Daniel Chalupowicz

Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.

La Ley Sarbanes Oxley

Responsabilidad Corporativa
Informe COSO
Auditoría Interna y Externa

2da Edición ampliada y actualizada

incluye traducción de lo primera parte del standard de Auditorio

N° 2 (PCAOB)

Osmar D. Buyatti
LIBRERÍA EDITORIAL
 LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.

Daniel Chalupowicz
Responsabilidad Corporativa, Informe COSO, auditoría
interna y externa: la ley Sarbanes Oxley
2a. edición - Buenos Aires: Osmar Buyatti, 2006.
264 p.; 22.5 x 15,5 cm.
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.

ISBN 987-1140-42-8

CDD 657.835.45 - 1. Auditoría Internacional I Título

Dedico este libro a mi esposa Karina, mis hijas Camila y Nicole, mi Padre,
fuente de apoyo, inspiración, respeto, y trabajador incansable en la
©2006 by Osmar D. Buyatti
profesión, y a mi madre que ya no está, y se cumple exactamente un año de
Viamonte 1509 (C1055ABC) Buenos Aires – Argentina
su partida el día que terminé de escribir la obra. A todos ellos, mi amor
Tel: (fax) (54-11) 4371 -2512/4812-5492/4811-6173
agradecimiento por su apoyo incondicional.
HTTP://www.osmarbuyatti.com
e-mail: libros@osmarbuyatti.com

Diseño de tapa: AIS

Composición y armado: Andrés I. Silva - Alejandro J. Ogén

2- Edición: Mayo 2006

Hecho el depósito que marca la Ley 11.723

No se permite la reproducción parcial o total, el almacenamiento, el alquiler, la

transmisión o la transformación de este libro, en cualquier forma o por cualquier
medio, sea electrónico o mecánico, mediante fotocopias, digitalización u otros
métodos, sin el permiso previo y escrito del editor. Su infracción está penada por las
leyes 11723 y 25446.-

Tirada: 1.000 ejemplares

I.S.B.N. 10:987-1140-42-8
I.S.B.N. 13: 978-987-1140-42-8

IMPRESO EN ARGENTINA
PRINTED IN ARGENTINA

4 Daniel Chalupowicz Editorial Osmar D. Buyatti 5

 RESPONSABILIDAD CORPORATIVA

ÍNDICE
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.

PARTE I
La Ley Sarbanes Oxley del 30 de Julio de 2002
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.

y el Control Interno

Capítulo I Introducción ............................................................................... 11

Capítulo II ¿Qué es la Ley Sarbanes-Oxley? ............................................... 15
Capítulo III El Rol del Comité de Auditoría ................................................. 23
Capítulo IV Responsabilidad Corporativa por los Estados Financieros .... 27
CapítuloV Sección 404-del La Ley Sarbanes Oxley ................................... 31
Capítulo VI Norma de Auditoría N° 2 PCAOB ............................................ 47
Capítulo VII El Control Interno-Enfoque COSO............................................ 59

PARTE II
Temas de Auditoría Interna y Externa

Capítulo VIII Planificación de Auditoría ........................................................ 71

Capítulo IX Evidencia de Auditoría ............................................................ 85
Capítulo X Deficiencias de Auditoría ........................................................ 93
Capítulo XI Riesgo de Auditoría ................................................................. 97
Capítulo XII Procedimientos de Auditoría .................................................... 103

PARTE III
Desarrollo Profesional del Auditor

Capítulo XIII Proceso de Decisión Grupal en Auditoría ................................ 117

Capítulo XIV El Profesional de Auditoría y Los Beneficios de la
Inteligencia Emocional ............................................................ 121
Capítulo XV Utilización de la Técnica de Indagación Para Detectar
Fraude ....................................................................................... 125
Capítulo XVI La Responsabilidad por la Función Pública ............................. 131

Editorial Osmar D. Buyatti 7

 LA LEY SARBANES OXLEY

PARTE IV
Anexos
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.

Anexo I Auditoría de Control Interno ....................................................... 137

Anexo II Modelo de Cuestionario de Evaluación de Sistema de
Control Interno............................................................................. 229
Anexo III Proceso de Compras. Ejemplificación de los objetivos del
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.

proceso ......................................................................................... 239

Anexo IV Proceso Contable y de Reporte Información Financiera.
Ejemplificación de los objetivos del proceso ............................... 245
Anexo V Texto de la Ley Sarbanes Oxley - Principales Secciones
de la Ley Traducidas al Español .................................................. 251

8 Daniel Chalupowicz
 RESPONSABILIDAD CORPORATIVA

CAPÍTULO V
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.

SECCIÓN 404 DE LA LEY

SARBANES OXLEY
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.

Diagnóstico y Documentación de los Controles Internos

La Sección 404 de la Ley exige a los altos directivos de las
compañías informar sobre la efectividad del diseño y operación del
control interno sobre la información financiera y a los auditores externos
informar sobre las afirmaciones de la gerencia sobre la efectividad del
diseño y operación de dichos controles, y además efectuar un dictamen
evaluando independientemente dicho asunto. La gerencia está obligada a
incluir en sus informes anuales una evaluación de la efectividad con que
funcionan los controles internos sobre la información financiera de la
compañía. Esta evaluación se efectúa a la fecha de cierre de los estados
contables.
La normativa de la SEC obliga a la gerencia a determinar e
informar si existen debilidades materiales en el control interno y si en el
agregado, las deficiencias significativas que se identifiquen constituyen
debilidades materiales.
Para poder entender y evaluar la efectividad con que funcionan los
controles internos de una compañía es necesario primero definir qué es
una deficiencia de control, una deficiencia significativa y una debilidad
material. El autor Robert Waxman. Director Ejecutivo del International
Accounting and Audit Committee de la Sociedad de Contadores
Públicos del Estado de Nueva York (NYSSCPA), define las deficiencias
en tres categorías, a saber:
1) Una deficiencia de control ocurre cuando el diseño u operación de
un control no le permite a la gerencia o a los empleados en el
curso normal del desarrollo de sus tareas, prevenir o detectar
errores u omisiones en forma oportuna. La falla en diseño ocurre
cuando el control necesario para cumplir un objetivo de control
no se encuentra o no está adecuadamente diseñado, de modo tal
que aun si el control opera como fue diseñado, el objetivo no

Editorial Osmar D. Buyatti 31

 LA LEY SARBANES OXLEY
siempre se cumple. Una deficiencia en la operación ocurre cuando un
control adecuadamente diseñado no opera como fue diseñado o cuando
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
la persona que ejecuta el control no posee la autoridad necesaria o
calificación para ejecutar el control en forma efectiva.
2) Una deficiencia significativa es una deficiencia de control o
combinación de más de una deficiencia de control que afecta en forma
negativa la capacidad de la compañía para iniciar, autorizar, registrar,
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
procesar o comunicar información financiera de la compañía de
manera confiable, de acuerdo con los principios de contabilidad
aplicables (US G AAP en USA) de modo tal que existe una posibilidad
mayor que remota que un error u omisión en los estados financieros
trimestrales o anuales no pueda prevenirse o detectarse. El SFAS 5
(trata sobre contingencias) define una posibilidad mayor que remota
cuando su chance de ocurrir es razonablemente posible o probable.
3) Una debilidad material es una deficiencia significativa o combinación
de deficiencias significativas, que resultan en más que una posibilidad
remota que un error u omisión material en los estados financieros
anuales o interinos no pueda prevenirse o detectarse oportunamente.
La evaluación de la materialidad de una deficiencia de control implica
consideraciones tanto cualitativas como cuantitativas.
Si una deficiencia significativa es identificada a la fecha de cierre de
los estados financieros, esta debería ser revelada en el informe de la gerencia.
La gerencia no debería concluir que los controles internos de la compañía
sobre los estados financieros son efectivos, cuando se han identificado una o
más deficiencias significativas.
En cuanto al formato que se puede adoptar para el informe, este es
flexible, de manera de permitir que cada compañía informe los asuntos más
relevantes de su actividad, aunque debería incluir por lo menos los siguientes
temas:
1) Una declaración de la responsabilidad de la gerencia por establecer y
mantener un adecuado control interno sobre la información financiera;
2) Una declaración que identifique la metodología o base utilizada por la
gerencia para evaluar la efectividad de los controles de la compañía
sobre los estados financieros;
3) Un diagnóstico de la efectividad con que operan los controles internos
de la compañía sobre la información financiera al cierre del ejercicio
contable más reciente, incluyendo una declaración explícita sobre la
efectividad del control interno sobre la información financiera:
RESPONSABILIDAD CORPORATIVA
4) Una declaración que exprese que la firma contable examinó los estados
financieros incluidos en el informe anual; y
5) Una declaración que exprese que la firma contable ha emitido un informe
sobre el diagnóstico de la gerencia realizada sobre los controles internos
de la información financiera.
La gerencia puede elegir entre efectuar ella misma la tarea de
documentación y prueba de los controles requerida por la Sección 404 de la Ley
o contratar consultores para realizar el trabajo.
Los auditores externos o su personal no pueden prestar ningún tipo de
servicio dentro de la compañía, que pueda comprometer la independencia
profesional de la firma. Cualquier servicio que preste el auditor externo
relacionado con el control interno debe estar previamente aprobado por el
comité de auditoría. En la práctica hemos visto que existen casos donde las
incompatibilidades de funciones son claras y evidentes en cuanto a que la misma
firma contable que realiza la auditoría de los estados financieros también
participa en la planificación del trabajo interno que le corresponde a la
compañía, y en las etapas de relevamiento y documentación del diseño de los
controles, tareas que resultan claramente incompatibles y deterioran la calidad
de la opinión profesional que pudiera emitir la firma contable de auditores
externos.
El cumplimiento con la Sección 404 de la Ley requiere del diseño e
implementación de un proyecto a la medida de cada circunstancia y de acuerdo
con las capacidades internas de la compañía o necesidades externas de
contratación de recursos adicionales. Algunos aspectos que pueden tenerse en
cuenta para administrar y ejecutar el proyecto de implementación con la Sección
404 son los siguientes:
1) Identificación de los recursos humanos internos de la compañía con
responsabilidad general por el proyecto:
La compañía debe nombrar un responsable que supervise y controle el
cumplimiento de los plazos, etapas y objetivos definidos en el proyecto.
El proyecto puede tener un Jefe corporativo y luego responsables a nivel
regional. Por ejemplo, el Director Financiero de la corporación podría ser
el responsable máximo del proyecto ante la casa matriz, y si la empresa
cuenta con filiales en los distintos continentes, puede nombrarse una
persona con dedicación de tiempo completo o comprometer al Contralor
Regional o Director Financiero Regional con la supervisión sobre el
avance y cumplimiento del proyecto en la región.
Al nivel local puede nombrarse al Director Financiero o Contralor de la
empresa en el país que esta se encuentra ubicada.
 LA LEY SARBANES OXLEY
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
2) Identificación del marco conceptual de control interno:
La ley no determina un marco conceptual de enfoque para el control
interno aunque tanto la Comisión Nacional de Valores de los Estados
Unidos - SEC (Securities and Exchange Commission) como el
PCAOB (Public Company Accounting Oversight Board) en
publicaciones de la SEC y Pronunciamiento N° 2 del PCAOB sugieren
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
que el enfoque y marco conceptual COSO tiene una aceptación
generalizada en la profesión y las empresas y por lo tanto cumple con
las necesidades y requerimientos de control interno sobre la
información financiera que exige la Ley. No obstante, existen otros
enfoques alternativos a COSO de reconocida reputación en otros
países, como ser: enfoque COCO de Canadá o Cadbury de Inglaterra,
e incluso Kenig de Sudáfrica. Por lo tanto, otros enfoques de
reconocida reputación, sobre todo fuera de los Estados Unidos,
también son aceptables, aunque resultaría más difícil justificar su
aplicación. En el anexo I a este libro se ilustra un ejemplo de
cuestionario de aplicación COSO.
De acuerdo con el iso que se quiera darle. Cabe destacar que es
necesario adaptar dichas preguntas los Proceso se pueden evaluar, por
ejemplo, con formato de matriz, para cada ciclo y sub-ciclo
identificado en la compañía y demás localidades y/o filiales, teniendo
en cuenta primero los objetivos de Control, los riesgos, las
aseveraciones de la gerencia que se quieren mitigar, y las actividades
de control que tengan un impacto sobre la información financiera de la
compañía, diferenciado prácticas ideales de las reales.
3) Identificación de las ubicaciones físicas de las oficinas, sucursales o
sitios sometidos a la revisión:
Se deben planificar las ubicaciones de los lugares u oficinas sujetas a
la revisión, de acuerdo con criterios de materialidad y conocimientos
de los antecedentes y experiencias en las prácticas de control interno
de los objetivos seleccionados. El Pronunciamiento N° 2 del PCAOB
define los pasos a seguir y cuestiones a considerar para planificar el
alcance o "scope" del proyecto. Por ejemplo, una oficina con pocas
operaciones y sin antecedentes de incumplimientos o dificultades de
control podría no seleccionarse para su revisión. En cambio, una
oficina donde haya existido un escándalo financiero o la Alta Gerencia
haya sido despedida por malas prácticas administrativas sería
contraproducente no seleccionarla para su revisión. No obstante, todas
las ubicaciones geográficas de una compañía con envergadura
RESPONSABILIDAD CORPORATIVA
internacional deberían tener identificados sus procesos y documentados
los procedimientos que a diario se siguen y aplican en las operaciones,
en concordancia con las políticas y manuales de toda la organización.
También es conveniente identificar los procesos a evaluar en el proyecto
con el propósito de documentar los controles y aplicar las pruebas
correspondientes. Estos procesos muchas veces son comparables a los ciclos
que existen para evaluar el control interno de la compañía, aunque el carácter
es más integral y abarca al control interno en su totalidad. Ejemplos de estos
ciclos pueden ser: Activos Fijos (los subprocesos pueden ser la contabilización
de los activos fijos, la recepción de inventarios, despachos de inventarios, etc.)
e Ingresos (los subprocesos pueden ser facturación, créditos y cobranzas, y
reconocimientos de los ingresos).
En los anexos II y III a este libro ilustraremos ejemplos de objetivos de
control para el proceso de compras y objetivos de control para el proceso
contable y de reporte financiero.
Luego de evaluar un proceso es conveniente e importante mantener
reuniones de cierre con los responsables o process owners involucrados en los
procesos evaluados, definir acciones correctivas a seguir, de existir
excepciones en el diseño u operación de un control; ambas etapas deben ser
evaluadas, y por último los plazos para atender o remediar las deficiencias que
resulten de las tareas de diagnóstico y evaluación de los controles.
Para llevar adelante la implementación del proyecto debemos
seleccionar un enfoque y plan de trabajo organizado, definiendo y
documentando los controles internos relevantes que vayamos a probar, como
así también las herramientas y recursos materiales y humanos necesarios para
aplicar y documentar los resultados de las pruebas.
Al probar los controles identificados para los procesos que definimos, se
realiza un diagnóstico de la efectividad y diseño de los mismos. Este
diagnóstico consiste en evaluar la eficacia con que funcionan los controles.
Puede ocurrir que una práctica de la compañía no se encuentre claramente
definida y por lo tanto sea necesario corregir la redacción o documentación
que la compañía elaboró sobre el funcionamiento de sus procesos.
Los resultados de las pruebas de controles deberían ser comunicados
oportunamente a los responsables de cada proceso y del proyecto en cada
oficina local o regional, ya que el objetivo final del proyecto es cumplir con
los requerimientos de la Ley y para ello el tiempo es valioso. Mientras antes se
entere la compañía de sus debilidades o deficiencias de control identificadas,
más tiempo, y posibilidades tendrá para solucionarlas.
Por último, se puede concluir a nivel local y corporativo sobre el estado
del funcionamiento de los controles internos de la compañía.
 LA LEY SARBANES OXLEY
En la práctica, el orden de las etapas para el diseño e implementación
del provecto no es tan estricto. Las oficinas o localidades y/o filiales
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
identificadas en él "scope" pueden ser revisadas en el orden que la logística
y los recursos mejor lo permitan, y el plan puede implementarse de la
manera más práctica, siempre y cuando se realice dentro de los plazos y
vencimientos definidos en la Ley y sus reglamentaciones, y las
modificaciones que se realicen sobre dichos plazos que establezca la
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
Comisión Nacional de Valores de Estados Unidos (SEC). Los plazos
aplicables eran 15 de noviembre de 2004 para accelerated filers o empresas
estadounidenses o radicadas en los Estados Unidos, y 15 de julio de 2005
para empresas que presentan sus informes a la SEC bajo la categoría de "non
accelerated filers", que pueden ser empresas extranjeras cuyas acciones
coticen en las bolsas de valores de los Estados Unidos.
El día 2 de marzo de 2005 la SEC ha extendido el plazo de
presentación mediante la publicación de la Resolución N° 33-8545. Las
compañías que presenten sus informes anuales mediante los formularios
"Form 20-F" y "Form 40-F" lo pueden hacer para el primer cierre contable
de ejercicio que ocurra al 15 de Julio de 2006 o posterior.
Una buena organización de los recursos materiales y humanos de la
compañía constituye una ventaja clara y factor de suma importancia para
lograr el éxito y cumplir con los plazos y objetivos del proyecto. A medida
que el proyecto avanza, si se identifican deficiencias, se pueden corregir y
más tarde volver a probar los controles que presentaron casos con
deficiencias a fin de concluir si dichas excepciones detectadas
oportunamente se solucionaron y se logró la efectividad en la operatoria del
control.
A lo largo de las distintas etapas del proyecto, las recomendaciones u
observaciones formuladas por los auditores externos pueden resultar de
ayuda, aunque la responsabilidad por la administración del proyecto y las
decisiones que se tomen siempre recaen en la gerencia de la compañía. Cabe
aclarar que el rol de los auditores externos debería estar limitado a charlas o
puntos de vista ante consultas puntuales aunque no es aconsejable que
asuman un rol activo en la implementación del proyecto porque esto traería
aparejado dudas acerca de la calidad de la opinión posterior que emitan
como auditores externos, además de afectar negativamente la independencia
profesional de los mismos.
Para contribuir al éxito del proyecto, se necesitará un equipo de
profesionales internos y/o externos a la compañía que cuenten con las
capacidades y formación técnica necesarias. A nivel organización, el
proyecto debería reportar a un nivel apropiado de la gerencia como el
Director financiero o Controller. Normalmente se conforma un steering
RESPONSABILIDAD CORPORATIVA
committee o comité de dirección para discutir los asuntos macro o que hacen a
la planificación y ejecución del proyecto. Estos comités pueden resultar de
gran ayuda y centralizar las decisiones de importancia aunque también pueden
afectar el avance del proyecto e incurrir en decisiones improductivas cuando
sus miembros no tienen la capacitación mínima necesaria que les permita
comprender la esencia y requerimientos definidos en la Ley. Los miembros
del equipo operativo responsables de la planificación y ejecución del proyecto
necesitarán contar con la habilidad necesaria para tener acceso a la
información y a las personas en la compañía para completar el diagnóstico,
documentación y prueba del control interno sobre la información financiera.
Si la gerencia cree que la administración y ejecución del proyecto no cuenta
con los recursos humanos suficientes, debería incorporar consultores
calificados, que normalmente pueden ser otros profesionales, o estudio
contable diferente al que vaya a efectuar la certificación y auditoría externa.
Es conveniente que la evaluación que la gerencia efectúe sobre el
avance y resultados del equipo de trabajo incluya una supervisión continua del
avance del proyecto y cumplimiento de metas importantes, como así también
considerar los comentarios o sugerencias del auditor interno, auditor externo y
otros empleados de la compañía.
Beneficios de utilizar auditores internos o consultores independientes
Al considerar el uso de consultores externos para asesorar, administrar o
aplicar procedimientos, la gerencia debe saber que existen beneficios
adicionales al involucrar a los auditores internos o recursos externos, que van
más allá de la complementación de la experiencia y talentos de la propia
gerencia.
La actitud de la gerencia hacia los nuevos requerimientos
probablemente determine el éxito y costo final del proyecto. La gerencia debe
encarar el proyecto con una actitud positiva y considerar los posibles
beneficios, y debe prepararse para asignar suficientes recursos calificados para
cumplir con los requerimientos de la Ley.
La gerencia debe efectuar representaciones a los auditores externos
durante su auditoría de los estados financieros, y su propia evaluación del
control interno de la compañía. Antes de que el auditor pueda emitir su
opinión sobre la evaluación de la gerencia sobre la efectividad de sus
controles y evaluación independiente sobre la efectividad de los controles de
la compañía, el auditor necesitará ciertas representaciones escritas de la
gerencia, que incluyan, como mínimo, los siguientes puntos:
1) Reconocimiento de la responsabilidad de la gerencia por el
establecimiento y mantenimiento de un control interno efectivo sobre la
información financiera;
 LA LEY SARBANES OXLEY
2) Declaración que la gerencia ha realizado la evaluación de la efectividad
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
de los controles internos y ha especificado el criterio de control;
3) Declaración que la gerencia no ha utilizado los procedimientos
ejecutados durante auditorías externas del control interno sobre la
información financiera como base para la evaluación de la gerencia
sobre la efectividad de los controles internos sobre la información
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
financiera;
4) Declaración que las conclusiones de la gerencia sobre la efectividad de
los controles internos de la compañía sobre la información financiera se
basan en un criterio de control a una fecha específica;
5) Declaración que la gerencia ha revelado a los auditores todas las
deficiencias en el diseño u operación del control interno sobre la
información financiera, identificadas como parte de la evaluación de la
gerencia, incluyendo por separado las revelaciones a los auditores de
todas las deficiencias que considere significativas, o debilidades
materiales del control interno sobre la información financiera;
6) Descripción de cualquier fraude material o cualquier otro fraude, a
pesar de no ser material, que involucre a la Alta Gerencia, la gerencia
media, u otros empleados que tengan un rol significativo en el control
interno de la compañía sobre la información financiera;
7) Declaración que las deficiencias de control identificadas y comunicadas
al comité de auditoría durante auditarías anteriores han sido resueltas,
identificando específicamente aquellas deficiencias que no hayan sido
resueltas; y
8) Declaración sobre si existían, con posterioridad a la fecha del informe,
cualquier cambio en el control interno sobre la información financiera u
otros factores que afecten significativamente el estado de dichos
controles, incluyendo cualquier medida correctiva tomada por la
gerencia con respecto a las deficiencias significativas y las debilidades
materiales.
En una compañía con ubicaciones físicas en distintos lugares, los
ingresos o las cuentas que resulten poco importantes, no necesitan incluirse en
el análisis, a menos que existan riesgos específicos identificados, relacionados
con una o más de estas entidades. La gerencia debe documentar las razones
por las cuales deja fuera del análisis a algunas entidades, debido a que los
auditores externos tendrán que revisar y estar de acuerdo con el análisis
efectuado por la gerencia.
Para las compañías con operaciones descentralizadas o que no cuenten
con procesos y controles comunes que cubran toda la operatoria, excepto una
porción inmaterial de cuentas y procesos importantes, será difícil lograrlo,
RESPONSABILIDAD CORPORATIVA
debido a que la estructura corporativa podría incluir cientos de entidades
independientes. No obstante, estas compañías deben desarrollar las bases para
sus argumentos sobre la efectividad de los controles internos. Estas
situaciones necesitarán especial consideración por parte de la gerencia y el
auditor externo además de una minuciosa evaluación para determinar la
inclusión en el alcance inicial del trabajo (scope), teniendo en cuenta la
situación actual y futura de dichas entidades, como ser resultados pasados,
presentes y esperables y cambios en la composición societaria (fusiones,
adquisiciones, escisiones, etc.).
Existen funciones dentro de una empresa que a veces resulta
conveniente terciarizar, como ser: administración de personal, administración
de redes y tecnología informática, recursos humanos, liquidación de sueldos y
jornales, y hasta el proceso completo de registración contable. Cuando se
utiliza una empresa externa que ofrece servicios en lugar de un proceso
interno, la responsabilidad de la gerencia con respecto al control interno no
cambia, incluyendo la responsabilidad por diagnosticar, probar y supervisar
los controles. Cabe destacar que, algunos controles podrían encontrarse en las
oficinas de la compañía que se ocupa de las funciones terciarizadas por lo que
la gerencia podría tener limitaciones en el acceso para evaluar dichos
controles. No obstante, la gerencia puede satisfacerse de que existen controles
efectivos funcionando sobre las transacciones que realiza la organización de
servicios terciarizados. Esto se puede lograr de diferentes maneras. El
mecanismo que utiliza la profesión contable para asegurarse que los controles
funcionan efectivamente es verificar que la organización de servicios contrate
una auditoría para que aplique procedimientos y emita un informe de control
interno sobre el procesamiento de información de la entidad.
El informe sobre los controles internos se discute en el Pronunciamiento
N° 70 de auditoría del AICPA (SAS 70) "Organizaciones de servicios". El
informe delineado en el SAS 70 fue diseñado como una comunicación de
auditor a auditor sobre el funcionamiento de los controles internos sobre el
procesamiento u otras funciones ejecutadas por la organización de servicios.
Este tipo de informe solamente evalúa el funcionamiento del control interno
sobre la función ejecutada, por lo que no es suficiente para cumplir con los
requerimientos de la Sección 404. El informe debe abarcar ambos, el diseño y
la eficacia con que funciona el control interno.
Los informes que se emiten de acuerdo con el SAS 70 deben ser
oportunos para brindar seguridad a los auditores externos de la compañía. Un
informe fechado con una anterioridad mayor a un año al informe requerido
por la compañía provee poca evidencia sobre la efectividad actual de los
controles internos. Los informes fechados más cerca de la fecha del informe
de la compañía proveen una evidencia mucha más sólida sobre la efectividad
 LA LEY SARBANES OXLEY
del control interno. Cabe agregar que la SEC ha aprobado la utilización de
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
un informe SAS 70 Type II Report, que ahora cumple con los requerimientos
de la Ley.
La gerencia también debe asegurarse que los controles y funciones
contenidos en el informe del auditor sobre la organización de servicios
deben ser de interés para la compañía.
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
Cuando no está disponible el informe de auditoría de la organización
de servicios, no es relevante o no es oportuno, o no cubre la eficacia
operativa de los controles, la gerencia debe obtener información de la
compañía de servicios para sostener las afirmaciones sobre la efectividad de
los controles de la compañía. Es difícil obtener acceso a los registros y
procesos de la organización de servicios por lo que el tema debe estar
cubierto en el acuerdo contractual entre la organización de servicios y la
compañía. También esto puede generar una dificultad para la empresa
externa que presta los servicios terciarizados dado que podría tener muchos
clientes que cotizan en bolsa o diferentes firmas contables, y todos
necesitarían tener acceso a esta información.
Una respuesta por parte de las empresas que prestan servicios de
outsourcing a compañías sería programar la elaboración de informes sobre
los controles internos cada 6 meses para acomodarse a diferentes cierres de
ejercicios. Los procedimientos y pruebas relacionadas que se aplican
también deben alinearse con los requerimientos de la Sección 404.
En cuanto a las herramientas disponibles para documentar el trabajo
de relevamiento, no existe un formato o requerimiento específico definido
en cuanto a la documentación de los controles internos. Se pueden utilizar
flujogramas, descripciones de procesos, narrativas y otras técnicas para
complementar la documentación de los controles. También pueden utilizarse
aplicaciones como Excel, Word e incluso documentación manual, aunque
una aplicación informática puede ayudar a las compañías a documentar
consistentemente los controles y procesos y facilitar la actualización y
control de la versión del programa. Los programas de computación
"enlatados'" son que se utilizan ahora. Nuevos programas aparecen
constantemente en el mercado para ayudar a las compañías a documentar los
controles. Algunas firmas contables de reconocida trayectoria internacional
tienen programas en el mercado, diseñados para administrar las prácticas de
las compañías y los resultados de las pruebas de cumplimiento para probar
los controles. Algunos de estos programas resultan muy útiles cuando
permiten redactar las prácticas de control en textos resumidos, y dejar
documentado todo el proceso de revisión, comentarios, recomendaciones,
responsables asignados, notificación automática de novedades a las casillas
RESPONSABILIDAD CORPORATIVA
de correo de dichos responsables, acciones correctivas tomadas, plazos,
fechas o vencimientos de tareas, además de generar estadísticas sobre el
avance del proyecto en sus diferentes etapas, abiertos por procesos y/o
locaciones y los resultados que se van obteniendo. La selección de una
herramienta o programa de computación apropiado a la entidad y sus
características particulares es una responsabilidad importante del líder del
proyecto.
Indistintamente de la utilización de una aplicación informática u otro
método, la documentación de los controles comenzará generalmente con los
objetivos de control. El marco conceptual utilizado (por ejemplo COSO)
servirá como punto de partida para definir algunos objetivos de control
genéricos. Podría ser necesario adaptar esto a la medida de algunas industrias
específicas como Bancos o Aseguradoras: también estarán presentes algunos
elementos del gerente de proyecto para elaborar a la medida algunos
objetivos de control que se utilizan en la industria. Los controles que
sustentan cada objetivo se articulan entonces, indistintamente de que sean
controles preventivos o detectivos en su naturaleza.
La documentación de los controles debe elaborarse con un grado
suficiente de detalle para comunicar:
1) El diseño de los controles sobre las afirmaciones significativas
relacionadas con las cuentas contables y revelaciones importantes;
2) Cómo se inician las transacciones y procesos, autorizan, registran,
procesan e informan, con el grado suficiente de detalle para ayudar a
los auditores en las tareas de relevamiento de procesos y circuitos; y
3) Los puntos en el proceso donde puedan ocurrir error o fraude.
El siguiente ejemplo ilustra la relación entre un objetivo de control,
riesgo, actividades de control y afirmaciones de la gerencia o management
assertions relacionadas con el objetivo de control.
 LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA

Ejemplo: Ciclo de Sueldos / Recursos Humanos 2) Controles sobre los procedimientos utilizados para ingresar totales
de transacciones en los diarios y auxiliares;
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.

3) Controles sobre la selección y aplicación de políticas contables;

4) Diseño e implementación de programas antifraude;
Objetivo de Actividad de 5) Controles sobre los procesos de cierre trimestrales y anuales (por
Proceso Riesgo Afirmaciones
control control
ejemplo: consolidación, ajustes, eliminaciones y
Procesamient Los sueldos son Montos Los registros de Existencia y reclasificaciones);
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.

o de sueldos. procesados incorrectos son horas son exactitud. 6) Controles, incluyendo controles generales de tecnología de la
íntegra y pagados a los revisados y información, en que otros controles dependen. Por ejemplo, la
exactamente. empleados. aprobados por cada
responsable de
integridad del sistema financiero disminuye potencialmente
departamento. cuando la seguridad de los sistemas no es la adecuada;
7) Controles sobre transacciones no rutinarias y no sistemáticas como
Se efectúan Exactitud. cuentas que involucran el juicio profesional y las estimaciones, y
cálculos las registraciones de tales ajustes;
independientes del
sueldo proyectado 8) Controles sobre la salvaguarda de activos, controles preventivos o
y se lo compara defectivos para resguardar los estados financieros de errores
con el sueldo debido a pérdidas o robos; y
actual. 9) Controles a nivel corporativo (company-level controls),
incluyendo el ambiente de control, políticas de ética y conducta,
El sueldo actual es Integridad y
comparado con el exactitud. conformación y funcionamiento del comité de auditoría, canales y
presupuesto. tratamiento de denuncias, proceso de evaluación de riesgos, otros
procesos y controles centralizados, y controles de cierre de
ejercicio de los estados financieros consolidados (trimestrales y
La documentación debería relacionar los controles (o el proceso anuales).
identificado) con las afirmaciones relevantes de la gerencia sobre los
estados financieros (por ejemplo, integridad, existencia, valuación, Asimismo debería considerarse:
clasificación, derechos y obligaciones v presentación y revelación) para 1) El riesgo que una falla de control pueda generar un error material;
asegurar que los controles atienden los objetivos de control. La utilización 2) El diseño y efectividad con que funcionan los controles;
de cualquier otro método para identificar las afirmaciones también es 3) Si una deficiencia identificada en los controles internos constituye
aceptable. una deficiencia significativa o debilidad material; y
Las afirmaciones de la gerencia, documentación de los controles y 4) Comunicar cualquier observación a los auditores y otras partes
resultados de las pruebas aplicadas deberían archivarse anualmente y estar interesadas.
disponibles en un medio de archivo magnético o manual que cumpla con
los requerimientos legales, estatutarios, y las normas y procedimientos Un elemento importante del marco conceptual COSO es el ambiente
internos de la compañía, aunque nunca por un plazo menor a 7 años, el de control. Comprende un número importante de componentes, incluyendo:
cual se encuentra definido en el Pronunciamiento N° 3 del PCAOB. 1) Integridad y valores éticos;
El trabajo de la compañía debería concentrarse e incluir por lo 2) Filosofía y estilo de la gerencia;
menos los siguientes controles: 3) Asignación de autoridad y responsabilidad;
1) Controles sobre el proceso de iniciación, autorización, registración, 4) Gobierno - Junta de Directores y comité de auditoría;
procesamiento y comunicación de las cuentas y revelaciones 5) Compromiso con la competencia;
significativas, y las afirmaciones relacionadas, dentro de los estados 6) Estructura organizacional; y
financieros; 7) Políticas y prácticas de recursos humanos.
 LA LEY SARBANES OXLEY
A pesar de que estos son elementos subjetivos, la gerencia debe
evaluarlos y documentar cómo la compañía ha tratado cada uno. Debido a que
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
el auditor externo también deberá evaluar estos factores, una buena
documentación facilitará la tarea de revisión de auditoría.
La compañía también debería evaluar la efectividad del comité de
auditoría. Al realizar esta evaluación, las compañías generalmente revisarán el
estatuto del comité y examinarán la independencia de sus miembros con
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
relación a la gerencia de la compañía, como así también las relaciones con los
auditores internos, el director financiero y el director ejecutivo. La gerencia
probablemente ya tenga a su disposición varios de los componentes para
comenzar la documentación del ambiente de control. Los estatutos de la junta
de directores y el comité de auditoría, una política corporativa de ética y un
código de conducta, y manual de políticas y procedimientos de recursos
humanos son generalmente elementos esenciales para el proceso de
documentación.
Los controles generales de TI están concebidos para establecer un marco
de control sobre todos los aspectos del procesamiento informático, por lo tanto
afectan a varias aplicaciones Los controles generales también brindan
seguridad sobre la operación efectiva de los controles a lo largo del período.
Para poder depender de la operatoria automatizada de los controles sobre el
procesamiento de transacciones rutinarias, estos controles necesitan estar
funcionando en forma efectiva en su lugar.
Los controles generales cubren las siguientes áreas:
1) Ambiente de control TI;
2) Desarrollo e implementación de sistemas,
3) Cambios en programas;
4) Acceso y seguridad; y
5) Operaciones computarizadas.
Los controles generales sobre la organización y segregación de
funciones de los sistemas de información (SI) son diseñados para asegurar que
la organización de los SI es concordante o cubre las necesidades de la
compañía, responde a la gerencia, y mantiene una segregación adecuada de
funciones.
Cabe resaltar que todos los controles relevantes de la compañía deberían
estar documentados como resultado del análisis de las cuentas significativas,
procesos y diferentes ubicaciones. A pesar de que la gerencia haya probado
una porción suficiente de los controles para constituir una base para sus
afirmaciones sobre la efectividad con que opera el control interno, podrían no
haber probado todos los controles en todas las ubicaciones. Por lo tanto, sería
recomendable que cuando la gerencia no pruebe todos los controles y
RESPONSABILIDAD CORPORATIVA
ubicaciones, desarrolle una estrategia de pruebas basadas en la rotación, que
la obligue a visitar y probar controles en lugares que son poco
significativos, aunque en el conjunto pudieren resultar material.
Existen ahorros de costos cuando el auditor externo puede depender
en el mayor grado posible de las pruebas aplicadas por la compañía.
Para poder considerar las pruebas aplicadas por la compañía el auditor
externo necesitará evaluar la objetividad y competencia del trabajo que
sustenta las afirmaciones sobre la efectividad de los controles.
La mayor objetividad de las pruebas aplicadas por la compañía está
presente cuando una tercera parte objetiva o auditor interno aplica las
pruebas. Cuando las pruebas se realizan utilizando personal de la compañía,
la mayor objetividad se logra involucrando empleados de funciones o áreas
independientes de los controles evaluados. La competencia se evalúa a
través del examen de los procedimientos aplicados, y volviendo a aplicar
algunos de los procedimientos. Esto se corrobora, adicionalmente, cuando el
auditor aplica pruebas independientes de los mismos controles y obtiene los
mismos resultados o conclusiones.
Sin embargo, los estándares de auditoría requieren que los
procedimientos de la compañía que resultan de la aplicación de una
auto-evaluación no pueden ser tenidos en cuenta por el auditor
independiente. Existe auto-evaluación del control cuando el empleado que
realiza la prueba de un control es el mismo empleado responsable por la
operación del control. El problema en este caso, es la falta de objetividad del
empleado en la selección de los elementos a probar o la aplicación de la
prueba resulta cuestionable.
La fecha que se conviene para la afirmación de la gerencia sobre la
efectividad de los controles de la compañía es la fecha de cierre del balance.
La ejecución de una porción importante de las pruebas en la primera parte
del ejercicio pone una dependencia considerable en la continuidad del
funcionamiento de los controles a lo largo del año. La gerencia también
necesitará considerar como proyectará los resultados de las pruebas que
aplique al comienzo del ejercicio, al resto del ejercicio (por ejemplo,
mediante la aplicación de pruebas adicionales, observación de la operación
de los controles, y relevamientos adicionales). La planificación de pruebas
trimestrales es una estrategia que algunas compañías consideran para
dosificar el esfuerzo a lo largo del año. Sin embargo, es importante
considerar que el costo de ejecución de las pruebas también incluye el costo
de preparación, selección de la muestra y evaluación de los resultados. Por
lo tanto, diseñar muchas muestras pequeñas es probable que resulte menos
eficiente que diseñar menos muestras de mayor tamaño.
Ciertos controles solamente pueden ser probados en el tiempo o
 LA LEY SARBANES OXLEY
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
período en que están operando. Los cierres trimestrales solamente pueden ser
probados en el transcurso del trimestre. Controles sobre el proceso de
devengamiento o sobre cuentas de reservas o valuaciones, proceso de cierre
de ejercicio, etc., pueden solamente ser observados y probados durante
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
períodos específicos que pueden ser al momento o luego de la fecha de cierre
del ejercicio. En estos casos, la corrección de los desvíos ya no resulta posible
por lo que debe efectuarse la operación en forma correcta la primera vez.
Los costos totales del proyecto tienen dos componentes: costos de la
compañía y costos de auditoría.
Los costos propios de la compañía pueden ser controlados por medio
de:
1) Armado del equipo gerencial apropiado;
2) La realización de diagnósticos críticos, oportunos y objetivos de las
debilidades potenciales;
3) La solidez de las pruebas, particularmente en el primer año, para
identificar debilidades potenciales para su corrección;
4) Correcciones tempranas de las debilidades de control en el proceso; y
5) Preparación de documentación que sea completa, exacta y clara.
Todos estos elementos facilitarán a la auditoría externa independiente la
revisión del proceso de la gerencia y permitirán al auditor depender, en mayor
medida, del trabajo realizado por la gerencia para sustentar las afirmaciones
sobre sus controles. También proveen a la gerencia con una base solida para
extender la documentación a períodos futuros, como así también proveen una
base para reducir el alcance de futuras pruebas y costos de supervisión en
áreas de bajo riesgo.
Por otro lado, cabe destacar que existen secciones de preguntas
frecuentes en las páginas web de la SEC (www.sec.gov) y del PCAOB
(www.pcaobus.org ) donde se comunican los puntos de v.sta sobre las
diferentes dudas que surgen de la Ley y las normativas aplicables.
RESPONSABILIDAD CORPORATIVA
CAPÍTULO VI
NORMA DE AUDITORÍA N° 2
DEL PCAOB:
Auditoría del Control Interno sobre
la Información Financiera
Introducción
Existen muchos cambios en la profesión contable en los Estados
Unidos, que se originaron a partir de los grandes escándalos contables como
Enron o WorldCom, que derivaron en la Ley Sarbanes-Oxley del año 2002.
Dicha Ley concebida para combatir la corrupción y fomentar la
transparencia de la información que se presenta al mercado de valores afectó
la reglas de juego de la profesión contable y por sobre todas las cosas,
revolucionó la práct.ca contable del "attestation", o sea, la acción de
dictaminar en forma independiente sobre los estados contables de las
empresas que cotizan públicamente en los mercados de valores de los
Estados Unidos.
La Ley cambió v agregó requerimientos a las empresas, especialmente
a través de sus Secciones 302 y 404, y creó la Junta de Supervisión sobre las
Firmas Contables que dictaminan sobre los estados contables y el control
interno de las compañías que cotizan públicamente. Esta junta definida en la
Sección 101 de la Ley con el nombre PCAOB (Public Company Accounting
Oversight Board) tiene la potestad, entre otras atribuciones, de emitir
Normativa para regular la práctica de auditoría externa frente a la SEC
(Securities and Exchange Comisión), organismo de los Estados Unidos
equivalente a la Comisión Nacional de Valores en la República Argentina.
Entre otras Normas, dicho organismo emitió la Norma de auditoría N°
2 del PCAOB uAn Audit of Internal Control Over Financial Reporting
 LA LEY SARBANES OXLEY
Performed in Conjunction with an Audit of Financial Statements" emitida a
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
comienzos del 2003, cuyo principal contenido y esencia describiremos en el
presente artículo.
En síntesis, la Ley Sarbanes-Oxley del 2002 requiere a las firmas
contables que auditan compañías públicas que cotizan en las bolsas de valores
de los Estados Unidos que se inscriban con el organismo de contralor
denominado PCAOB (Public Company Accounting Oversight Board) además
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
de la adhesión a los Normas de auditoría emitidas por dicha junta para
aquellos compromisos que involucren empresas que cotizan sus títulos o
deuda en los mercados de valores de los Estados Unidos. La Norma de
auditoría N° 2 exige a los auditores externos la emisión de una opinión acerca
de la efectividad del control interno de las compañías públicas.
El 5 de junio de 2003 la Comisión Nacional de Valores de los Estados
Unidos de América, SEC -Securities and Exchange Commission- emitió la
Comunicación 33-8238 con el fin de regular la implementación de la Sección
404(a) de la Ley Sarbanes-Oxley (SOA), que exige a la gerencia la inclusión
de un informe que presente su evaluación sobre la efectividad del control
interno, en oportunidad de presentar el informe financiero anual a los
accionistas. Los auditores externos de la compañía deben dictaminar e
informar acerca de la evaluación de la gerencia sobre los controles internos
para los ejercicios fiscales que comienzan a la fecha o con posterioridad al 15
de enero de 2005, para aquellas compañías denominadas bajo la definición de
la SEC como "accelerated filers'" y 15 de julio de 2006 para aquellas que
presentan su información financiera bajo la categoría denominada
"nonaccelerated filers". La Norma impone nuevas responsabilidades sobre los
auditores externos de las empresas públicas y en las mismas compañías. En
sus más de 200 páginas define las expectativas para una auditoría del control
interno.
¿Qué implica una auditoría del control interno?
A pesar que la Norma define una auditoría como un compromiso
integrado sobre ambos, los estados contables y el control interno, un análisis
por separado del control interno en dicha auditoría facilita su comprensión.
Allí se identifican los siguientes pasos para una auditoría del control interno, a
saber:
• Planificación de la auditoría.
• Revisión de los procesos de evaluación de la gerencia.
• Comprensión del control interno.
• Prueba y evaluación de la efectividad del diseño.
• Prueba y evaluación de la efectividad de la operación.
RESPONSABILIDAD CORPORATIVA
• Evaluación de la suficiencia de las pruebas.
• Formulación de una opinión sobre la efectividad del control interno
sobre la información financiera de publicación.
• Emisión de un informe sobre el control interno.
• Comunicación de los hallazgos al comité de auditoría y a la
gerencia.
A pesar de que los auditores a menudo aplican los siguientes pasos
en una auditoría de estados contables, una auditoría del control interno
requiere la aplicación de procedimientos más extensos, combinados con
requerimientos nuevos para las prácticas que hasta el momento eran
habituales. Algunos temas claves en la implementación de dichos
requerimientos incluyen lo siguiente:
• Diferenciación entre las responsabilidades de la gerencia y aquellas
del auditor;
• Identificación de las entidades a incluir en el grupo consolidado;
• Selección de las entidades a probar;
• Efectividad en el diseño versus efectividad en la operación:
• Consideración de asuntos referentes a la fecha de cierre;
• Extensión de las pruebas de control;
• Utilización del trabajo de terceros;
• Distinción entre una debilidad material y una deficiencia
significativa; e
• Informar los resultados a la gerencia y a otros usuarios de los
estados contables.
Diferenciación entre las responsabilidades de la gerencia y aquellas del
auditor
Responsabilidad de la gerencia
La Norma de auditoría No. 2 requiere lo siguiente:
• Aceptar la responsabilidad por la efectividad de los controles
internos sobre la información financiera.
• Evaluar la efectividad del control interno sobre la información
financiera, utilizando un enfoque como ser COSO u otro marco de
referencia de reconocida reputación y probada efectividad.
• Respaldar la efectividad del control interno con evidencia
documental suficiente.
• Presentar un diagnóstico escrito sobre la efectividad del control
interno de la compañía a la fecha de cierre de los estados contables
más recientes.
 LA LEY SARBANES OXLEY
La gerencia debe aplicar procedimientos suficientes para respaldar la
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
evaluación del control interno: Al mismo tiempo la Norma prohíbe a la
gerencia la utilización de las pruebas y resultados aplicados por los auditores
externos, como respaldo o sustento de la propia evaluación de la efectividad
del control interno.
La falta de cumplimiento de los requisitos arriba descriptos obliga a los
auditores externos a la no emisión de una opinión debido a una limitación en
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
el alcance.
Responsabilidad del auditor
La Norma de auditoría No. 2 requiere al auditor lo siguiente:
• Comprender y evaluar el proceso de la gerencia para el diagnóstico de
la efectividad de los controles internos sobre la información financiera.
• Planificar y dirigir la auditoría de los controles internos.
• Sobre la base de la auditoría, emitir una opinión sobre el diagnóstico
escrito de la gerencia sobre la efectividad del control interno de la
compañía.
• Esta opinión incorpora la opinión del auditor sobre la efectividad de los
controles internos de la compañía sobre la información financiera.
• Los requerimientos aumentan las responsabilidades requeridas para una
auditoría de los estados contables.
Identificación de las entidades a incluir en el grupo consolidado
En general, el alcance de una auditoría del control interno incluye las
entidades sobre las cuales la gerencia tiene la influencia suficiente para
afectar el control interno:
Selección de las entidades a probar
En un ambiente o contexto de negocios global, el auditor debe decidir
donde hacer hincapié con las pruebas de auditoría, lo cual implica la
evaluación en su conjunto de las entidades dispersas geográficamente, y la
selección de subgrupos que ofrezcan una combinación óptima de efectividad
y eficiencia. La Norma recomienda el siguiente enfoque:
• Identificar las unidades de negocios o ubicaciones geográficas que
resultan individualmente importantes.
• Identificar las ubicaciones geográficas con riesgos específicos.
• Cuando, en el agregado, las restantes entidades dispersas
geográficamente resultan poco significativas, no es necesaria ninguna
acción adicional.
• Si las restantes entidades son significativas en el agregado, el auditor
RESPONSABILIDAD CORPORATIVA
debe evaluar los controles que operan a nivel de compañía sobre
dichas entidades a través de la verificación de documentación y
aplicación de los controles necesarios.
• Los controles a nivel de compañía incluyen aquellos denominados
como "generales" como ser: El ambiente de control y el tono desde la
dirección, la función de auditoría, los controles de supervisión para
monitorear las operaciones, el proceso de evaluación de riesgos: y los
controles relacionados con el cierre de los estados contables.
Efectividad en el diseño versus efectividad en la operación
La efectividad en el diseño corresponde a la ingeniería del control, o
sea su diseño propiamente dicho, cuando la efectividad de la operación del
control involucra a la aplicación de dicho control para prevenir o detectar
errores o irregularidades en forma oportuna. Por ejemplo, una conciliación
diaria de las cobranzas en efectivo no se encuentra efectivamente diseñada
cuando es la cajera quien efectúe dicha conciliación. Pero si una persona
independiente de la función es designada para realizar dicha conciliación y
existen procedimientos que se encuentran adecuadamente documentados,
se considera al diseño efectivo el diseño del control. El control no opera en
forma efectiva cuando la persona independiente designada para realizar la
conciliación no lo hace diariamente o lo realiza en forma errónea o con
errores importantes.
Consideración de asuntos referentes a la fecha de cierre de los estados
contables
Una diferencia importante entre una auditoría de estados contables y
una de control interno es la oportunidad que existe para corregir
deficiencias. Una compañía puede corregir errores materiales detectados
durante una auditoría de estados contables, simplemente aceptando los
ajustes propuestos por los auditores externos. Por otro lado, si el auditor
detecta un error material relacionado con una debilidad del control interno,
podría no haber tiempo para solucionar dicha debilidad. Debido a que la
opinión del dictamen de auditoría que se emite sobre los estados contables
hace referencia a un estado de situación a una fecha determinada, es posible
emitir una opinión adversa sobre el control interno cuando existe una
debilidad material, y al mismo tiempo una opinión sin salvedades sobre los
estados contables a la misma fecha.
Las debilidades materiales pueden ser corregidas cuando son
detectadas a tiempo.
Es importante destacar la responsabilidad y oportunidad con que
cuenta la gerencia para corregir una debilidad en el control interno de modo
 LA LEY SARBANES OXLEY
tal que los auditores puedan probar las modificaciones implementadas o
cambios producidos, con suficiente antelación a la fecha de cierre de los
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
estados contables. Pollo tanto, los auditores deberían comenzar la auditoría
del control interno con tiempo suficiente para corregir las debilidades
detectadas. La Norma de auditoría indica que la opinión del auditor sobre el
control interno hace referencia tanto a la fecha de cierre de los estados
contables, que es la misma fecha de la auditoría del control interno, como al
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
período cubierto por la auditoría en su conjunto.
Para expresar una opinión sobre la efectividad del control interno sobre
la información financiera a una fecha determinada, el auditor debe obtener
evidencia de que el control interno sobre la información financiera ha
operado en forma efectiva durante una porción suficiente del período, que
podría ser menor al período entero cubierto por los estados contables de la
compañía. Para expresar una opinión sobre la efectividad del control interno
sobre la información financiera, tomada en su conjunto, el auditor debe
obtener evidencia de la efectividad del control interno sobre todas las
afirmaciones de la gerencia que resultan relevantes, asociadas a las cuentas y
revelaciones significativas de los estados contables. Esto implica que el
auditor deba probar la efectividad en el diseño y operación del control interno
sobre la información financiera, lo cual normalmente no probaría si estaría
emitiendo una opinión solamente sobre los estados contables de la compañía.
El control interno tomado en su conjunto
El auditor aplica su juicio profesional y experiencia para identificar
aquellas cuentas consideradas en el umbral de significativas, o más que
materiales. Las características cualitativas para la identificación de las
cuentas que se aplican en este ejercicio mental también deben ser tenidas en
cuenta. Por ejemplo, saldos de inversiones que a simple vista no resultan
importantes, pueden ocultar su verdadera naturaleza en los estados contables,
ya que pueden surgir de inversiones en compañías parcialmente
consolidadas, o involucrar garantías por deudas. Las cuentas altamente
líquidas o que involucran estimaciones importantes por parte de la gerencia
implican riesgos mayores que otras cuentas. Por ejemplo: Caja o Inversiones
para la venta.
El control interno tomado a un punto en el tiempo
Los procedimientos de control interno pueden relacionarse con los
flujos de transacciones o los saldos de las cuentas contables. Ejemplos de
controles relacionados con los flujos de transacciones incluyen la aprobación
de desembolsos en efectivo, la generación de un listado preliminar de
cobranzas, la aprobación de ventas a crédito, el cotejo de las órdenes de
RESPONSABILIDAD CORPORATIVA
compra con la documentación de respaldo como ser las facturas de los
proveedores y los reportes de recepción de bienes y servicios, al momento
de contabilizar las cuentas por pagar a dichos proveedores. Los controles
sobre los saldos contables incluyen la conciliación de las cuentas de bancos,
la conciliación de los registros contables de las subsidiarias con las cuentas
de control, los procedimientos para la toma de inventarios, y los controles
para la preparación de los estados contables. Los controles sobre la
compañía en su conjunto, que hacen al funcionamiento de toda la
organización, incluyen los factores que se incluyen en el ambiente de
control. Dichos controles y aquellos que se aplican sobre los flujos de
transacciones operan en forma continua a lo largo del período. Los controles
que se aplican sobre los saldos de las cuentas contables, operan con menor
frecuencia. Las conciliaciones bancadas se realizan una vez por mes cuando
los controles sobre los flujos de efectivo son continuos.
Consideraciones del Tiempo
Los controles deben operar durante un tiempo sustancial, que puede
ser menor al período cubierto por los estados contables anuales, para
proveer confianza suficiente en las pruebas de control. Por lo tanto, el
auditor puede efectuar varias observaciones sobre los controles que operan
solamente a un punto en el tiempo. Los controles que operan con menor
frecuencia deben ser probados más cerca de la fecha de cierre de los estados
contables. Estos controles incluyen la preparación periódica de los' estados
contables, los controles sobre los saldos individuales de las cuentas de los
estados contables, y las transacciones no rutinarias. Consideremos el caso
de una compañía que aplica los procedimientos de conciliación de los
diarios auxiliares de cuentas por cobrar solamente al cierre del año contable,
o sea al finalizar diciembre para el caso de cerrar el ejercicio fiscal al 31 de
diciembre. El auditor debería concluir que tan solo una observación no sería
suficiente para evaluar la efectividad en la operación del control interno. No
obstante, la Norma requiere una opinión a un punto en el tiempo, es a la
fecha de cierre del ejercicio de la compañía.
Extensión de las pruebas de control
La Norma requiere al auditor acumular evidencia sobre la efectividad
del control interno sobre las afirmaciones de la gerencia inmersas en las
cuentas significativas de los estados contables, cada período. Cada año debe
volver a ser evaluado independientemente del año anterior. Lo mencionado,
implica que el auditor debe variar la naturaleza, extensión y oportunidad de
los procedimientos que aplica de un año al siguiente, con el fin de
considerar factores impredecibles y responder al entorno cambiante. Ejem-
 LA LEY SARBANES OXLEY
plos de estas variaciones incluyen modificar el número de pruebas aplicadas
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
y la combinación de los procedimientos de auditoría.
¿Cuánto se debe probar?
El auditor debe generalmente aplicar suficientes procedimientos de
auditoría para obtener un nivel de confianza alto, en el rango de 95% a 99%,
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
que los controles están en condiciones de prevenir, detectar o corregir
errores importantes en cualquier afirmación particular sobre los elementos
de los estados contables. No obstante, muchos procedimientos de auditoría
son difíciles de cuantificar. Procedimientos que implican aprobación y
conciliación de saldos normalmente generan una pista de auditoría con
evidencia. Por otro lado, muchos controles involucran la segregación de
funciones y factores asociados al ambiente de control, como la filosofía y
estilo de la gerencia, los cuales dejan muy poca evidencia documental sobre
la ejecución u operación de dicho control, por lo tanto, el auditor debe en
estas circunstancias evaluar subjetivamente la probabilidad de efectividad de
dichos controles.
Los resultados de las pruebas sustantivas proveen otra oportunidad
para evaluar la efectividad de los controles. Por ejemplo, si el auditor
descubre una debilidad previa, que no fue identificada oportunamente,
entonces podría decidir que los controles relacionados con la debilidad no
funcionan en forma efectiva y que existe una debilidad material que implica
la emisión de una opinión adversa sobre los controles internos. Incluso, las
debilidades o deficiencias no significativas pueden señalar la existencia de
controles no efectivos.
Rotación de las pruebas
A pesar que la Norma prohíbe la rotación de pruebas de auditoría
sobre varios ejercicios, una reducción en la cantidad de pruebas se considera
razonable cuando las condiciones no han cambiado sustancialmente y los
controles no han sufrido cambios de un período al siguiente. Por ejemplo,
asumamos que se aplicaron pruebas extensas sobre inventarios en el período
2004. Si en el 2005 no hubo cambios importantes sobre los controles ya
relevados y probados, la compañía podría razonablemente decidir una
reducción en las pruebas de los controles sobre inventarios en el 2005.
Utilización del trabajo de terceros
El auditor puede utilizar el trabajo de personal competente del cliente,
siempre y cuando el trabajo propio del auditor constituya la principal fuente
de evidencia que sustente la opinión. Evidencia principal no debe ser
interpretada de manera cuantitativa únicamente, ya que el auditor podría
RESPONSABILIDAD CORPORATIVA
basarse extensamente en algunas pruebas aplicadas por personal del cliente
y al mismo tiempo depositar poca confianza en otras.
Las siguientes consideraciones deben tenerse en cuenta al tomar el
trabajo de terceros como parte del trabajo propio:
A mayor importancia y grado de juicio necesario inherente en una
cuenta contable, menor debería ser la confianza o respaldo que el auditor
deba tomar en los procedimientos aplicados por el cliente. Inversamente, el
auditor puede basarse en el trabajo de terceros efectuado sobre cuentas que
resultan rutinarias y requieren de poco juicio profesional para su prueba o
análisis.
Donde exista un riesgo potencial significativo de fraude gerencial, es
poca la confianza que puede depositarse en el trabajo realizado por el
personal del cliente.
Evaluación de deficiencias
Para formular una opinión sobre el control interno, el auditor necesita
evaluar toda la evidencia obtenida, incluyendo aquella obtenida durante la
auditoría de los estados contables. Una opinión sin salvedades resulta
apropiada únicamente en ausencia de debilidades materiales sobre el control
interno.
De acuerdo con La Norma existe una deficiencia del control interno
cuando el diseño u operación del control impide la prevención o detección
oportuna de un error en los estados contables. Una deficiencia significativa
afecta la capacidad de la compañía para procesar confiablemente y emitir
información financiera de modo tal que exista más de una posibilidad
remota de que los estados contables sufran un impacto de una manera que
resulta sustancial aunque no material (mayor grado de impacto). Por
ejemplo, supongamos que una compañía no concilia las transacciones entre
compañías. Si el auditor considera que el impacto de cualquier error
resultante sea significativo aunque no material, entonces consideraría a la
debilidad del control como una deficiencia significativa.
La Norma define una debilidad material como una deficiencia
significativa o combinación de deficiencias significativas que resultan en
más de una probabilidad remota que un error material en los estados
contables no sea prevenido o detectado. El auditor debe evaluar las
deficiencias identificadas para determinar cuáles deberían ser clasificadas
como deficiencias significativas, y considerar si alguna de estas deficiencias
significativas debería ser calificada como una debilidad material.
Se requiere de un juicio profesional sustancial para evaluar la
importancia de una deficiencia, incluyendo la consideración del auditor de
lo siguiente:
 LA LEY SARBANES OXLEY
• El potencial de que ocurra un error, en lugar de si un error ha
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
efectivamente ocurrido;
• El impacto de la deficiencia, incluyendo los montos de las
transacciones expuestas y el volumen de las transacciones
involucradas en las cuentas afectadas;
¿Cómo es la interacción entre los controles, su interdependencia, y
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
cómo afectan las redundancias en el funcionamiento del control?
Para ilustrar la interdependencia y redundancia, consideremos un
ejemplo donde el encargado de un depósito de materiales mantiene los
registros del inventario y al mismo tiempo efectúa los conteos físicos de
inventarios. A pesar de que esta debilidad podría considerarse material, los
controles redundantes que se aplican adicionalmente a los controles
existentes, reducen el riesgo potencial que a priori se visualiza en este
esquema. Si el encargado de depósito forma parte de varios grupos de
trabajo que utilizan procedimientos predefinidos y aprobados por la
compañía, como ser conteos debidamente supervisados, la debilidad de
control se mitiga sustancialmente y ya no sería considerada como una
debilidad material típica.
Distinción entre una debilidad material y una deficiencia significativa
La distinción entre una deficiencia significativa y una debilidad
material resulta a menudo subjetiva. La característica que distingue una
debilidad material es la existencia de más de una probabilidad remota de que
un error material no será prevenido o detectado. La determinación de lo que
constituye una debilidad material resulta difícil y requiere de la experiencia
y el juicio profesional, en el contexto del análisis de la situación en su
conjunto, como señaláramos para el ejemplo del encargado de almacén
realizando conteos de inventarios y manteniendo los registros de dichos
conteos.
La Norma no define el término “remoto” por lo tanto, una alternativa
práctica para la evaluación de las debilidades de control interno consiste en
la aplicación de los siguientes pasos:
• Estimar el efecto monetario de cada hallazgo identificado;
• Asignar un factor de probabilidad de ocurrencia material a cada
debilidad. Por ejemplo, remoto, razonablemente posible y probable,
con un esquema similar al definido por el pronunciamiento contable
SFAS 5, Contabilizaron de contingencias, del AICPA;
• Enumerar por orden de importancia las debilidades de acuerdo con el
factor de probabilidad de ocurrencia material predefinido;
RESPONSABILIDAD CORPORATIVA
• Clasificar las debilidades con más de una probabilidad remota de
ocurrencia como debilidades materiales;
• Determinar la importancia de las deficiencias restantes, mediante la
consideración o revisión de la estimación del impacto monetario de
cada una;
• Examinar aquellas deficiencias determinadas como significativas
para decidir si una combinación de varias constituye una debilidad
material.
Informar los resultados a la gerencia
Informes de auditoría
La Norma especifica el contenido que debe incluir el informe de
auditoría sobre el control interno. Los auditores deben conocer y considerar
vanos factores, como ser:
El auditor puede emitir informes de auditoría combinados o
separados sobre los estados contables v el control interno. A pesar de que
una opinión sobre los estados contables puede abarcar varios períodos, la
opinión sobre el control interno cubre solamente el período más reciente.
Los informes deben contener la misma fecha, que normalmente es la fecha
del último día de trabajo de campo.
El informe del auditor sobre la conclusión a la que arriba la gerencia
durante su evaluación del control interno, incluye una opinión sobre el
control interno de la compañía.
Existe la posibilidad de que el auditor emita diferentes opiniones en
su informe de auditoría sobre la efectividad del control interno. Puede
emitirse una opinión sin salvedades sobre la evaluación que realizó la
gerencia sobre el control interno, si la conclusión refleja adecuadamente la
realidad del control interno, y al mismo tiempo una opinión adversa sobre
la evaluación independiente sobre el control interno.
Cuando el auditor emite una opinión sin salvedades sobre los estados
contables aunque una opinión adversa sobre el control interno, debido a una
o más debilidades materiales, el informe debe indicar que la auditoría de los
estados contables tomó dichas debilidades en consideración. Esta
información adicional aclara a los lectores del informe de auditoría porqué
se emitió una opinión sin salvedades sobre los estados contables. El auditor
debe incluir un lenguaje similar cuando una opinión adversa sobre el
control interno afecta la opinión sobre los estados contables.
La evaluación inadecuada de la gerencia genera una limitación en el
alcance que requiere de una abstención de opinión, opinión con salvedades
sobre el control interno, o el abandono del compromiso de auditoría.
 LA LEY SARBANES OXLEY

Las prácticas de control interno relacionadas con la información

financiera de publicación, se deben diseñar dentro de un marco de referencia
que entrelace y contenga a su vez los diferentes componentes y procesos
inmersos en la compañía. Si bien la Ley Sarbanes-Oxley no exige un marco
conceptual en particular, ya que existen diversos criterios o enfoques en el
mundo, sugiere la aplicación del enfoque COSO, abreviatura de Committee
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.

of Sponsoring Organizations del Treadway Commission. Este enfoque es de

popular aplicación y aceptación dentro de los Estados Unidos y otros países
y ha sido publicado a comienzos de la década de los 90, luego de varios años
de encuestas y deliberaciones para establecer las mejores prácticas de
auditoría interna entre los principales referentes empresarios y profesionales
de finanzas y contabilidad de varias compañías.
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.