C APÍTULO 6

E L CO N T R O L I N T E R N O E N
L A L E Y S A R B A N E S - OX L E Y

Leyes demasiado suaves nunca se obedecen,

demasiado severas nunca se ejecutan.
Benjamín Franklin

Resumen
Este capítulo hace una síntesis de los aportes que la Ley Sarbanes-Oxley de 2002 (Estados
Unidos) ha hecho al control interno: por una parte, fortaleciendo a COSO como el
referente; y por otra, precisando las diferenciaciones y los roles asociados con la estructura
y los procedimientos de control interno, los controles internos contables y los controles
internos.
Hace una síntesis de los principales contenidos de esta Ley y sus desarrollos ulteriores,
principalmente los relacionados con la deinición de qué es control interno, la evaluación
y valoración del control interno (a cargo de los administradores), así como la auditoría del
control interno (a cargo de los auditores independientes), integrada con la auditoría de
estados inancieros.
Objetivos
Después de leer este capítulo, usted debe ser capaz de:
1. Entender el alcance y los contenidos de la Ley Sarbanes-Oxley de 2002 (Estados
Unidos) en relación con el control interno.
2. Diferenciar entre estructura y procedimientos de control interno, controles internos
contables y controles internos.
3. Analizar por qué las distintas propuestas de deinición del control interno toman
como referente la aportada por COSO.
140 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.

INTRODUCCION
Las más importantes innovaciones que se le han hecho al control interno en las últimas
décadas han sido fruto de COSO y de la Ley Sarbanes-Oxley Act de 2002 (Estados Unidos).
COSO aportó una estructura conceptual integrada muy sólida que se ha convertido
prácticamente en el principal estándar de referencia en el mundo entero. Junto con CoCo
y Turbull, UK-FRC, CPA Canadá se les reconoce como los suitable control criteria (criterios
coniables de control) y está prácticamente a punto de ser reconocido como el estándar
internacional de control interno.
Para COSO el control interno es un sistema/proceso, ubicado en el más alto nivel
organizacional, con direccionamiento estratégico y una clara presión ‘desde arriba-hacia-
abajo’ (‘el tono desde lo alto’), que combina objetivos, componentes y niveles. Es una
herramienta extremadamente útil para el diseño, la implementación, el mejoramiento, la
evaluación del control interno, así como para la presentación de reportes sobre control
interno. No hace referencia ni a la auditoría ni a la supervisión del control interno.
La Ley Sarbanes-Oxley Act del 2002, si bien se trata de una norma para el mercado
de valores de los Estados Unidos, su oportunidad y calidad conceptual le han permitido
ser acogida como uno de los principales direccionadores del control interno en el mundo
presente. Recoge la estructura conceptual de COSO, si bien es cierto que le añade dos
elementos realmente nuevos: la auditoría del control interno y los niveles entendidos no
con la perspectiva organizacional/gerencial de COSO sino como estratiicación del mismo
control interno.
Diferencia tres grandes niveles de control interno y sus respectivos responsables, lo
cual se puede observar en la tabla y gráica siguientes.

Niveles del control interno según la Ley Sarbanes-Oxley

Es el nivel más amplio de control interno, respecto del cual la

Internal control administración es responsable por su: (a) establecimiento y
structure and pro- mantenimiento; y (b) valoración de su efectividad. Igualmente,
cedures (estructura respecto del cual los auditores independientes son responsa-
1
y procedimientos de bles por su: (a) atestación; y (b) reporte de auditoría. Este nivel
control interno) es equiparable al del Sistema de Control Interno a que hace re-
ferencia COSO.

Es un nivel más técnico, referido al proceso de presentación de

reportes inancieros (inancial reporting). Respecto de éstos el
comité de auditoría tiene una responsabilidad particular: es-
Internal accounting
tablecer procedimientos relacionados con la recepción, reten-
controls
ción y tratamiento de los reclamos recibidos por el emisor en
2 (controles internos
relación con los mismos, así como con los que tienen que ver
contables)
con contabilidad y auditoría. Este nivel es equivalente al obje-
tivo de coniabilidad del proceso de presentación de reportes
inancieros (inancial reporting) de COSO.
 6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 141

Es el nivel más práctico, asociado con la mayor efectividad fren-

te a los problemas concretos que se enfrentan en el día a día
de las organizaciones. Los responsables de estos controles son
los signing oicers (ejecutivos que irman), esto es el ejecutivo
Internal controls
principal o las personas que desempeñan funciones similares.
3 (controles internos)
Esta responsabilidad conlleva certiicar en cada reporte anual o
trimestral la información relacionada con los controles internos.
Este nivel es el equivalente de las ‘actividades de control’ o ‘con-
troles especíicos’ a que hace referencia COSO.

Niveles de control interno según la Ley Sarbanes Oxley

Estructura y
procedimientos
de control
interno

Controles
internos
contables

Controles
internos

Mientras se asimila lo anterior, se están dando importantes transformaciones. Por un

lado, la evolución de los criterios coniables de control (COSO, CoCo, Turbull, etc) hacia
la administración de riesgos y, por otro, los desarrollos relacionados con el cumplimiento
forzoso de la Ley Sarbanes-Oxley Act de 2002 (Estados Unidos).
El presente capítulo ofrece una aproximación al análisis de los desarrollos derivados de
la Ley Sarbanes-Oxley Act de 2002.
LOS CONTENIDOS DE LA LEY
No es fácil analizar los contenidos que sobre el control interno ofrece la Ley Sarbanes-
Oxley Act del 2002. Una aproximación a ello puede hacerse a partir del comentario de los
textos que sobre el particular contiene. Así se realiza a continuación.
Un primer comentario debe hacerse en relación con las características de los reportes
de auditoría: informativos, exactos e independientes. Aplica de manera particular al
reporte de auditoría del control interno.
La característica de informativo hace referencia al contenido que se espera tenga
dicho informe. Sin dudas, no podrá limitarse a expresar una opinión limpia, una opinión
con salvedades o una negación de opinión. Si bien es la sección 101 la que establece esta
característica, deberá leerse en el contexto de la sección 103 que señala el contenido de
142 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.

tal información: descripción del alcance de las pruebas, hallazgos del auditor a partir de
tales pruebas, evaluación de los registros contables y, posiblemente, una descripción,
como mínimo, de las debilidades materiales en tales controles internos, y de cualquier no-
cumplimiento material que se encontró teniendo como bases tales pruebas. En síntesis,
información para la toma de decisiones y no únicamente el cumplimiento de deberes
formales.
La característica de exacto debe leerse en el contexto de la documentación requerida
para respaldar la auditoría del control interno, a partir de un criterio coniable de control,
particularmente COSO. Se elimina, en consecuencia, la subjetividad derivada del juicio
del auditor, algo muy arraigado en las normas/estándares de auditoría generalmente
aceptados en los Estados Unidos (US-GAAS) e incluso en los estándares internacionales
de auditoría (ISA) anteriores a la incorporación del nuevo modelo de riesgos de auditoría
a mediados de 2003.
La característica de independiente no es otra cosa que una reiteración de las fueres
exigencias que hace esta ley a los auditores en relación con su independencia.
El texto legal al cual hace referencia este primer comentario señala textualmente:1

Sec. 101. ESTABLISHMENT; ADMINISTRATIVE PROVISIONS

(a) ESTABLISHMENT OF BOARD – There is established the Public Company Accounting
Oversight Board, to oversee the audit of public companies that are subject to the
securities laws, and related matters, in order to protect the interests of investors and
further the public interest in the preparation of informative, accurate, and indepen-
dent audit reports for companies the securities of which are sold to, and held by and
for, public investors. The Board shall be a body corporate, operate as a nonproit
corporation, and have succession until dissolved by an Act of Congress.

Estructura y procedimientos de control interno

Un segundo comentario hace referencia a la denominación técnica más importante que
utiliza la Ley Sarbanes-Oxley Act del 2002: internal control structure y procedures (estructura
y procedimientos de control interno). Debe entenderse como el equivalente del ‘sistema
de control interno’ a que hace referencia COSO, si bien le incorpora un elemento adicional
muy importante: su ubicación en el máximo nivel de toma de decisiones de los emisores
americanos, incluso por encima del comité de auditoría.
Valga la pena comentar acá una parte de tales estructura y procedimientos, la
relacionada con las responsabilidades a cargo del auditor independiente. Más adelante,
en otro comentario, se hará referencia a las responsabilidades que al respecto tiene la
administración.

1 Se incluyen los textos originales de la Ley Sarbanes-Oxley en inglés. Normalmente la explicación

que se incluye incorpora la traducción al español, motivo por el cual no se repite. Quien esté inte-
resado en el texto completo de la Ley Sarbanes-Oxley puede obtenerlo en http://www.deloitte.
com/co (sección ‘Recursos Deloitte/Recursos auditoría’).
 6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 143

Como parte de los estándares de auditoría, se incluyen requerimientos para las irmas
registradas de contaduría pública relacionados con: (1) conservación de papeles de
trabajo; (2) provisión de revisión concurrente o de un segundo socio; (3) descripción del
alcance de las pruebas que el auditor realiza respecto de la estructura y procedimientos
de control interno:
El foco de atención se encuentra en la descripción que la irma registrada de contaduría
pública debe hacer sobre el alcance de las pruebas que realiza el auditor respecto de la
estructura y procedimientos de control interno del emisor, requeridos por la sección
404(b) de la Ley Sarbanes-Oxley Act de 2002: la atestación de la valoración hecha por la
administración del emisor.
Adicional a la descripción del alcance de las pruebas que el auditor hace a la estructura
y a los procedimientos de control interno, el auditor debe presentar (en tal reporte o en un
reporte separado):
a. los hallazgos que encontró el auditor al aplicar tales pruebas;
b. una evaluación respecto de si tales estructura y procedimientos de control interno:
i. incluyen el mantenimiento de registros que con detalle razonable relejan
exacta y razonablemente las transacciones y las disposiciones de los activos
del emisor;
ii. proveen seguridad razonable de que las transacciones están registradas en
cuanto es necesario para permitir la preparación de estados inancieros de
acuerdo con principios de contabilidad generalmente aceptados, y que los
ingresos y desembolsos del emisor se están realizando únicamente de acuer-
do con autorizaciones de la administración y de los directores del emisor
c. una descripción, como mínimo, de las debilidades materiales en tales controles
internos, y de cualquier no-cumplimiento material que se encontró con base en
tales pruebas.
En términos prácticos, el asunto no será sencillo de implementar. Conlleva, no tiene dudas,
modiicar los estándares y las prácticas tradicionales de auditoría de estados inancieros:
tanto los US-GAAS como los ISA (e igualmente, la ley 43/90 en Colombia2) han recogido la
‘segunda norma relativa a la ejecución del trabajo’: “debe hacerse un apropiado estudio y
una evaluación del sistema de control interno existente, de manera que se pueda coniar en
él como base para la determinación de la extensión y oportunidad de los procedimientos
de auditoría.”
Si bien no se elimina que dichos estudio y evaluación sirvan como base para determinar
la extensión y oportunidad de los procedimientos de auditoría, la auditoría del control
interno que incorpora esta ley va, considerablemente, mucho más allá, dado que se trata
de emitir un reporte de auditoría (informativo, exacto e independiente) que contenga una
atestación hecha de acuerdo con los estándares para contratos de atestación emitidos o
adoptados por la PCAOB.

2 A partir de la ley 1314 de 2009 Colombia inició el camino de convergencia hacia los estándares
internacionales, que incluye la incorporación de los ISA a través de su traducción al español, las
NIA, en versiones que no siempre corresponden al estándar actualizado.
144 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.

Lo complicado es que tal atestación no constituirá un contrato separado, sino que

hace parte del contrato de auditoría independiente de los estados inancieros. Sin dudas,
ello conlleva una transformación radical en los estándares y en las prácticas de auditoría
de estados inancieros. Los nuevos estándares de auditoría (tanto internacionales
como americanos, canadienses, del Reino Unido, australianos, neozelandeses, etc.) que
incorporaron el nuevo modelo de riesgos de auditoría, ya van en esta dirección.
El texto legal al cual hace referencia este primer comentario señala textualmente:

Sec. 103. AUDITING, QUALITY CONTROLS, AND INDEPENDENCE STANDARDS AND

RULES
(a) AUDITING, QUALITY CONTROLS, AND ETHICAL STANDARDS
(1) RULE REQUERIMENTS – In carry out paragraph (1), the Board –
(A) shall include in the auditing standards that it adopts, requirements
that each registered public accounting irm shall-
(iii) describe in each audit report the scope of the auditor’s testing of
the internal control structure and procedures of the issuer, required
by section 404(b), and present (in such report or in a separate report)-
(I) the indings of the auditor from such testing;
(II) an evaluation of whether such internal control structure and
procedures-
(aa) include maintenance of records that in reasonable detail
accurately and fairly relect the transactions and dispositions of
the assets of the issuer;
(bb) provide reasonable assurance that transactions are record-
ed as necessary to permit preparation of inancial statements in
accordance with generally accepted accounting principles, and
that receipts and expenditures of the issuer are being made only
in accordance with authorizations of management and direc-
tors of the issuer; and
(III) a description, at a minimum, of material weaknesses in such in-
ternal controls, and of any material noncompliance found on
the basis of such testing.

Controles internos contables

Un tercer comentario hace referencia a los controles internos contables. Aparentemente es
algo sencillo, en la realidad tiene un contenido de enorme importancia.
En el contexto de la responsabilidad corporativa, cada comité de auditoría debe
establecer procedimientos para la recepción, retención, y tratamiento de los reclamos
recibidos por el emisor respecto de asuntos relacionados con contabilidad, controles
internos contables, o auditoría.
Ello hace parte del entendimiento de que los procesos relacionados con contabilidad y
presentación de reportes inancieros (inancial reporting), control interno y auditoría, están
directamente a cargo de los comités de auditoría.
 6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 145

El texto legal al cual hace referencia este primer comentario señala textualmente:

Sec. 301. PUBLIC COMPANY AUDIT COMMITTEES.

(4) COMPLAINTS - Each audit committee shall establish procedures for-
(A) the receipt, retention, and treatment of complaints received by the
issuer regarding accounting, internal accounting controls, or audit-
ing matters; and

Responsabilidades de los ejecutivos que irman

Puede hacerse un cuarto comentario, esta vez referido a los controles internos y las
responsabilidades que respecto de éstos tienen los ejecutivos que irman, esto es, certiican
respecto de los controles internos ya sea en los reportes anuales o trimestrales o en otros
que se presentan a la SEC.
En el contexto de la responsabilidad corporativa por los reportes inancieros, los
ejecutivos que irman tienen responsabilidades especíicas en relación con los controles
internos: certiican que:
1. Han revisado el reporte relacionado con el control interno.
2. Con base en su conocimiento, el reporte no contiene ninguna declaración falsa de
un hecho material o la omisión de declarar un hecho material necesario en orden
a hacer la declaración, a la luz de las circunstancias bajo las cuales se hicieron tales
declaraciones.
3. Son base en su conocimiento, los estados inancieros, y la otra información inanciera
incluida en el reporte, presenta razonablemente en todos los aspectos materiales
la condición inanciera y los resultados de las operaciones del emisor en y para los
períodos que se presentan en el reporte.
Consecuencia de lo anterior es que los ejecutivos que irman (certiican):
1. Son responsables por establecer y mantener los controles internos.
2. Tienen que diseñar los controles internos para asegurar que la información material
relacionada con el emisor y sus subsidiarias consolidadas es conocida por tales
ejecutivos y por otros al interior de la entidad, particularmente en el período para el
cual se están presentando tales estados.
3. Han evaluado la efectividad de los controles internos del emisor para los 90 días
anteriores al reporte.
4. Han presentado en el reporte sus conclusiones sobre la efectividad de sus controles
internos, con base en su evaluación para esa fecha.
Adicional a lo anterior, los ejecutivos que irman (certiican) tienen la obligación de revelar
a los auditores y al comité de auditoría (o a las personas que tienen funciones equivalen-
tes) del emisor:
1. todas las deiciencias signiicativas en el diseño o en la operación de los controles
internos, que pudieran afectar de manera adversa la capacidad del emisor para
registrar, procesar, resumir y reportar datos inancieros, así como cualesquiera
debilidades materiales en los controles internos que han identiicado para los
auditores del emisor;
2. cualquier fraude, sea o no material, que implique a la administración o a otros
empleados que tengan un rol signiicante en los controles internos del emisor.
146 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.

Igualmente, los ejecutivos que irman (certiican) deben señalar en el reporte si existieron
o no cambios importantes en los controles internos o en otros factores que pudieran afec-
tar de manera adversa los controles internos, posteriores a la fecha de la evaluación que
realizaron, incluyendo cualesquiera acciones correctivas en relación con las deiciencias
signiicantes y las debilidades materiales.
Este conjunto no solo conlleva nuevas responsabilidades, sino que es bastante com-
plejo desde el punto de vista técnico. Puede airmarse que recoge la perspectiva de la
administración de riesgos del emprendimiento vinculada al control interno: deja a un lado
el muestreo selectivo e incorpora lo relacionado con debilidades materiales, deiciencias
signiicantes y acciones correctivas.
En total sintonía el nuevo modelo de riesgos de auditoría de los estándares interna-
cionales de auditoría y de los estándares de los principales emisores nacionales (USA, UK,
Canadá, Hong Kong, Australia, Nueva Zelanda).
Por lo tanto, este es un conjunto que tendrá enormes desarrollos en el futuro e
importantes consecuencias prácticas.
El texto legal al cual hace referencia este primer comentario señala textualmente:

Sec. 302. CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS

(a) REGULATIONS REQUIRED - The Commission shall, by rule, require, for each company
iling periodic reports under section 13(a) or 15(d) of the Securities Exchange Act of
1934 (15 U.S.C. 78m, 78o(d)), that the principal executive oicer, or persons perform-
ing similar functions, certify in each annual or quarterly report iled or submitted
under either such section of such Act that-
(1) the signing oicer has reviewed the report;
(2) based on the oicer’s knowledge, the report does not contain any untrue
statement of a material fact or omit to state a material fact necessary in
order to make the statements made, in light of the circumstances under
which such statements were made, not misleading;
(3) based on such oicer’s knowledge, the inancial statements, and other
inancial information included in the report, fairly present in all material
respects the inancial condition and results of operations of the issuer as of,
and for, the periods presented in the report;
(4) the signing oicers-
(A) are responsible for establishing and maintaining internal con-
trols;
(B) have designed such internal controls to ensure that material in-
formation relating to the issuer and its consolidated subsidiar-
ies is made known to such oicers by others within those enti-
ties, particularly during the period in which the periodic reports
are being prepared;
(C) have evaluated the efectiveness of the issuer’s internal controls
as of a date within 90 days prior to the report; and
(D) have presented in the report their conclusions about the efec-
tiveness of their internal controls based on their evaluation as
of that date;
 6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 147

(5) the signing oicers have disclosed to the issuer’s auditors and the audit
committee of the board of directors (or persons fulilling the equivalent
function)-
(A) all signiicant deiciencies in the design or operation of
internal controls which could adversely afect the issuer’s
ability to record, process, summarize, and report inancial
data and have identiied for the issuer’s auditors any mate-
rial weaknesses in internal controls; and
(B) any fraud, whether or not material, that involves manage-
ment or other employees who have a signiicant role in the
issuer’s internal controls; and
(6) the signing oicers have indicated in the report whether or not there
were signiicant changes in internal controls or in other factors that
could signiicantly afect internal controls subsequent to the date of
their evaluation, including any corrective actions with regard to sig-
niicant deiciencies and material weaknesses.

Auditoría del control interno

El quinto comentario que aquí se hace se reiere al conjunto que posiblemente más
interés ha despertado dado que corresponde a la innovación más importante que hace
la Ley Sarbanes-Oxley Act de 2002 al control interno: la auditoría del control interno y la
infraestructura (condiciones) necesaria para la misma, esto es, la valoración de los controles
internos realizada por la administración y la obligación de ésta de hacer una declaración
explícita (aserción) respecto de ella.
Desde el punto de vista legal, el conjunto se denomina ‘reporte sobre el control interno’
y conlleva:
1. Señalar la responsabilidad de la administración por establecer una estructura y
unos procedimientos de control interno, que sean adecuados, para el proceso de
presentación de reportes inancieros (inancial reporting).
2. Contener una valoración, para el inal del año iscal más reciente del emisor, sobre
la efectividad de la estructura y de los procedimientos de control del emisor en
relación con el proceso de presentación de reportes inancieros (inancial reporting).
Pero tal conjunto no queda ahí: debe someterse a atestación, bajo estándares de atesta-
ción emitidos o adoptados por la PCAOB3, a cargo de la irma registrada de contaduría
pública. De manera explícita señala que tal atestación no constituye un contrato diferente
al de auditoría de los estados inancieros.
Desde el punto de vista técnico el asunto es de importancia extrema: la auditoría del
control interno como instrumento para la toma de decisiones públicas, elevada a una
categoría similar a la auditoría de estados inancieros.

3 A la fecha, el principal estándar sobre el tema es el AS-5.

148 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.

Sin dudas, ello hace parte de los esfuerzos mundiales por precisar (y ampliar) el alcance
de la auditoría independiente. Esta tradicionalmente comprendía solamente la auditoría
de estados inancieros. Ahora, comprende tres elementos estrechamente relacionados:
(1) auditoría de estados inancieros (2) auditoría del control interno, y (3) auditoría del
cumplimiento. Ello constituye un fortalecimiento de la auditoría independiente, asociado
con las fuertes exigencias de independencia para tales auditores.
El asunto no queda solamente en manos de los auditores independientes. Conlleva
importantes responsabilidades para los administradores. En concreto dos:
(1) La responsabilidad por establecer una estructura y unos procedimientos de
control interno que sean adecuados, y
(2) La responsabilidad por hacer una valoración sobre la efectividad de tales es-
tructura y procedimientos.
Debe resaltarse cómo ello gira alrededor del proceso de presentación de reportes
inancieros (inancial reporting), una precisión muy importante para evitar caer en los
dominios de otras auditorías para las cuales no se reconoce la experticia de los contadores
públicos: las auditorías de calidad (a partir de los estándares ISO 9000) y las auditorías de
las operaciones (según estándares de ingeniería).
Una vez más, el centro de atención se ubica en la contabilidad entendida ahora no en el
sentido estrecho tradicional sino en el amplio a partir de un análisis de la cadena de valor
(inancial reporting). En total sintonía con los International Financial Reporting Standards
– IFRS (Estándares internacionales del proceso de presentación de reportes inancieros,
traducidos también como Normas Internacionales de Información Financiera – NIIF).
Con relación a la evaluación/valoración de la efectividad del control interno, aquí se
encuentran otras innovaciones importantes al hacer obligatorio que la administración
realice las suyas propias y las someta a un proceso de atestación.
Las evaluaciones tradicionales del control interno eran realizadas por los auditores
de estados inancieros, con una clara intencionalidad de determinar el alcance de las
pruebas de auditoría. Adicional a ello, en la práctica derivaban en unas listas interminables
de recomendaciones de control a las cuales la administración prestaba poca atención y
respecto de las cuales los mismos auditores no hacían prácticamente ningún seguimiento.
Al obligar que la administración realice su propia valoración del control interno resalta
la responsabilidad de ésta en relación con la estructura y los procedimientos de control
interno y fortalece la evaluación a cargo de los auditores internos. Por efectos prácticos,
no se entiende que al interior de la administración se realicen dos evaluaciones del control
interno, una por parte de la administración y otra a cargo de los auditores internos. Esto
fortalece el nuevo enfoque de auditoría interna, derivado de la nueva deinición de
auditoría interna promulgada en 1999.
El obligar a que las irmas registradas de contaduría pública, esto es, los auditores
externos, hagan una atestación de ello, coloca en un primer plano de interés público lo
relacionado con el control interno.
 6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 149

El texto legal al cual hace referencia este primer comentario señala textualmente:

Sec. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS

(a) RULES REQUIRED- The Commission shall prescribe rules requiring each annual re-
port required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15
U.S.C. 78m or 78o(d)) to contain an internal control report, which shall-
(1) state the responsibility of management for establishing and maintaining
and adequate internal control structure and procedures for inancial re-
porting; and
(2) contain an assessment, as of the end of the most recent iscal year of the
issuer, of the efectiveness of the internal control structure and procedures
of the issuer for inancial reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING - With respect to the internal
control assessment required by subsection (a), each registered public accounting
irm that prepares or issues the audit report for the issuer shall attest to, and report
on, the assessment made by the management of the issuer. An attestation made
under this subsection shall made in accordance with standards for attestation en-
gagements issued or adopted by the Board. Any such attestation shall not be the
subject of a separate engagement.

Comité de auditoría y control interno

Un sexto comentario, más sencillo que los anteriores, tiene que hacerse respecto de la rela-
ción existente entre el comité de auditoría y el control interno, y particularmente en relación
con el experto inanciero.
La educación y experiencia en controles contables internos constituye uno de los
aspectos que se deben considerar respecto del ‘experto inanciero’ del comité de auditoría.
La denominación ‘experto inanciero’ ha causado bastantes sorpresas, pero cada vez
gana más adeptos. Se trata de una persona que tiene educación y experiencia como
contador público o auditor o como ejecutivo inanciero principal, controller (contralor), o
ejecutivo principal de contabilidad de un emisor, o derivada de una posición que conlleva
el desempeño de funciones principales.
El ‘contenido’ de esa educación y experiencia implica:
1. Un entendimiento de los principios de contabilidad generalmente aceptados y de
los estados inancieros.
2. Experiencia en: (a) la preparación o auditoría de estados inancieros de emisores
generalmente comparables; y (b) la aplicación de tales principios en vinculación
con la contabilidad de estimados, causaciones y reservas.
3. Experiencia en controles internos contables, y
4. Un entendimiento de las funciones del comité de auditoría.
El texto legal al cual hace referencia este primer comentario señala:
150 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.

Sec. 407. DISCLOSURE OF AUDIT COMMITTEE FINANCIAL EXPERT

(a) RULES DEFINING “FINANCIAL EXPERT”.- The Commission shall issue rules, as neces-
sary or appropriate in the public interest and consistent with the protection of in-
vestors, to require each issuer, together with periodic reports required pursuant to
sections 13(a) and 15(d) of the Securities Exchange Act of 1934, to disclose whether
or not, and if not, the reasons therefore, the audit committee of that issuer is com-
prised of at least 1 member who is a inancial expert, as such term is deined by the
Commission.
(b) CONSIDERATIONS - In deining the term “inancial expert” for purposes of subsec-
tion (a), the Commission shall consider whether a person has, through education
and experience as a public accountant or auditor or a principal inancial oicer,
comptroller, or principal accounting oicer of an issuer, or from a position involving
the performance of similar functions-
(1) an understanding of generally accepted accounting principles and inan-
cial statements;
(2) experience in-
(A) the preparation or auditing of inancial statements of general-
ly comparable issuers; and
(B) the application of such principles in connection with the ac-
counting for estimates, accruals, and reserves;
(3) experience with internal accounting controls; and
(4) an understanding of audit committee functions.
(c) DEADLINE FOR RULEMAKING - The Commission shall-
(1) propose rules to implement this section, no later than 90 days after the
date of enactment of this Act; and
(2) issue inal rules to implement this section, no later than 180 days after that
date of enactment.

DEFINICION DE CONTROL INTERNO

Un elemento muy importante a tener en cuenta es el conjunto de precisiones que la Ley
Sarbanes-Oxley Act de 2002 y sus desarrollos hacen en relación con qué se entiende por
control interno.
Sobre el particular, uno de los documentos más importantes es la parte de la Final
Rule Management´s Reports on Internal Control Over Financial Reporting and Certiication
of Disclosure in Exhange Act Periodic Reports [Regla Final. Reportes de la administración
relacionados con el control interno sobre el proceso de presentación de reportes
inancieros y revelaciones en los reportes periódicos correspondientes a la Ley de Valores].4

4 Securities and Exchange Commission, Release Nos. 33-8238, 34-47986; IC 26068; File Nos. S7-40-
02; S7-06-03. June 5/2003. La traducción que aquí se presenta fue realizada por S.A.Mantilla, no
es oicial y no es autorizada, se realiza exclusivamente con ines académicos y corresponde a un
fragmento de la regla inal que se cita. Se omiten las referencias bibliográicas y notas del origi-
nal.
 6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 151

A continuación se ofrece una versión en español del aparte correspondiente a la deinición

de control interno.

1. Regla propuesta
Las reglas propuestas habrían deinido el término “internal controls and procedures for
inancial reporting” (controles internos y procedimientos para el proceso de presentación
de reportes inancieros) para signiicar los controles que pertenecen a la preparación
de estados inancieros para propósitos externos que se presentan razonablemente en
conformidad con los principios de contabilidad generalmente aceptados tal y como son
direccionados por la Codiication of Statements on Auditing Standards §319 o cualquier
deinición que los reemplace u otra literatura emitida o adoptada por la Public Company
Accounting Oversight Board.
Tal y como se nota en el Proposing Release, ha existido alguna confusión en relación
con el signiicado y el alcance exactos del término “control interno,” dado que la deinición
del término ha evolucionado en el tiempo. Históricamente, el término “control interno” se
aplicó casi exclusivamente al interior de la profesión contable. Como la auditoría de esta-
dos inancieros evolucionó desde un proceso de prueba detallada de las transacciones y
de los balances de las cuentas hacia un proceso de muestreo y prueba, en la planeación de
la auditoría se hizo necesario prestar mayor consideración a los controles internos de una
compañía. Si un componente del control interno ha sido diseñado de manera adecuada,
entonces el auditor limitaría la consideración adicional de ese control a los procedimien-
tos para determinar si el control ha estado operando. De acuerdo con ello, en la ejecución
de la auditoría el auditor coniaría en el control como base para reducir la cantidad, opor-
tunidad o extensión de las pruebas sustantivas. De manera inversa, si un auditor deter-
minó que un componente del control interno fue inadecuado en su diseño u operación,
entonces el auditor no coniaría en ese control. En este caso, el auditor realizaría pruebas
de las transacciones y desempeñaría análisis adicionales en orden a acumular evidencia
de auditoría que sea suiciente y competente para soportar su opinión sobre los estados
inancieros.
Desde el principio, se reconoció que control interno es un concepto amplio que
se extiende más allá de las funciones de contabilidad de una compañía. Los primeros
intentos para deinir el término se centraron principalmente en clariicar la porción
del control interno de una compañía que el auditor debe considerar cuando planea y
desempeña una auditoría de los estados inancieros de una compañía. Sin embargo, esto
no mejoró el nivel de entendimiento del término, ni proveyó de manera satisfactoria
la orientación que buscaron los auditores. Siguieron deiniciones sucesivas y estudios
formales del concepto de control interno.
En 1977, con base en las recomendaciones de la Commission, el Congreso promulgó
la Foreing Corrupt Practices Act (“FCPA”). La FCPA codiicó las provisiones relacionadas con
el control contable contenidas en Statement of Auditing Standards No. 1 (codiicado
como AU §320 en la Codiication of Statements on Auditing Standards). Bajo la FCPA, las
compañías que tienen una clase de valores registradas bajo la Section 12 de la Exchange
Act, o que requieren archivar reportes bajo la Section 15(d) de la Exchange Act, se les
requiere que diseñen y mantengan un sistema de controles internos contables que sea
suiciente para proveer seguridad razonable de que:
• las transacciones se ejecutan de acuerdo con autorización general o especíica de
la administración;
152 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.

• las transacciones se registran en cuanto es necesario para (1) permitir la preparación

de estados inancieros en conformidad con los principios de contabilidad
generalmente aceptados o con cualquier otro criterio aplicable a tales estados, y
(2) mantener accountability por los activos;
• el acceso a los activos se permite solamente de acuerdo con autorización general o
especíica de la administración; y
• la accountability registrada para los activos se compara con los activos existentes
en intervalos razonables y se toma la acción apropiada en relación con cualquier
diferencia.
En 1985, una iniciativa del sector privado conocida como la National Commmission
on Fraudulent Financial Reporting, conocida también como la Treadway Commission, se
formó para estudiar el sistema de presentación de reportes inancieros en los Estados
Unidos. En 1987 la Treadway Commission emitió un reporte recomendando que sus
organizaciones patrocinadoras trabajaran juntas para integrar los diversos conceptos y
deiniciones de control interno y desarrollar un punto de referencia común.
En respuesta a ello, el Committee of Sponsoring Organizations of the Treadway
Commission (“COSO”) emprendió un estudio extensivo sobre el control interno para es-
tablecer una deinición común que sirviera a las necesidades de compañías, contadores
públicos independientes, legisladores y agencias reguladoras, y para proveer una estruc-
tura conceptual amplia del criterio frente al cual las compañías evaluarían la efectividad
de sus sistemas de control interno. En 1992, COSO publicó su Internal Control – Integrated
Framework.5 La estructura conceptual de COSO deinió control interno como “un proceso,
efectuado por la junta de directores, la administración y otro personal de la entidad, dise-
ñado para proveer seguridad razonable en relación con el logro de los objetivos” en tres
categorías –efectividad y eiciencia de las operaciones; coniabilidad del proceso de pre-
sentación de reportes inancieros; y cumplimiento con leyes y regulaciones aplicables.
COSO señaló adicionalmente que el control interno consta de: el ambiente de control,
valoración de riesgos, actividades de control información y comunicación, y monitoreo.
El alcance del control interno se extiende, por consiguiente, a políticas, planes, procedi-
mientos, procesos, sistemas, actividades, funciones, proyectos, iniciativas, y emprendi-
mientos de todo tipo en todos los niveles de una compañía.
En 1995, el ACIPA incorporó la deinición de control interno de COSO en el Report in
Statement on Auditing Standards No.78 (codiicado como AU §319 en la Codiication of
Statements on Auditing Standards). Si bien nosotros reconocemos que la deinición de AU
§319 se derivó de la deinición de COSO, nuestra propuesta se reirió a AU §319 dado que
pensamos que la primera constituyó una versión más formal y ampliamente accesible de
la deinición que la última.
2. Comentarios sobre la propuesta
Sobre la deinición propuesta de “internal control and procedures for inancial
reporting” (control interno y procedimientos para el proceso de presentación de reportes
inancieros) recibimos 25 comentarios. Once señalaron que la deinición propuesta de

5 En español: Control Interno – Estructura conceptual integrada, publicado por Ecoe Ediciones,
Bogotá (N del t).
 6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 153

control interno era apropiada o estuvieron generalmente de acuerdo con la propuesta.

Dos notaron que la deinición contenida en AU §319 había sido adoptada por las agencias
reguladoras bancarias para uso por parte de las instituciones bancarias. Catorce de los
25 comentaristas se opusieron a la deinición propuesta. Dos de ellos airmaron que la
deinición propuesta era demasiado compleja y no resolvería la confusión que existía
sobre el signiicado o alcance del término.
Algunos de los comentaristas que se opusieron a la deinición propuesta pensaron
que nosotros debíamos referirnos a COSO para la deinición de control interno, más que
a AU §319. Algunos anotaron que el objetivo de AU §319 es proveer orientación a los
auditores en relación con su consideración del control interno en la planeación y en el
desempeño de una auditoría de estados inancieros. La preocupación común de esos
comentaristas fue que AU §319 no provee ninguna medida o estándar mediante la cual
la administración de una compañía puede determinar que el control interno es efectivo,
ni deine qué constituye control interno efectivo. Un comentarista consideró que, dada
la ausencia de tal criterio evaluativo o deinición de efectividad, las reglas propuestas no
serían implementadas de manera efectiva. Además, algunos comentaristas se opusieron
a la deinición propuesta sugiriendo que usemos el término “internal control over inancial
reporting” (control interno sobre el proceso de presentación de reportes inancieros)
más que el término “internal control and procedures for inancial reporting” (control
interno y procedimientos para el proceso de presentación de reportes inancieros) en el
entendimiento de que el primero es más consistente con la terminología que actualmente
se usa en la literatura sobre auditoría.
Unos pocos comentaristas urgieron que adoptemos una deinición considerablemente
más amplia de control interno que se centrara no solamente en el control interno sobre el
proceso de presentación de reportes inancieros sino también en los objetivos de control
asociados con la administración de riesgos del emprendimiento y con el gobierno
corporativo. Si bien nosotros estamos de acuerdo en que esos son objetivos importantes,
la deinición que estamos adoptando mantiene un centro de atención en el proceso de
presentación de reportes inancieros, consistente con nuestra posición articulada en la
Proposing Release. Por una variedad de razones no estamos adoptando una deinición
más expansiva de control interno. La más importante, consideramos que la Section 404 se
centra en el elemento del control interno que se relaciona con el proceso de presentación
de reportes inancieros. Además, muchos comentaristas señalaron que la deinición
más limitada relacionada con el proceso de presentación de reportes inancieros que
nosotros proponemos impondrá sobre las compañías cargas de reportes y costos.
Finalmente, tradicionalmente los contadores independientes no han sido responsables
por revisar y probar, o por atestar una valoración hecha por la administración, respecto
de los controles internos que están por fuera de las fronteras del proceso de presentación
de reportes inancieros.
3. Reglas inales
Luego de considerar los comentarios, hemos decidido hacer algunas modiicaciones a
las enmiendas propuestas. Estamos de acuerdo en que debemos usar el término “internal
control over inancial reporting” (control interno sobre el proceso de presentación de
reportes inancieros) en nuestras enmiendas para implementar la Section 404, así como
en nuestras revisiones a los requerimientos de certiicación y a las formas de certiicación
de la Section 302. La terminología rápidamente cambiante ha sido un obstáculo en el
desarrollo de un entendimiento aceptado del control interno. El término “internal control
154 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.

over inancial reporting” (control interno sobre el proceso de presentación de reportes

inancieros) es el término predominante usado por compañías y auditores y que mejor
comprende los objetivos de la Sarbanes-Oxley Act. Además, mediante el uso de este
término, evitamos tener que familiarizar a inversionistas, compañías y auditores con una
terminología nueva, lo cual debe eliminar cualquier confusión que pueda existir sobre el
signiicado y el alcance del control interno.
Las reglas inales deinen “internal control over inancial reporting” (control interno
sobre el proceso de presentación de reportes inancieros) como:
Un proceso diseñado por, o bajo la supervisión de, el ejecutivo principal y los
ejecutivos inancieros principales, o personas que desempeñan funciones principales, de
quien está registrado, y efectuado por la junta de directores, la administración u otro
personal de quien está registrado, para proveer seguridad razonable en relación con la
coniabilidad del proceso de presentación de reportes inancieros y con la preparación de
estados inancieros para propósitos externos de acuerdo con principios de contabilidad
generalmente aceptados e incluye esas políticas y procedimientos que:
1. Corresponden con el mantenimiento de registros que con un detalle razonable
relejan exacta y razonablemente las transacciones y disposiciones de los activos
de quien está registrado;
2. Proveen seguridad razonable de que las transacciones están registradas en cuanto
es necesario para permitir la preparación de estados inancieros de acuerdo
con principios de contabilidad generalmente aceptados, y que los ingresos y
los desembolsos de quien está registrado se realizan solamente de acuerdo con
autorización de la administración y de los directores de quien está registrado; y
3. Proveen seguridad razonable respecto de la prevención o detección oportuna de
la adquisición, el uso o la disposición, no-autorizados, de los activos de quien está
registrado, que pudieran tener un efecto material en los estados inancieros.
Reconocemos que nuestra deinición del término “internal control over inancial
reporting” (control interno sobre el proceso de presentación de reportes inancieros)
que se releja en las reglas inales comprende el sub-conjunto de los controles internos
direccionados el el Reporte COSO que pertenecen a los objetivos del proceso de
presentación de reportes inancieros. Nuestra deinición no comprende los elementos
del Reporte COSO que se relacionan con la efectividad y eiciencia de las operaciones
de una compañía y con el cumplimiento de una compañía con las leyes y regulaciones
aplicables, con la excepción del cumplimiento con las leyes y regulaciones aplicables que
se relacionan directamente con la preparación de los estados inancieros, tales como
los requerimientos que para el proceso de presentación de reportes inancieros hace la
Commission. Nuestra deinición es consistente con la descripción de controles internos
contables contenida en la Exchange Act Section 13(b)(2)(B).
Siguiendo el lenguaje general que deine “internal control over inancial reporting”
(control interno sobre el proceso de presentación de reportes inancieros), las cláusulas
(1) y (2) incluyen los asuntos de control interno que se describen en la Section 103 de la
Sarbanes-Oxley Act que requieren que la irma registrada de contaduría pública de quien
está registrado evalúe en su reporte de auditoría o de atestación. Este lenguaje se incluye
para clariicar que la valoración de la administración en su reporte de control interno
que se requerirá que la irma registrada de contaduría pública de quien está registrado
ateste y reporte, cubre de manera especíica los asuntos a los cuales se hace referencia
 6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 155

en la Section 103. Unos pocos comentaristas consideraron que causaría confusión si la

deinición de control interno no reconocía los objetivos establecidos en la Section 103
de la Sarbanes-Oxley Act. Tal y como se discute en la Section II.G, abajo, la PCAOB es
responsable por establecer los estándares de la Section 103.
Nuestra deinición también incluye, en la cláusula (3), referencia explícita a los
aseguramientos relacionados con el uso o disposición de los activos de la compañía.
Esta disposición se incluye de manera especíica para clariicar que, para los propósitos
de nuestra deinición, la salvaguarda de activos es uno de los elementos esenciales del
“internal control over inancial reporting” (control interno sobre el proceso de presentación
de reportes inancieros) y que direcciona la complementación de la Estructura Conceptual
de COSO luego que fue promulgada originalmente. En ausencia de nuestro cambio a la
deinición, la determinación de si el control relacionado con la salvaguarda de activos
cae dentro del “internal control over inancial reporting” (control interno sobre el proceso
de presentación de reportes inancieros) de una compañía actualmente estaría sujeta a
diversas interpretaciones.
La salvaguarda de activos ha sido un objetivo primario del control interno contable
en SAS No. 1. En 1988, el ASB emitió el Statement on Auditing Standards No. 55
(codiicado como AU §319 en la Codiication of Statements on Auditing Standards), que
reemplazó a AU §320. SAS No. 55 revisó la deinición de “control interno” y expandió
las responsabilidades del auditor para considerar el control interno en una auditoría
de estados inancieros. La anterior clasiicación de control interno en las dos categorías
de “control interno contable” y “control administrativo” fue reemplazada por el término
único “estructura de control interno,” que consta de tres componentes interrelacionados
-ambiente de control, el sistema de contabilidad y los procedimientos de control. Bajo
esta nueva deinición, la salvaguarda de activos ya no fue más un objetivo primario, sino
un sub-conjunto del componente procedimientos de control. El Reporte COSO siguió
este cambio en la repetición de la salvaguarda de activos. El Reporte COSO señala que los
objetivos de operación “pertenecen a la efectividad y eiciencia de las operaciones de la
entidad, incluyendo las metas de desempeño y rentabilidad y la salvaguarda de recursos
contra pérdidas.” Sin embargo, el reporte también clariica que la salvaguarda de activos
puede caer en las otras categorías del control interno.
En 1994, COSO publicó una adenda al volumen de Reporting to External Parties
(presentación de reportes a terceros) del Reporte COSO. La adenda se emitió en respuesta
a una preocupación expresada por algunas partes, incluyendo la U.S. General Accounting
Oice, de que los reportes administrativos contemplados por el Reporte COSO no
direccionaban de manera adecuada los controles relacionados con la salvaguarda de
activos y por consiguiente no responderían plenamente a los requerimientos de la FCPA.
En la adenda, COSO concluyó que, si bien consideraba que su deinición de control
interno contenida en su reporte de 1992 permanecía apropiada, reconocía que la FCPA
comprendía ciertos controles relacionados con la salvaguarda de activos y que existe una
expectativa razonable por parte de algunos lectores de los reportes de control interno de
la administración respecto de que los reportes cubrirán tales controles. Por consiguiente,
la adenda establece la siguiente deinición del término “internal control over safeguarding
of assets against unauthorized adquisition, use or disposition” (control interno sobre la
salvaguarda de activos contra adquisición, uso o disposición no-autorizados):
El internal control over safeguarding of assets against unauthorized adquisition, use
or disposition (control interno sobre la salvaguarda de activos contra adquisición, uso
156 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.

o disposición no-autorizados) es un proceso, efectuado por la junta de directores,

la administración y otro personal de una entidad, diseñado para proveer seguridad
razonable en relación con la prevención o detección oportuna de la adquisición, uso,
o disposición no-autorizados de los activos de la entidad, que pudiera tener un efecto
material en los estados inancieros.
Tal y como se indicó atrás, para lograr el resultado deseado y para proveer consistencia
con la adenda a COSO hecha en 1994, hemos incorporado esta deinición en nuestra
deinición de “internal control over inancial reporting” (control interno sobre el proceso
de presentación de reportes inancieros). Estamos convencidos de que esto es apropiado
dado que nuestra deinición será usada para los propósitos de la presentación de
reportes de la administración pública, y que las compañías que estarán sujetas a los
requerimientos de la Section 404 también están sujetas a los requerimientos de la FCPA.
Entonces, bajo las reglas inales, la salvaguarda de activos se incluye especíicamente en
nuestra deinición de “internal control over inancial reporting” (control interno sobre el
proceso de presentación de reportes inancieros).

DESARROLLOS RECIENTES
La implementación de las determinaciones de la Ley Sarbanes-Oxley del 2002 ha
continuado.
Se destacan dos documentos que están concretando el asunto en lo que tiene que ver
con la evaluación y valoración del control interno (a cargo de los administradores) y con la
auditoría del control interno (a cargo de los auditores independientes):
1. Orientación de la Securities and Exchange Commission – SEC – relacionada con el
informe de la administración sobre el control interno a la información inanciera
bajo la Sección 13(a) o 15(d) de la Securities Exchange Acto f 1934. Regla inal.
[Commission guidance regarding management’s report on internal control over
inancial reporting Ander section 13(a) or 15(d) of the Securities Exchange Acto f 1934:
inal rule].
2. Estándar de auditoría No. 5 de la US-PCAOB: Auditoría del control interno sobre la
información inanciera, que está integrada con la auditoría de estados inancieros. Y
regla de independencia relacionada y ajustes por las enmiendas [An audit of internal
control over inancial reporting that is integrated with an audit of inancial statements
and related independence rule and conforming amendments]. Este estándar fue
reformateado en el AS 2201 actualmente vigente.
Debe resaltarse que los documentos mencionados son para el mercado de valores de los
Estados Unidos, pero rápidamente han sido replicados fuera del mercado de valores y
fuera de los Estados Unidos, lo cual resalta su importancia.