambios AI7 Instalan y Acreditan Soluciones y Cambios Entrega y Apoyo La Entrega y el dominio de Apoyo enfocan en los aspectos de entrega de la tecnología de información. Esto cubre áreas como la ejecución de los usos dentro del sistema TI y sus resultados, así como, los procesos de apoyo que permiten la ejecución eficaz y eficiente de estos sistemas TI. Estos procesos de apoyo incluyen cuestiones de seguridad y educación (entrenamiento). La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Apoyo y la Entrega. _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 58 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

OBJETIVOS DE CONTROL NIVEL ALTOS Entregue y Apoyo DS1 Definen y Manejan Niveles de Servicio DS2 Manejan Servicios de Tercero DS3 Manejan Funcionamiento y Capacidad DS4 Aseguran Servicio Continuo DS5 Aseguran Seguridad de Sistemas DS6 Identifican y Asignan Gastos DS7 Educan y Entrenan a Usuarios DS8 Manejan Escritorio de Servicio e Incidentes DS9 Manejan la Configuración DS10 Manejan Problemas DS11 Manejan Datos DS12 Manejan el Ambiente Físico DS13 Manejan Operaciones Monitor y Evaluación La Supervisión y el dominio de Evaluación tratan con la estrategia de una empresa en la evaluación de las necesidades de la empresa y si realmente la corriente TI el sistema todavía encuentra los objetivos para los cuales fue diseñado y los mandos necesarios de cumplir con _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 59 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

exigencias reguladoras. La supervisión también cubre la cuestión de una evaluación independiente de la eficacia de sistema TI en su capacidad de encontrar objetivos de negocio y los procesos de control de la empresa por interventores internos y externos. La mesa siguiente cataloga los objetivos de control nivel altos para la Supervisión del dominio. OBJETIVOS DE CONTROL NIVEL ALTOS Monitor y Evalúa ME1 Supervisan y Evalúan Procesos de TI ME2 Supervisan y Evalúan Control Interno ME3 Aseguran Cumplimiento Regulador ME4 Proporcionan Gobernación TI

Página 60 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

RESEÑA HISTÓRICA.Comenzando con el marco de COBIT definido en la primera edición, el uso de estándares internacionales, las pautas y la investigación en las mejores prácticas condujeron al desarrollo de los objetivos del control. Las pautas de la intervención fueron desarrolladas después para _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 61 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

determinar si estos objetivos del control están puestos en ejecución apropiadamente. La investigación para las primeras y segundas ediciones incluyó la colección y el análisis de fuentes internacionales identificadas y fue realizada por los equipos en Europa (universidad libre de Amsterdam), los E.E.U.U. (universidad politécnica de California) y Australia (universidad de Nuevo Gales del Sur). Cargaron a los investigadores con la compilación, la revisión, el gravamen y la incorporación apropiada de los estándares técnicos internacionales, códigos de la conducta, estándares de calidad, estándares profesionales en la revisión, y las prácticas y los requisitos de la industria, como se relacionan con el marco y con los objetivos del control individual. Después de la colección y del análisis, desafiaron a los investigadores a examinar cada dominio y a procesar profundizado y a sugerir los nuevos o modificados objetivos del control aplicables a ese detalle ÉL proceso. La consolidación de los resultados fue realizada por el comité de dirección de COBIT. El proyecto de la edición de COBIT 3ro consistió en el desarrollar de las pautas de la gerencia y el poner al día de la edición de COBIT 2do basada en nuevas y revisadas referencias internacionales. Además, el marco de COBIT fue revisado y realzado para apoyar aumentó control de la gerencia, introduce a gerencia de funcionamiento y la desarrolla más lejos gobierno. Proveer la gerencia un uso del marco, así que de él puede determinar y hacer las opciones para la puesta en práctica y las mejoras del control sobre su información y tecnología relacionada, así como funcionamiento de la medida, las pautas de la gerencia incluyen modelos de la madurez, factores críticos del éxito, los indicadores dominantes de la meta y los indicadores dominantes del funcionamiento relacionados con los objetivos del control. Las pautas de la gerencia fueron desarrolladas usando un panel mundial de 40 expertos de la academia, gobierno y ÉL profesión del _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 62 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

gobierno, del aseguramiento, del control y de la seguridad. Estos expertos participaron en un taller residencial dirigido los facilitadores profesionales y usando las pautas del desarrollo definidas por el comité de dirección de COBIT. El taller fue apoyado fuertemente por el grupo y el PricewaterhouseCoopers de Gartner, que no sólo proporcionaron la dirección del pensamiento pero también envió varias de sus expertos en control, de gerencia de funcionamiento y de seguridad de la información. Los resultados del taller eran modelos de la madurez del bosquejo, factores críticos del éxito, indicadores dominantes de la meta e indicadores dominantes del funcionamiento para cada uno de los objetivos de alto nivel del control de COBIT 34. La garantía de calidad de los delibérales iniciales fue conducida por el comité de dirección de COBIT y los resultados fueron fijados para la exposición en el Web site de ISACA. El documento de las pautas de la gerencia ofreció un nuevo sistema gerencia-orientado de herramientas, mientras que proveía de la integración y de la consistencia el marco de COBIT. La actualización a los objetivos del control en la edición de COBIT 3ro, basada en nuevas y revisadas referencias internacionales, fue conducida por los miembros de los capítulos de ISACA, bajo dirección de los miembros del comité de dirección de COBIT. La intención no era realizar un análisis global de todo el material o de una reconstrucción de los objetivos del control, sino proporcionar un proceso incremental de la actualización. Los resultados del desarrollo de las pautas de la gerencia entonces fueron utilizados para revisar el marco de COBIT, especialmente las consideraciones, las metas y las declaraciones del activador de los objetivos de alto nivel del control. La edición de COBIT 3ro fue publicada en julio de 2000. Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT) son un juego de las mejores prácticas (el marco) para la información (TI) la dirección creada por la Revisión de cuentas de Sistemas de Información y la Asociación de Control (ISACA), y el Instituto de Gobernación TI (ITGI) en 1992. _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 63 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

" COBIT 4.0 ayudará a llevar las directrices de gobierno TI a más ejecutivos de negocio y de TI ", según Frank Yam, vicepresidente de Information Systems Audit and Control Association (ISACA). La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición en línea se hizo disponible en 2003); y la cuarta edición en diciembre de 2005. Esto más recientemente ha sido bien recibido debido a acontecimientos externos, sobre todo el escándalo Enron y el paso subsecuente del Acto de Sarbanes-Oxley. COBIT 4.0 es la primera actualización del contenido de COBIT ya que COBIT la 3a Edición fue liberado en 2000. COBIT y OTRAS NORMAS COBIT y ISO/IEC 17799:2005 Las dos normas internacionales usadas hoy son COBIT Y ISO/ IEC 17799:2005. COBIT (Objetivos de Control para la Información y la Tecnología relacionada) fue liberado y usado principalmente por la comunidad TI. En 1998, las Directrices de Dirección fueron añadidas, y COBIT se hizo el marco internacionalmente aceptado para la gobernación TI y el control. ISO/ IEC 17799:2005 (el Código de práctica para la Seguridad de Información la Dirección) es también un estándar internacional y es la mejor práctica para poner en práctica la dirección de seguridad. Las dos normas no compiten el uno con el otro y en realidad complementan el uno al otro. COBIT típicamente cubre una más amplia área mientras ISO/ IEC 17799 profundamente es enfocado (concentrado) en el área de seguridad. COBIT y Sarbanes Oxley Requieren las empresas públicas que son sujetos a EE UU Sarbanes Oxley el Acto de 2002 para adoptar los marcos de control siguientes: el Comité de Patrocinar las Organizaciones de la Comisión de Treadway (COSO) el Control Interno Integró el Marco y los Objetivos de Control _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 64 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

del Instituto de Gobernación TI para la Información y la Tecnología Relacionada (COBIT). En el escogimiento cuál de los marcos de control para poner en práctica para cumplir con Sarbanes-Oxley, las Seguridades estadounidenses y la Comisión De cambio sugieren que las empresas sigan el marco COSO. COSO el Control Interno Se integró el Marco declara que el control interno es un proceso - establecido por la junta directivo de una entidad, la dirección, y otro personal - diseñado para proporcionar el aseguramiento razonable en cuanto al logro de objetivos indicados. COBIT se acerca al control de TI por mirar la información - no la información solamente (justo) financiera - que es necesario para apoyar exigencias de negocio y los recursos asociados TI y procesos. COSO objetivos de control enfocan la eficacia, la eficacia de operaciones, el reportaje confiable financiero, y el cumplimiento con leyes y regulaciones. COBIT es ampliado para cubrir la calidad y exigencias de seguridad en siete categorías de traslapo, que incluyen la eficacia, la eficacia, la confidencialidad, la integridad, la disponibilidad, el cumplimiento, y la fiabilidad de información. Estas categorías forman la fundación para los objetivos de control del COBIT. Los dos marcos también tienen el público diferente. COSO es útil para la dirección en general, mientras COBIT es útil para la dirección, usuarios, e interventores. COBIT expresamente es enfocado (concentrado) en mandos de TI. A causa de estas diferencias, interventores no deberían esperar una relación de uno a uno entre los cinco componentes de control de COSO y los cuatro dominios COBIT objetivos.

Página 65 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

b.- Estructura de las Fases del Control Interno Informático

El éxito de la seguridad de los sistemas modernos de la tecnología de información descansa en siete elementos esenciales que integran la matriz de seguridad: Identificación Autenticación Autorización Control de acceso Administración Auditoria Evaluación La fortaleza estos elementos en el diseño de los controles de acceso y en su implementación son combinados para determinar la fuerza del perfil de seguridad del sistema. La debilidad de cualesquier elemento disminuye su seguridad.

Identificación Se refiere a cuando se intenta tratar de ser alguien que quiere tratar con usted a través de de sus redes, sistemas computacionales, o aplicaciones a través de la introducción de un nombre de usuario que el sistema supuestamente debe reconocer. Construir la aceptación de cualesquier clase de nombres de usuario de manera que cuando éstos se emitan sean únicos. Existe un límite muy bajo acerca de cuanta confianza puede ser depositada en el elemento de identificación por sí mismo. Si la sintaxis de los nombres de usuarios es conocida, por ejemplo, posteriormente tratar de inventar uno se hace más fácil. _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 66 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Autenticación Se refiere a todo cuanto esta relacionado con incrementar el nivel de confianza que puede ser depositado en una identidad, origen o mensaje. Un mensaje puede ser encriptado con algún método de autenticación para asegurarse que es mantenido en secreto y sin cambio durante la ruta hacia su destino. El enfoque de esta autenticación es sobre la identidad y el origen, porque estos aspectos están relacionados directamente con los controles de acceso y seguridad. El nivel de confianza que rutinariamente se puede depositar en la identidad de un usuario final, accesorio, o proceso de sistema a sistema está basado en un proceso de autenticación, el cual constituye en sí una barrera de acceso.

Autorización La autorización se da un vez que a los usuarios de los sistemas les han sido otorgados identidades únicas. El diseño de seguridad determinó cuales métodos de autenticación van a ser usados en los diferentes puntos de acceso. Ahora la asociación entre un usuario final y el derecho de acceso se convierte en el mapeo de una o varias relaciones entre nombres de usuarios y las redes, servidores, impresoras, aplicaciones, y almacenamiento de datos a los cuales les será otorgado acceso a los usuarios.

Página 67 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

Control de acceso La salida del proceso de autorización se convierte en el diseño de requerimientos de entrada para controles de acceso. Los controles de acceso enfatizan los requerimientos que fluyen desde la autorización a través de la aceptación de los derechos de acceso otorgados por autorización o la prevención del acceso que es deliberadamente denegado. En el diseño de controles de acceso, se encontrarán algunos factores, normalmente fuera de control, que limitan o facilitan el logro de los controles identificados en el proceso de autorización.

Administración Documentación tal vez no es la palabra más popular en el mundo de los círculos de T.I. Desde cómo la información es protegida hasta cómo será recuperada de un código malicioso y todo lo que ocurra en el inter de ese proceso necesita ser documentado. Entonces los procesos y procedimientos deben ser informados a cada uno de los miembros del staff operativo, administrativo o con responsabilidades gerenciales.

Auditoria Auditar accesos y controles de seguridad de sistemas de información para efectos de medición de calidad o de regulatorio inicia con la evaluación del ambiente procedimientos de seguridad administrativa están y si rutinariamente dentro de la organización

tecnología de cumplimiento en que los son seguidos

Enfocarse exclusivamente en los componentes de la tecnología de manera aislada no muestra un panorama completo de sus fuerzas y _________________________________________________________________________ Instructor: L.C. ERICK FUENTES GONZALEZ Derechos Reservados © 2006

Página 68 de 69

Curso de Conocimiento de La Ley Sarbanes Oxley y su Impacto en PEMEX ___________________________________________________________________

debilidades en una organización. Auditoria incluirá pruebas de cumplimiento con las políticas, procesos y procedimientos desarrollados internamente.

Evaluación Una amenaza es el potencial para dañar a la organización. Riesgo es la posibilidad que esa amenaza causará daño de alguna manera. Por lo tanto los controles de acceso y seguridad son para la reducción del riesgo, para asegurar que la amenaza es reducida a cero o tan cerca de cero como sea posible. Evaluación es el proceso de asignar un valor probable a aquellas defensas de los sistemas , las cuales podrían ser dañadas por alguna amenaza. El objetivo en todo momento es eliminar la amenaza.

*****

Página 69 de 69

This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasing Win2PDF.