Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
Osmar D. Buyatti
LIBRERÍA EDITORIAL
LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
Daniel Chalupowicz
Responsabilidad Corporativa, Informe COSO, auditoría
interna y externa: la ley Sarbanes Oxley
2a. edición - Buenos Aires: Osmar Buyatti, 2006.
264 p.; 22.5 x 15,5 cm.
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
ISBN 987-1140-42-8
Dedico este libro a mi esposa Karina, mis hijas Camila y Nicole, mi Padre,
fuente de apoyo, inspiración, respeto, y trabajador incansable en la
©2006 by Osmar D. Buyatti
profesión, y a mi madre que ya no está, y se cumple exactamente un año de
Viamonte 1509 (C1055ABC) Buenos Aires – Argentina
su partida el día que terminé de escribir la obra. A todos ellos, mi amor
Tel: (fax) (54-11) 4371 -2512/4812-5492/4811-6173
agradecimiento por su apoyo incondicional.
HTTP://www.osmarbuyatti.com
e-mail: libros@osmarbuyatti.com
I.S.B.N. 10:987-1140-42-8
I.S.B.N. 13: 978-987-1140-42-8
IMPRESO EN ARGENTINA
PRINTED IN ARGENTINA
ÍNDICE
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
PARTE I
La Ley Sarbanes Oxley del 30 de Julio de 2002
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
y el Control Interno
PARTE II
Temas de Auditoría Interna y Externa
PARTE III
Desarrollo Profesional del Auditor
PARTE IV
Anexos
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
8 Daniel Chalupowicz
RESPONSABILIDAD CORPORATIVA
CAPÍTULO V
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
la persona que ejecuta el control no posee la autoridad necesaria o financieros incluidos en el informe anual; y
calificación para ejecutar el control en forma efectiva. 5) Una declaración que exprese que la firma contable ha emitido un informe
2) Una deficiencia significativa es una deficiencia de control o sobre el diagnóstico de la gerencia realizada sobre los controles internos
combinación de más de una deficiencia de control que afecta en forma de la información financiera.
negativa la capacidad de la compañía para iniciar, autorizar, registrar,
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
procesar o comunicar información financiera de la compañía de La gerencia puede elegir entre efectuar ella misma la tarea de
manera confiable, de acuerdo con los principios de contabilidad documentación y prueba de los controles requerida por la Sección 404 de la Ley
aplicables (US G AAP en USA) de modo tal que existe una posibilidad o contratar consultores para realizar el trabajo.
mayor que remota que un error u omisión en los estados financieros Los auditores externos o su personal no pueden prestar ningún tipo de
trimestrales o anuales no pueda prevenirse o detectarse. El SFAS 5 servicio dentro de la compañía, que pueda comprometer la independencia
(trata sobre contingencias) define una posibilidad mayor que remota profesional de la firma. Cualquier servicio que preste el auditor externo
cuando su chance de ocurrir es razonablemente posible o probable. relacionado con el control interno debe estar previamente aprobado por el
3) Una debilidad material es una deficiencia significativa o combinación comité de auditoría. En la práctica hemos visto que existen casos donde las
de deficiencias significativas, que resultan en más que una posibilidad incompatibilidades de funciones son claras y evidentes en cuanto a que la misma
remota que un error u omisión material en los estados financieros firma contable que realiza la auditoría de los estados financieros también
anuales o interinos no pueda prevenirse o detectarse oportunamente. participa en la planificación del trabajo interno que le corresponde a la
compañía, y en las etapas de relevamiento y documentación del diseño de los
La evaluación de la materialidad de una deficiencia de control implica controles, tareas que resultan claramente incompatibles y deterioran la calidad
consideraciones tanto cualitativas como cuantitativas. de la opinión profesional que pudiera emitir la firma contable de auditores
Si una deficiencia significativa es identificada a la fecha de cierre de externos.
los estados financieros, esta debería ser revelada en el informe de la gerencia. El cumplimiento con la Sección 404 de la Ley requiere del diseño e
La gerencia no debería concluir que los controles internos de la compañía implementación de un proyecto a la medida de cada circunstancia y de acuerdo
sobre los estados financieros son efectivos, cuando se han identificado una o con las capacidades internas de la compañía o necesidades externas de
más deficiencias significativas. contratación de recursos adicionales. Algunos aspectos que pueden tenerse en
cuenta para administrar y ejecutar el proyecto de implementación con la Sección
En cuanto al formato que se puede adoptar para el informe, este es
404 son los siguientes:
flexible, de manera de permitir que cada compañía informe los asuntos más
relevantes de su actividad, aunque debería incluir por lo menos los siguientes 1) Identificación de los recursos humanos internos de la compañía con
temas: responsabilidad general por el proyecto:
1) Una declaración de la responsabilidad de la gerencia por establecer y La compañía debe nombrar un responsable que supervise y controle el
mantener un adecuado control interno sobre la información financiera; cumplimiento de los plazos, etapas y objetivos definidos en el proyecto.
2) Una declaración que identifique la metodología o base utilizada por la El proyecto puede tener un Jefe corporativo y luego responsables a nivel
gerencia para evaluar la efectividad de los controles de la compañía regional. Por ejemplo, el Director Financiero de la corporación podría ser
sobre los estados financieros; el responsable máximo del proyecto ante la casa matriz, y si la empresa
cuenta con filiales en los distintos continentes, puede nombrarse una
3) Un diagnóstico de la efectividad con que operan los controles internos persona con dedicación de tiempo completo o comprometer al Contralor
de la compañía sobre la información financiera al cierre del ejercicio Regional o Director Financiero Regional con la supervisión sobre el
contable más reciente, incluyendo una declaración explícita sobre la avance y cumplimiento del proyecto en la región.
efectividad del control interno sobre la información financiera:
Al nivel local puede nombrarse al Director Financiero o Contralor de la
empresa en el país que esta se encuentra ubicada.
LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
2) Identificación del marco conceptual de control interno: internacional deberían tener identificados sus procesos y documentados
La ley no determina un marco conceptual de enfoque para el control los procedimientos que a diario se siguen y aplican en las operaciones,
interno aunque tanto la Comisión Nacional de Valores de los Estados en concordancia con las políticas y manuales de toda la organización.
Unidos - SEC (Securities and Exchange Commission) como el También es conveniente identificar los procesos a evaluar en el proyecto
PCAOB (Public Company Accounting Oversight Board) en con el propósito de documentar los controles y aplicar las pruebas
publicaciones de la SEC y Pronunciamiento N° 2 del PCAOB sugieren correspondientes. Estos procesos muchas veces son comparables a los ciclos
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
que el enfoque y marco conceptual COSO tiene una aceptación que existen para evaluar el control interno de la compañía, aunque el carácter
generalizada en la profesión y las empresas y por lo tanto cumple con es más integral y abarca al control interno en su totalidad. Ejemplos de estos
las necesidades y requerimientos de control interno sobre la ciclos pueden ser: Activos Fijos (los subprocesos pueden ser la contabilización
información financiera que exige la Ley. No obstante, existen otros de los activos fijos, la recepción de inventarios, despachos de inventarios, etc.)
enfoques alternativos a COSO de reconocida reputación en otros e Ingresos (los subprocesos pueden ser facturación, créditos y cobranzas, y
países, como ser: enfoque COCO de Canadá o Cadbury de Inglaterra, reconocimientos de los ingresos).
e incluso Kenig de Sudáfrica. Por lo tanto, otros enfoques de En los anexos II y III a este libro ilustraremos ejemplos de objetivos de
reconocida reputación, sobre todo fuera de los Estados Unidos, control para el proceso de compras y objetivos de control para el proceso
también son aceptables, aunque resultaría más difícil justificar su contable y de reporte financiero.
aplicación. En el anexo I a este libro se ilustra un ejemplo de Luego de evaluar un proceso es conveniente e importante mantener
cuestionario de aplicación COSO. reuniones de cierre con los responsables o process owners involucrados en los
De acuerdo con el iso que se quiera darle. Cabe destacar que es procesos evaluados, definir acciones correctivas a seguir, de existir
necesario adaptar dichas preguntas los Proceso se pueden evaluar, por excepciones en el diseño u operación de un control; ambas etapas deben ser
ejemplo, con formato de matriz, para cada ciclo y sub-ciclo evaluadas, y por último los plazos para atender o remediar las deficiencias que
identificado en la compañía y demás localidades y/o filiales, teniendo resulten de las tareas de diagnóstico y evaluación de los controles.
en cuenta primero los objetivos de Control, los riesgos, las Para llevar adelante la implementación del proyecto debemos
aseveraciones de la gerencia que se quieren mitigar, y las actividades seleccionar un enfoque y plan de trabajo organizado, definiendo y
de control que tengan un impacto sobre la información financiera de la documentando los controles internos relevantes que vayamos a probar, como
compañía, diferenciado prácticas ideales de las reales. así también las herramientas y recursos materiales y humanos necesarios para
3) Identificación de las ubicaciones físicas de las oficinas, sucursales o aplicar y documentar los resultados de las pruebas.
sitios sometidos a la revisión: Al probar los controles identificados para los procesos que definimos, se
realiza un diagnóstico de la efectividad y diseño de los mismos. Este
Se deben planificar las ubicaciones de los lugares u oficinas sujetas a
diagnóstico consiste en evaluar la eficacia con que funcionan los controles.
la revisión, de acuerdo con criterios de materialidad y conocimientos
Puede ocurrir que una práctica de la compañía no se encuentre claramente
de los antecedentes y experiencias en las prácticas de control interno
definida y por lo tanto sea necesario corregir la redacción o documentación
de los objetivos seleccionados. El Pronunciamiento N° 2 del PCAOB
que la compañía elaboró sobre el funcionamiento de sus procesos.
define los pasos a seguir y cuestiones a considerar para planificar el
alcance o "scope" del proyecto. Por ejemplo, una oficina con pocas Los resultados de las pruebas de controles deberían ser comunicados
operaciones y sin antecedentes de incumplimientos o dificultades de oportunamente a los responsables de cada proceso y del proyecto en cada
control podría no seleccionarse para su revisión. En cambio, una oficina local o regional, ya que el objetivo final del proyecto es cumplir con
oficina donde haya existido un escándalo financiero o la Alta Gerencia los requerimientos de la Ley y para ello el tiempo es valioso. Mientras antes se
haya sido despedida por malas prácticas administrativas sería entere la compañía de sus debilidades o deficiencias de control identificadas,
contraproducente no seleccionarla para su revisión. No obstante, todas más tiempo, y posibilidades tendrá para solucionarlas.
las ubicaciones geográficas de una compañía con envergadura Por último, se puede concluir a nivel local y corporativo sobre el estado
del funcionamiento de los controles internos de la compañía.
LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
En la práctica, el orden de las etapas para el diseño e implementación committee o comité de dirección para discutir los asuntos macro o que hacen a
del provecto no es tan estricto. Las oficinas o localidades y/o filiales la planificación y ejecución del proyecto. Estos comités pueden resultar de
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
identificadas en él "scope" pueden ser revisadas en el orden que la logística gran ayuda y centralizar las decisiones de importancia aunque también pueden
y los recursos mejor lo permitan, y el plan puede implementarse de la afectar el avance del proyecto e incurrir en decisiones improductivas cuando
manera más práctica, siempre y cuando se realice dentro de los plazos y sus miembros no tienen la capacitación mínima necesaria que les permita
vencimientos definidos en la Ley y sus reglamentaciones, y las comprender la esencia y requerimientos definidos en la Ley. Los miembros
modificaciones que se realicen sobre dichos plazos que establezca la del equipo operativo responsables de la planificación y ejecución del proyecto
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
Comisión Nacional de Valores de Estados Unidos (SEC). Los plazos necesitarán contar con la habilidad necesaria para tener acceso a la
aplicables eran 15 de noviembre de 2004 para accelerated filers o empresas información y a las personas en la compañía para completar el diagnóstico,
estadounidenses o radicadas en los Estados Unidos, y 15 de julio de 2005 documentación y prueba del control interno sobre la información financiera.
para empresas que presentan sus informes a la SEC bajo la categoría de "non Si la gerencia cree que la administración y ejecución del proyecto no cuenta
accelerated filers", que pueden ser empresas extranjeras cuyas acciones con los recursos humanos suficientes, debería incorporar consultores
coticen en las bolsas de valores de los Estados Unidos. calificados, que normalmente pueden ser otros profesionales, o estudio
El día 2 de marzo de 2005 la SEC ha extendido el plazo de contable diferente al que vaya a efectuar la certificación y auditoría externa.
presentación mediante la publicación de la Resolución N° 33-8545. Las Es conveniente que la evaluación que la gerencia efectúe sobre el
compañías que presenten sus informes anuales mediante los formularios avance y resultados del equipo de trabajo incluya una supervisión continua del
"Form 20-F" y "Form 40-F" lo pueden hacer para el primer cierre contable avance del proyecto y cumplimiento de metas importantes, como así también
de ejercicio que ocurra al 15 de Julio de 2006 o posterior. considerar los comentarios o sugerencias del auditor interno, auditor externo y
Una buena organización de los recursos materiales y humanos de la otros empleados de la compañía.
compañía constituye una ventaja clara y factor de suma importancia para
lograr el éxito y cumplir con los plazos y objetivos del proyecto. A medida Beneficios de utilizar auditores internos o consultores independientes
que el proyecto avanza, si se identifican deficiencias, se pueden corregir y Al considerar el uso de consultores externos para asesorar, administrar o
más tarde volver a probar los controles que presentaron casos con aplicar procedimientos, la gerencia debe saber que existen beneficios
deficiencias a fin de concluir si dichas excepciones detectadas adicionales al involucrar a los auditores internos o recursos externos, que van
oportunamente se solucionaron y se logró la efectividad en la operatoria del más allá de la complementación de la experiencia y talentos de la propia
control. gerencia.
A lo largo de las distintas etapas del proyecto, las recomendaciones u La actitud de la gerencia hacia los nuevos requerimientos
observaciones formuladas por los auditores externos pueden resultar de probablemente determine el éxito y costo final del proyecto. La gerencia debe
ayuda, aunque la responsabilidad por la administración del proyecto y las encarar el proyecto con una actitud positiva y considerar los posibles
decisiones que se tomen siempre recaen en la gerencia de la compañía. Cabe beneficios, y debe prepararse para asignar suficientes recursos calificados para
aclarar que el rol de los auditores externos debería estar limitado a charlas o cumplir con los requerimientos de la Ley.
puntos de vista ante consultas puntuales aunque no es aconsejable que La gerencia debe efectuar representaciones a los auditores externos
asuman un rol activo en la implementación del proyecto porque esto traería durante su auditoría de los estados financieros, y su propia evaluación del
aparejado dudas acerca de la calidad de la opinión posterior que emitan control interno de la compañía. Antes de que el auditor pueda emitir su
como auditores externos, además de afectar negativamente la independencia opinión sobre la evaluación de la gerencia sobre la efectividad de sus
profesional de los mismos. controles y evaluación independiente sobre la efectividad de los controles de
Para contribuir al éxito del proyecto, se necesitará un equipo de la compañía, el auditor necesitará ciertas representaciones escritas de la
profesionales internos y/o externos a la compañía que cuenten con las gerencia, que incluyan, como mínimo, los siguientes puntos:
capacidades y formación técnica necesarias. A nivel organización, el 1) Reconocimiento de la responsabilidad de la gerencia por el
proyecto debería reportar a un nivel apropiado de la gerencia como el establecimiento y mantenimiento de un control interno efectivo sobre la
Director financiero o Controller. Normalmente se conforma un steering información financiera;
LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
2) Declaración que la gerencia ha realizado la evaluación de la efectividad debido a que la estructura corporativa podría incluir cientos de entidades
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
de los controles internos y ha especificado el criterio de control; independientes. No obstante, estas compañías deben desarrollar las bases para
3) Declaración que la gerencia no ha utilizado los procedimientos sus argumentos sobre la efectividad de los controles internos. Estas
ejecutados durante auditorías externas del control interno sobre la situaciones necesitarán especial consideración por parte de la gerencia y el
información financiera como base para la evaluación de la gerencia auditor externo además de una minuciosa evaluación para determinar la
sobre la efectividad de los controles internos sobre la información inclusión en el alcance inicial del trabajo (scope), teniendo en cuenta la
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
financiera; situación actual y futura de dichas entidades, como ser resultados pasados,
4) Declaración que las conclusiones de la gerencia sobre la efectividad de presentes y esperables y cambios en la composición societaria (fusiones,
los controles internos de la compañía sobre la información financiera se adquisiciones, escisiones, etc.).
basan en un criterio de control a una fecha específica; Existen funciones dentro de una empresa que a veces resulta
5) Declaración que la gerencia ha revelado a los auditores todas las conveniente terciarizar, como ser: administración de personal, administración
deficiencias en el diseño u operación del control interno sobre la de redes y tecnología informática, recursos humanos, liquidación de sueldos y
información financiera, identificadas como parte de la evaluación de la jornales, y hasta el proceso completo de registración contable. Cuando se
gerencia, incluyendo por separado las revelaciones a los auditores de utiliza una empresa externa que ofrece servicios en lugar de un proceso
todas las deficiencias que considere significativas, o debilidades interno, la responsabilidad de la gerencia con respecto al control interno no
materiales del control interno sobre la información financiera; cambia, incluyendo la responsabilidad por diagnosticar, probar y supervisar
6) Descripción de cualquier fraude material o cualquier otro fraude, a los controles. Cabe destacar que, algunos controles podrían encontrarse en las
pesar de no ser material, que involucre a la Alta Gerencia, la gerencia oficinas de la compañía que se ocupa de las funciones terciarizadas por lo que
media, u otros empleados que tengan un rol significativo en el control la gerencia podría tener limitaciones en el acceso para evaluar dichos
interno de la compañía sobre la información financiera; controles. No obstante, la gerencia puede satisfacerse de que existen controles
7) Declaración que las deficiencias de control identificadas y comunicadas efectivos funcionando sobre las transacciones que realiza la organización de
al comité de auditoría durante auditarías anteriores han sido resueltas, servicios terciarizados. Esto se puede lograr de diferentes maneras. El
identificando específicamente aquellas deficiencias que no hayan sido mecanismo que utiliza la profesión contable para asegurarse que los controles
resueltas; y funcionan efectivamente es verificar que la organización de servicios contrate
8) Declaración sobre si existían, con posterioridad a la fecha del informe, una auditoría para que aplique procedimientos y emita un informe de control
cualquier cambio en el control interno sobre la información financiera u interno sobre el procesamiento de información de la entidad.
otros factores que afecten significativamente el estado de dichos El informe sobre los controles internos se discute en el Pronunciamiento
controles, incluyendo cualquier medida correctiva tomada por la N° 70 de auditoría del AICPA (SAS 70) "Organizaciones de servicios". El
gerencia con respecto a las deficiencias significativas y las debilidades informe delineado en el SAS 70 fue diseñado como una comunicación de
materiales. auditor a auditor sobre el funcionamiento de los controles internos sobre el
procesamiento u otras funciones ejecutadas por la organización de servicios.
En una compañía con ubicaciones físicas en distintos lugares, los Este tipo de informe solamente evalúa el funcionamiento del control interno
ingresos o las cuentas que resulten poco importantes, no necesitan incluirse en sobre la función ejecutada, por lo que no es suficiente para cumplir con los
el análisis, a menos que existan riesgos específicos identificados, relacionados requerimientos de la Sección 404. El informe debe abarcar ambos, el diseño y
con una o más de estas entidades. La gerencia debe documentar las razones la eficacia con que funciona el control interno.
por las cuales deja fuera del análisis a algunas entidades, debido a que los Los informes que se emiten de acuerdo con el SAS 70 deben ser
auditores externos tendrán que revisar y estar de acuerdo con el análisis oportunos para brindar seguridad a los auditores externos de la compañía. Un
efectuado por la gerencia. informe fechado con una anterioridad mayor a un año al informe requerido
Para las compañías con operaciones descentralizadas o que no cuenten por la compañía provee poca evidencia sobre la efectividad actual de los
con procesos y controles comunes que cubran toda la operatoria, excepto una controles internos. Los informes fechados más cerca de la fecha del informe
porción inmaterial de cuentas y procesos importantes, será difícil lograrlo, de la compañía proveen una evidencia mucha más sólida sobre la efectividad
LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
del control interno. Cabe agregar que la SEC ha aprobado la utilización de de correo de dichos responsables, acciones correctivas tomadas, plazos,
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
un informe SAS 70 Type II Report, que ahora cumple con los requerimientos fechas o vencimientos de tareas, además de generar estadísticas sobre el
de la Ley. avance del proyecto en sus diferentes etapas, abiertos por procesos y/o
La gerencia también debe asegurarse que los controles y funciones locaciones y los resultados que se van obteniendo. La selección de una
contenidos en el informe del auditor sobre la organización de servicios herramienta o programa de computación apropiado a la entidad y sus
deben ser de interés para la compañía. características particulares es una responsabilidad importante del líder del
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
Ejemplo: Ciclo de Sueldos / Recursos Humanos 2) Controles sobre los procedimientos utilizados para ingresar totales
de transacciones en los diarios y auxiliares;
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
o de sueldos. procesados incorrectos son horas son exactitud. 6) Controles, incluyendo controles generales de tecnología de la
íntegra y pagados a los revisados y información, en que otros controles dependen. Por ejemplo, la
exactamente. empleados. aprobados por cada
responsable de
integridad del sistema financiero disminuye potencialmente
departamento. cuando la seguridad de los sistemas no es la adecuada;
7) Controles sobre transacciones no rutinarias y no sistemáticas como
Se efectúan Exactitud. cuentas que involucran el juicio profesional y las estimaciones, y
cálculos las registraciones de tales ajustes;
independientes del
sueldo proyectado 8) Controles sobre la salvaguarda de activos, controles preventivos o
y se lo compara defectivos para resguardar los estados financieros de errores
con el sueldo debido a pérdidas o robos; y
actual. 9) Controles a nivel corporativo (company-level controls),
incluyendo el ambiente de control, políticas de ética y conducta,
El sueldo actual es Integridad y
comparado con el exactitud. conformación y funcionamiento del comité de auditoría, canales y
presupuesto. tratamiento de denuncias, proceso de evaluación de riesgos, otros
procesos y controles centralizados, y controles de cierre de
ejercicio de los estados financieros consolidados (trimestrales y
La documentación debería relacionar los controles (o el proceso anuales).
identificado) con las afirmaciones relevantes de la gerencia sobre los
estados financieros (por ejemplo, integridad, existencia, valuación, Asimismo debería considerarse:
clasificación, derechos y obligaciones v presentación y revelación) para 1) El riesgo que una falla de control pueda generar un error material;
asegurar que los controles atienden los objetivos de control. La utilización 2) El diseño y efectividad con que funcionan los controles;
de cualquier otro método para identificar las afirmaciones también es 3) Si una deficiencia identificada en los controles internos constituye
aceptable. una deficiencia significativa o debilidad material; y
Las afirmaciones de la gerencia, documentación de los controles y 4) Comunicar cualquier observación a los auditores y otras partes
resultados de las pruebas aplicadas deberían archivarse anualmente y estar interesadas.
disponibles en un medio de archivo magnético o manual que cumpla con
los requerimientos legales, estatutarios, y las normas y procedimientos Un elemento importante del marco conceptual COSO es el ambiente
internos de la compañía, aunque nunca por un plazo menor a 7 años, el de control. Comprende un número importante de componentes, incluyendo:
cual se encuentra definido en el Pronunciamiento N° 3 del PCAOB. 1) Integridad y valores éticos;
El trabajo de la compañía debería concentrarse e incluir por lo 2) Filosofía y estilo de la gerencia;
menos los siguientes controles: 3) Asignación de autoridad y responsabilidad;
1) Controles sobre el proceso de iniciación, autorización, registración, 4) Gobierno - Junta de Directores y comité de auditoría;
procesamiento y comunicación de las cuentas y revelaciones 5) Compromiso con la competencia;
significativas, y las afirmaciones relacionadas, dentro de los estados 6) Estructura organizacional; y
financieros; 7) Políticas y prácticas de recursos humanos.
LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
A pesar de que estos son elementos subjetivos, la gerencia debe ubicaciones, desarrolle una estrategia de pruebas basadas en la rotación, que
evaluarlos y documentar cómo la compañía ha tratado cada uno. Debido a que la obligue a visitar y probar controles en lugares que son poco
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
el auditor externo también deberá evaluar estos factores, una buena significativos, aunque en el conjunto pudieren resultar material.
documentación facilitará la tarea de revisión de auditoría. Existen ahorros de costos cuando el auditor externo puede depender
La compañía también debería evaluar la efectividad del comité de en el mayor grado posible de las pruebas aplicadas por la compañía.
auditoría. Al realizar esta evaluación, las compañías generalmente revisarán el Para poder considerar las pruebas aplicadas por la compañía el auditor
estatuto del comité y examinarán la independencia de sus miembros con externo necesitará evaluar la objetividad y competencia del trabajo que
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
relación a la gerencia de la compañía, como así también las relaciones con los sustenta las afirmaciones sobre la efectividad de los controles.
auditores internos, el director financiero y el director ejecutivo. La gerencia La mayor objetividad de las pruebas aplicadas por la compañía está
probablemente ya tenga a su disposición varios de los componentes para presente cuando una tercera parte objetiva o auditor interno aplica las
comenzar la documentación del ambiente de control. Los estatutos de la junta pruebas. Cuando las pruebas se realizan utilizando personal de la compañía,
de directores y el comité de auditoría, una política corporativa de ética y un la mayor objetividad se logra involucrando empleados de funciones o áreas
código de conducta, y manual de políticas y procedimientos de recursos independientes de los controles evaluados. La competencia se evalúa a
humanos son generalmente elementos esenciales para el proceso de través del examen de los procedimientos aplicados, y volviendo a aplicar
documentación. algunos de los procedimientos. Esto se corrobora, adicionalmente, cuando el
Los controles generales de TI están concebidos para establecer un marco auditor aplica pruebas independientes de los mismos controles y obtiene los
de control sobre todos los aspectos del procesamiento informático, por lo tanto mismos resultados o conclusiones.
afectan a varias aplicaciones Los controles generales también brindan Sin embargo, los estándares de auditoría requieren que los
seguridad sobre la operación efectiva de los controles a lo largo del período. procedimientos de la compañía que resultan de la aplicación de una
Para poder depender de la operatoria automatizada de los controles sobre el auto-evaluación no pueden ser tenidos en cuenta por el auditor
procesamiento de transacciones rutinarias, estos controles necesitan estar independiente. Existe auto-evaluación del control cuando el empleado que
funcionando en forma efectiva en su lugar. realiza la prueba de un control es el mismo empleado responsable por la
Los controles generales cubren las siguientes áreas: operación del control. El problema en este caso, es la falta de objetividad del
1) Ambiente de control TI; empleado en la selección de los elementos a probar o la aplicación de la
2) Desarrollo e implementación de sistemas, prueba resulta cuestionable.
3) Cambios en programas; La fecha que se conviene para la afirmación de la gerencia sobre la
4) Acceso y seguridad; y efectividad de los controles de la compañía es la fecha de cierre del balance.
5) Operaciones computarizadas. La ejecución de una porción importante de las pruebas en la primera parte
del ejercicio pone una dependencia considerable en la continuidad del
Los controles generales sobre la organización y segregación de funcionamiento de los controles a lo largo del año. La gerencia también
funciones de los sistemas de información (SI) son diseñados para asegurar que necesitará considerar como proyectará los resultados de las pruebas que
la organización de los SI es concordante o cubre las necesidades de la aplique al comienzo del ejercicio, al resto del ejercicio (por ejemplo,
compañía, responde a la gerencia, y mantiene una segregación adecuada de mediante la aplicación de pruebas adicionales, observación de la operación
funciones. de los controles, y relevamientos adicionales). La planificación de pruebas
Cabe resaltar que todos los controles relevantes de la compañía deberían trimestrales es una estrategia que algunas compañías consideran para
estar documentados como resultado del análisis de las cuentas significativas, dosificar el esfuerzo a lo largo del año. Sin embargo, es importante
procesos y diferentes ubicaciones. A pesar de que la gerencia haya probado considerar que el costo de ejecución de las pruebas también incluye el costo
una porción suficiente de los controles para constituir una base para sus de preparación, selección de la muestra y evaluación de los resultados. Por
afirmaciones sobre la efectividad con que opera el control interno, podrían no lo tanto, diseñar muchas muestras pequeñas es probable que resulte menos
haber probado todos los controles en todas las ubicaciones. Por lo tanto, sería eficiente que diseñar menos muestras de mayor tamaño.
recomendable que cuando la gerencia no pruebe todos los controles y Ciertos controles solamente pueden ser probados en el tiempo o
LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
período en que están operando. Los cierres trimestrales solamente pueden ser
probados en el transcurso del trimestre. Controles sobre el proceso de
devengamiento o sobre cuentas de reservas o valuaciones, proceso de cierre
de ejercicio, etc., pueden solamente ser observados y probados durante CAPÍTULO VI
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
Performed in Conjunction with an Audit of Financial Statements" emitida a • Evaluación de la suficiencia de las pruebas.
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
comienzos del 2003, cuyo principal contenido y esencia describiremos en el • Formulación de una opinión sobre la efectividad del control interno
presente artículo. sobre la información financiera de publicación.
En síntesis, la Ley Sarbanes-Oxley del 2002 requiere a las firmas • Emisión de un informe sobre el control interno.
contables que auditan compañías públicas que cotizan en las bolsas de valores • Comunicación de los hallazgos al comité de auditoría y a la
de los Estados Unidos que se inscriban con el organismo de contralor gerencia.
denominado PCAOB (Public Company Accounting Oversight Board) además
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
de la adhesión a los Normas de auditoría emitidas por dicha junta para A pesar de que los auditores a menudo aplican los siguientes pasos
aquellos compromisos que involucren empresas que cotizan sus títulos o en una auditoría de estados contables, una auditoría del control interno
deuda en los mercados de valores de los Estados Unidos. La Norma de requiere la aplicación de procedimientos más extensos, combinados con
auditoría N° 2 exige a los auditores externos la emisión de una opinión acerca requerimientos nuevos para las prácticas que hasta el momento eran
de la efectividad del control interno de las compañías públicas. habituales. Algunos temas claves en la implementación de dichos
El 5 de junio de 2003 la Comisión Nacional de Valores de los Estados requerimientos incluyen lo siguiente:
Unidos de América, SEC -Securities and Exchange Commission- emitió la • Diferenciación entre las responsabilidades de la gerencia y aquellas
Comunicación 33-8238 con el fin de regular la implementación de la Sección del auditor;
404(a) de la Ley Sarbanes-Oxley (SOA), que exige a la gerencia la inclusión • Identificación de las entidades a incluir en el grupo consolidado;
de un informe que presente su evaluación sobre la efectividad del control • Selección de las entidades a probar;
interno, en oportunidad de presentar el informe financiero anual a los
• Efectividad en el diseño versus efectividad en la operación:
accionistas. Los auditores externos de la compañía deben dictaminar e
informar acerca de la evaluación de la gerencia sobre los controles internos • Consideración de asuntos referentes a la fecha de cierre;
para los ejercicios fiscales que comienzan a la fecha o con posterioridad al 15 • Extensión de las pruebas de control;
de enero de 2005, para aquellas compañías denominadas bajo la definición de • Utilización del trabajo de terceros;
la SEC como "accelerated filers'" y 15 de julio de 2006 para aquellas que • Distinción entre una debilidad material y una deficiencia
presentan su información financiera bajo la categoría denominada significativa; e
"nonaccelerated filers". La Norma impone nuevas responsabilidades sobre los • Informar los resultados a la gerencia y a otros usuarios de los
auditores externos de las empresas públicas y en las mismas compañías. En estados contables.
sus más de 200 páginas define las expectativas para una auditoría del control
interno. Diferenciación entre las responsabilidades de la gerencia y aquellas del
auditor
¿Qué implica una auditoría del control interno?
A pesar que la Norma define una auditoría como un compromiso Responsabilidad de la gerencia
integrado sobre ambos, los estados contables y el control interno, un análisis La Norma de auditoría No. 2 requiere lo siguiente:
por separado del control interno en dicha auditoría facilita su comprensión. • Aceptar la responsabilidad por la efectividad de los controles
Allí se identifican los siguientes pasos para una auditoría del control interno, a internos sobre la información financiera.
saber: • Evaluar la efectividad del control interno sobre la información
• Planificación de la auditoría. financiera, utilizando un enfoque como ser COSO u otro marco de
• Revisión de los procesos de evaluación de la gerencia. referencia de reconocida reputación y probada efectividad.
• Comprensión del control interno. • Respaldar la efectividad del control interno con evidencia
• Prueba y evaluación de la efectividad del diseño. documental suficiente.
• Prueba y evaluación de la efectividad de la operación. • Presentar un diagnóstico escrito sobre la efectividad del control
interno de la compañía a la fecha de cierre de los estados contables
más recientes.
LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
La gerencia debe aplicar procedimientos suficientes para respaldar la debe evaluar los controles que operan a nivel de compañía sobre
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
evaluación del control interno: Al mismo tiempo la Norma prohíbe a la dichas entidades a través de la verificación de documentación y
gerencia la utilización de las pruebas y resultados aplicados por los auditores aplicación de los controles necesarios.
externos, como respaldo o sustento de la propia evaluación de la efectividad • Los controles a nivel de compañía incluyen aquellos denominados
del control interno. como "generales" como ser: El ambiente de control y el tono desde la
La falta de cumplimiento de los requisitos arriba descriptos obliga a los dirección, la función de auditoría, los controles de supervisión para
auditores externos a la no emisión de una opinión debido a una limitación en monitorear las operaciones, el proceso de evaluación de riesgos: y los
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
tal que los auditores puedan probar las modificaciones implementadas o compra con la documentación de respaldo como ser las facturas de los
cambios producidos, con suficiente antelación a la fecha de cierre de los proveedores y los reportes de recepción de bienes y servicios, al momento
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
estados contables. Pollo tanto, los auditores deberían comenzar la auditoría de contabilizar las cuentas por pagar a dichos proveedores. Los controles
del control interno con tiempo suficiente para corregir las debilidades sobre los saldos contables incluyen la conciliación de las cuentas de bancos,
detectadas. La Norma de auditoría indica que la opinión del auditor sobre el la conciliación de los registros contables de las subsidiarias con las cuentas
control interno hace referencia tanto a la fecha de cierre de los estados de control, los procedimientos para la toma de inventarios, y los controles
contables, que es la misma fecha de la auditoría del control interno, como al para la preparación de los estados contables. Los controles sobre la
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
período cubierto por la auditoría en su conjunto. compañía en su conjunto, que hacen al funcionamiento de toda la
Para expresar una opinión sobre la efectividad del control interno sobre organización, incluyen los factores que se incluyen en el ambiente de
la información financiera a una fecha determinada, el auditor debe obtener control. Dichos controles y aquellos que se aplican sobre los flujos de
evidencia de que el control interno sobre la información financiera ha transacciones operan en forma continua a lo largo del período. Los controles
operado en forma efectiva durante una porción suficiente del período, que que se aplican sobre los saldos de las cuentas contables, operan con menor
podría ser menor al período entero cubierto por los estados contables de la frecuencia. Las conciliaciones bancadas se realizan una vez por mes cuando
compañía. Para expresar una opinión sobre la efectividad del control interno los controles sobre los flujos de efectivo son continuos.
sobre la información financiera, tomada en su conjunto, el auditor debe
obtener evidencia de la efectividad del control interno sobre todas las Consideraciones del Tiempo
afirmaciones de la gerencia que resultan relevantes, asociadas a las cuentas y Los controles deben operar durante un tiempo sustancial, que puede
revelaciones significativas de los estados contables. Esto implica que el ser menor al período cubierto por los estados contables anuales, para
auditor deba probar la efectividad en el diseño y operación del control interno proveer confianza suficiente en las pruebas de control. Por lo tanto, el
sobre la información financiera, lo cual normalmente no probaría si estaría auditor puede efectuar varias observaciones sobre los controles que operan
emitiendo una opinión solamente sobre los estados contables de la compañía. solamente a un punto en el tiempo. Los controles que operan con menor
frecuencia deben ser probados más cerca de la fecha de cierre de los estados
El control interno tomado en su conjunto contables. Estos controles incluyen la preparación periódica de los' estados
El auditor aplica su juicio profesional y experiencia para identificar contables, los controles sobre los saldos individuales de las cuentas de los
aquellas cuentas consideradas en el umbral de significativas, o más que estados contables, y las transacciones no rutinarias. Consideremos el caso
materiales. Las características cualitativas para la identificación de las de una compañía que aplica los procedimientos de conciliación de los
cuentas que se aplican en este ejercicio mental también deben ser tenidas en diarios auxiliares de cuentas por cobrar solamente al cierre del año contable,
cuenta. Por ejemplo, saldos de inversiones que a simple vista no resultan o sea al finalizar diciembre para el caso de cerrar el ejercicio fiscal al 31 de
importantes, pueden ocultar su verdadera naturaleza en los estados contables, diciembre. El auditor debería concluir que tan solo una observación no sería
ya que pueden surgir de inversiones en compañías parcialmente suficiente para evaluar la efectividad en la operación del control interno. No
consolidadas, o involucrar garantías por deudas. Las cuentas altamente obstante, la Norma requiere una opinión a un punto en el tiempo, es a la
líquidas o que involucran estimaciones importantes por parte de la gerencia fecha de cierre del ejercicio de la compañía.
implican riesgos mayores que otras cuentas. Por ejemplo: Caja o Inversiones
para la venta. Extensión de las pruebas de control
La Norma requiere al auditor acumular evidencia sobre la efectividad
El control interno tomado a un punto en el tiempo del control interno sobre las afirmaciones de la gerencia inmersas en las
Los procedimientos de control interno pueden relacionarse con los cuentas significativas de los estados contables, cada período. Cada año debe
flujos de transacciones o los saldos de las cuentas contables. Ejemplos de volver a ser evaluado independientemente del año anterior. Lo mencionado,
controles relacionados con los flujos de transacciones incluyen la aprobación implica que el auditor debe variar la naturaleza, extensión y oportunidad de
de desembolsos en efectivo, la generación de un listado preliminar de los procedimientos que aplica de un año al siguiente, con el fin de
cobranzas, la aprobación de ventas a crédito, el cotejo de las órdenes de considerar factores impredecibles y responder al entorno cambiante. Ejem-
LA LEY SARBANES OXLEY RESPONSABILIDAD CORPORATIVA
plos de estas variaciones incluyen modificar el número de pruebas aplicadas basarse extensamente en algunas pruebas aplicadas por personal del cliente
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.
y la combinación de los procedimientos de auditoría. y al mismo tiempo depositar poca confianza en otras.
Las siguientes consideraciones deben tenerse en cuenta al tomar el
¿Cuánto se debe probar? trabajo de terceros como parte del trabajo propio:
El auditor debe generalmente aplicar suficientes procedimientos de A mayor importancia y grado de juicio necesario inherente en una
auditoría para obtener un nivel de confianza alto, en el rango de 95% a 99%, cuenta contable, menor debería ser la confianza o respaldo que el auditor
deba tomar en los procedimientos aplicados por el cliente. Inversamente, el
Prohibida su reproducción parcial o total sin permiso escrito de la editorial.
• El potencial de que ocurra un error, en lugar de si un error ha • Clasificar las debilidades con más de una probabilidad remota de
Este material es para uso de la Universidad Nacional de Quilmes, sus fines son exclusivamente didácticos.