Documentos de Académico
Documentos de Profesional
Documentos de Cultura
E L CO N T R O L I N T E R N O E N
L A L E Y S A R B A N E S - OX L E Y
Resumen
Este capítulo hace una síntesis de los aportes que la Ley Sarbanes-Oxley de 2002 (Estados
Unidos) ha hecho al control interno: por una parte, fortaleciendo a COSO como el
referente; y por otra, precisando las diferenciaciones y los roles asociados con la estructura
y los procedimientos de control interno, los controles internos contables y los controles
internos.
Hace una síntesis de los principales contenidos de esta Ley y sus desarrollos ulteriores,
principalmente los relacionados con la deinición de qué es control interno, la evaluación
y valoración del control interno (a cargo de los administradores), así como la auditoría del
control interno (a cargo de los auditores independientes), integrada con la auditoría de
estados inancieros.
Objetivos
Después de leer este capítulo, usted debe ser capaz de:
1. Entender el alcance y los contenidos de la Ley Sarbanes-Oxley de 2002 (Estados
Unidos) en relación con el control interno.
2. Diferenciar entre estructura y procedimientos de control interno, controles internos
contables y controles internos.
3. Analizar por qué las distintas propuestas de deinición del control interno toman
como referente la aportada por COSO.
140 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.
INTRODUCCION
Las más importantes innovaciones que se le han hecho al control interno en las últimas
décadas han sido fruto de COSO y de la Ley Sarbanes-Oxley Act de 2002 (Estados Unidos).
COSO aportó una estructura conceptual integrada muy sólida que se ha convertido
prácticamente en el principal estándar de referencia en el mundo entero. Junto con CoCo
y Turbull, UK-FRC, CPA Canadá se les reconoce como los suitable control criteria (criterios
coniables de control) y está prácticamente a punto de ser reconocido como el estándar
internacional de control interno.
Para COSO el control interno es un sistema/proceso, ubicado en el más alto nivel
organizacional, con direccionamiento estratégico y una clara presión ‘desde arriba-hacia-
abajo’ (‘el tono desde lo alto’), que combina objetivos, componentes y niveles. Es una
herramienta extremadamente útil para el diseño, la implementación, el mejoramiento, la
evaluación del control interno, así como para la presentación de reportes sobre control
interno. No hace referencia ni a la auditoría ni a la supervisión del control interno.
La Ley Sarbanes-Oxley Act del 2002, si bien se trata de una norma para el mercado
de valores de los Estados Unidos, su oportunidad y calidad conceptual le han permitido
ser acogida como uno de los principales direccionadores del control interno en el mundo
presente. Recoge la estructura conceptual de COSO, si bien es cierto que le añade dos
elementos realmente nuevos: la auditoría del control interno y los niveles entendidos no
con la perspectiva organizacional/gerencial de COSO sino como estratiicación del mismo
control interno.
Diferencia tres grandes niveles de control interno y sus respectivos responsables, lo
cual se puede observar en la tabla y gráica siguientes.
Estructura y
procedimientos
de control
interno
Controles
internos
contables
Controles
internos
tal información: descripción del alcance de las pruebas, hallazgos del auditor a partir de
tales pruebas, evaluación de los registros contables y, posiblemente, una descripción,
como mínimo, de las debilidades materiales en tales controles internos, y de cualquier no-
cumplimiento material que se encontró teniendo como bases tales pruebas. En síntesis,
información para la toma de decisiones y no únicamente el cumplimiento de deberes
formales.
La característica de exacto debe leerse en el contexto de la documentación requerida
para respaldar la auditoría del control interno, a partir de un criterio coniable de control,
particularmente COSO. Se elimina, en consecuencia, la subjetividad derivada del juicio
del auditor, algo muy arraigado en las normas/estándares de auditoría generalmente
aceptados en los Estados Unidos (US-GAAS) e incluso en los estándares internacionales
de auditoría (ISA) anteriores a la incorporación del nuevo modelo de riesgos de auditoría
a mediados de 2003.
La característica de independiente no es otra cosa que una reiteración de las fueres
exigencias que hace esta ley a los auditores en relación con su independencia.
El texto legal al cual hace referencia este primer comentario señala textualmente:1
Como parte de los estándares de auditoría, se incluyen requerimientos para las irmas
registradas de contaduría pública relacionados con: (1) conservación de papeles de
trabajo; (2) provisión de revisión concurrente o de un segundo socio; (3) descripción del
alcance de las pruebas que el auditor realiza respecto de la estructura y procedimientos
de control interno:
El foco de atención se encuentra en la descripción que la irma registrada de contaduría
pública debe hacer sobre el alcance de las pruebas que realiza el auditor respecto de la
estructura y procedimientos de control interno del emisor, requeridos por la sección
404(b) de la Ley Sarbanes-Oxley Act de 2002: la atestación de la valoración hecha por la
administración del emisor.
Adicional a la descripción del alcance de las pruebas que el auditor hace a la estructura
y a los procedimientos de control interno, el auditor debe presentar (en tal reporte o en un
reporte separado):
a. los hallazgos que encontró el auditor al aplicar tales pruebas;
b. una evaluación respecto de si tales estructura y procedimientos de control interno:
i. incluyen el mantenimiento de registros que con detalle razonable relejan
exacta y razonablemente las transacciones y las disposiciones de los activos
del emisor;
ii. proveen seguridad razonable de que las transacciones están registradas en
cuanto es necesario para permitir la preparación de estados inancieros de
acuerdo con principios de contabilidad generalmente aceptados, y que los
ingresos y desembolsos del emisor se están realizando únicamente de acuer-
do con autorizaciones de la administración y de los directores del emisor
c. una descripción, como mínimo, de las debilidades materiales en tales controles
internos, y de cualquier no-cumplimiento material que se encontró con base en
tales pruebas.
En términos prácticos, el asunto no será sencillo de implementar. Conlleva, no tiene dudas,
modiicar los estándares y las prácticas tradicionales de auditoría de estados inancieros:
tanto los US-GAAS como los ISA (e igualmente, la ley 43/90 en Colombia2) han recogido la
‘segunda norma relativa a la ejecución del trabajo’: “debe hacerse un apropiado estudio y
una evaluación del sistema de control interno existente, de manera que se pueda coniar en
él como base para la determinación de la extensión y oportunidad de los procedimientos
de auditoría.”
Si bien no se elimina que dichos estudio y evaluación sirvan como base para determinar
la extensión y oportunidad de los procedimientos de auditoría, la auditoría del control
interno que incorpora esta ley va, considerablemente, mucho más allá, dado que se trata
de emitir un reporte de auditoría (informativo, exacto e independiente) que contenga una
atestación hecha de acuerdo con los estándares para contratos de atestación emitidos o
adoptados por la PCAOB.
2 A partir de la ley 1314 de 2009 Colombia inició el camino de convergencia hacia los estándares
internacionales, que incluye la incorporación de los ISA a través de su traducción al español, las
NIA, en versiones que no siempre corresponden al estándar actualizado.
144 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.
El texto legal al cual hace referencia este primer comentario señala textualmente:
Igualmente, los ejecutivos que irman (certiican) deben señalar en el reporte si existieron
o no cambios importantes en los controles internos o en otros factores que pudieran afec-
tar de manera adversa los controles internos, posteriores a la fecha de la evaluación que
realizaron, incluyendo cualesquiera acciones correctivas en relación con las deiciencias
signiicantes y las debilidades materiales.
Este conjunto no solo conlleva nuevas responsabilidades, sino que es bastante com-
plejo desde el punto de vista técnico. Puede airmarse que recoge la perspectiva de la
administración de riesgos del emprendimiento vinculada al control interno: deja a un lado
el muestreo selectivo e incorpora lo relacionado con debilidades materiales, deiciencias
signiicantes y acciones correctivas.
En total sintonía el nuevo modelo de riesgos de auditoría de los estándares interna-
cionales de auditoría y de los estándares de los principales emisores nacionales (USA, UK,
Canadá, Hong Kong, Australia, Nueva Zelanda).
Por lo tanto, este es un conjunto que tendrá enormes desarrollos en el futuro e
importantes consecuencias prácticas.
El texto legal al cual hace referencia este primer comentario señala textualmente:
(5) the signing oicers have disclosed to the issuer’s auditors and the audit
committee of the board of directors (or persons fulilling the equivalent
function)-
(A) all signiicant deiciencies in the design or operation of
internal controls which could adversely afect the issuer’s
ability to record, process, summarize, and report inancial
data and have identiied for the issuer’s auditors any mate-
rial weaknesses in internal controls; and
(B) any fraud, whether or not material, that involves manage-
ment or other employees who have a signiicant role in the
issuer’s internal controls; and
(6) the signing oicers have indicated in the report whether or not there
were signiicant changes in internal controls or in other factors that
could signiicantly afect internal controls subsequent to the date of
their evaluation, including any corrective actions with regard to sig-
niicant deiciencies and material weaknesses.
Sin dudas, ello hace parte de los esfuerzos mundiales por precisar (y ampliar) el alcance
de la auditoría independiente. Esta tradicionalmente comprendía solamente la auditoría
de estados inancieros. Ahora, comprende tres elementos estrechamente relacionados:
(1) auditoría de estados inancieros (2) auditoría del control interno, y (3) auditoría del
cumplimiento. Ello constituye un fortalecimiento de la auditoría independiente, asociado
con las fuertes exigencias de independencia para tales auditores.
El asunto no queda solamente en manos de los auditores independientes. Conlleva
importantes responsabilidades para los administradores. En concreto dos:
(1) La responsabilidad por establecer una estructura y unos procedimientos de
control interno que sean adecuados, y
(2) La responsabilidad por hacer una valoración sobre la efectividad de tales es-
tructura y procedimientos.
Debe resaltarse cómo ello gira alrededor del proceso de presentación de reportes
inancieros (inancial reporting), una precisión muy importante para evitar caer en los
dominios de otras auditorías para las cuales no se reconoce la experticia de los contadores
públicos: las auditorías de calidad (a partir de los estándares ISO 9000) y las auditorías de
las operaciones (según estándares de ingeniería).
Una vez más, el centro de atención se ubica en la contabilidad entendida ahora no en el
sentido estrecho tradicional sino en el amplio a partir de un análisis de la cadena de valor
(inancial reporting). En total sintonía con los International Financial Reporting Standards
– IFRS (Estándares internacionales del proceso de presentación de reportes inancieros,
traducidos también como Normas Internacionales de Información Financiera – NIIF).
Con relación a la evaluación/valoración de la efectividad del control interno, aquí se
encuentran otras innovaciones importantes al hacer obligatorio que la administración
realice las suyas propias y las someta a un proceso de atestación.
Las evaluaciones tradicionales del control interno eran realizadas por los auditores
de estados inancieros, con una clara intencionalidad de determinar el alcance de las
pruebas de auditoría. Adicional a ello, en la práctica derivaban en unas listas interminables
de recomendaciones de control a las cuales la administración prestaba poca atención y
respecto de las cuales los mismos auditores no hacían prácticamente ningún seguimiento.
Al obligar que la administración realice su propia valoración del control interno resalta
la responsabilidad de ésta en relación con la estructura y los procedimientos de control
interno y fortalece la evaluación a cargo de los auditores internos. Por efectos prácticos,
no se entiende que al interior de la administración se realicen dos evaluaciones del control
interno, una por parte de la administración y otra a cargo de los auditores internos. Esto
fortalece el nuevo enfoque de auditoría interna, derivado de la nueva deinición de
auditoría interna promulgada en 1999.
El obligar a que las irmas registradas de contaduría pública, esto es, los auditores
externos, hagan una atestación de ello, coloca en un primer plano de interés público lo
relacionado con el control interno.
6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 149
El texto legal al cual hace referencia este primer comentario señala textualmente:
4 Securities and Exchange Commission, Release Nos. 33-8238, 34-47986; IC 26068; File Nos. S7-40-
02; S7-06-03. June 5/2003. La traducción que aquí se presenta fue realizada por S.A.Mantilla, no
es oicial y no es autorizada, se realiza exclusivamente con ines académicos y corresponde a un
fragmento de la regla inal que se cita. Se omiten las referencias bibliográicas y notas del origi-
nal.
6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 151
1. Regla propuesta
Las reglas propuestas habrían deinido el término “internal controls and procedures for
inancial reporting” (controles internos y procedimientos para el proceso de presentación
de reportes inancieros) para signiicar los controles que pertenecen a la preparación
de estados inancieros para propósitos externos que se presentan razonablemente en
conformidad con los principios de contabilidad generalmente aceptados tal y como son
direccionados por la Codiication of Statements on Auditing Standards §319 o cualquier
deinición que los reemplace u otra literatura emitida o adoptada por la Public Company
Accounting Oversight Board.
Tal y como se nota en el Proposing Release, ha existido alguna confusión en relación
con el signiicado y el alcance exactos del término “control interno,” dado que la deinición
del término ha evolucionado en el tiempo. Históricamente, el término “control interno” se
aplicó casi exclusivamente al interior de la profesión contable. Como la auditoría de esta-
dos inancieros evolucionó desde un proceso de prueba detallada de las transacciones y
de los balances de las cuentas hacia un proceso de muestreo y prueba, en la planeación de
la auditoría se hizo necesario prestar mayor consideración a los controles internos de una
compañía. Si un componente del control interno ha sido diseñado de manera adecuada,
entonces el auditor limitaría la consideración adicional de ese control a los procedimien-
tos para determinar si el control ha estado operando. De acuerdo con ello, en la ejecución
de la auditoría el auditor coniaría en el control como base para reducir la cantidad, opor-
tunidad o extensión de las pruebas sustantivas. De manera inversa, si un auditor deter-
minó que un componente del control interno fue inadecuado en su diseño u operación,
entonces el auditor no coniaría en ese control. En este caso, el auditor realizaría pruebas
de las transacciones y desempeñaría análisis adicionales en orden a acumular evidencia
de auditoría que sea suiciente y competente para soportar su opinión sobre los estados
inancieros.
Desde el principio, se reconoció que control interno es un concepto amplio que
se extiende más allá de las funciones de contabilidad de una compañía. Los primeros
intentos para deinir el término se centraron principalmente en clariicar la porción
del control interno de una compañía que el auditor debe considerar cuando planea y
desempeña una auditoría de los estados inancieros de una compañía. Sin embargo, esto
no mejoró el nivel de entendimiento del término, ni proveyó de manera satisfactoria
la orientación que buscaron los auditores. Siguieron deiniciones sucesivas y estudios
formales del concepto de control interno.
En 1977, con base en las recomendaciones de la Commission, el Congreso promulgó
la Foreing Corrupt Practices Act (“FCPA”). La FCPA codiicó las provisiones relacionadas con
el control contable contenidas en Statement of Auditing Standards No. 1 (codiicado
como AU §320 en la Codiication of Statements on Auditing Standards). Bajo la FCPA, las
compañías que tienen una clase de valores registradas bajo la Section 12 de la Exchange
Act, o que requieren archivar reportes bajo la Section 15(d) de la Exchange Act, se les
requiere que diseñen y mantengan un sistema de controles internos contables que sea
suiciente para proveer seguridad razonable de que:
• las transacciones se ejecutan de acuerdo con autorización general o especíica de
la administración;
152 AUDITORÍA DEL CONTROL INTERNO SAMUEL ALBERTO MANTILLA B.
5 En español: Control Interno – Estructura conceptual integrada, publicado por Ecoe Ediciones,
Bogotá (N del t).
6. EL CONTROL INTERNO Y LA LEY SARBANES-OXLEY 153
DESARROLLOS RECIENTES
La implementación de las determinaciones de la Ley Sarbanes-Oxley del 2002 ha
continuado.
Se destacan dos documentos que están concretando el asunto en lo que tiene que ver
con la evaluación y valoración del control interno (a cargo de los administradores) y con la
auditoría del control interno (a cargo de los auditores independientes):
1. Orientación de la Securities and Exchange Commission – SEC – relacionada con el
informe de la administración sobre el control interno a la información inanciera
bajo la Sección 13(a) o 15(d) de la Securities Exchange Acto f 1934. Regla inal.
[Commission guidance regarding management’s report on internal control over
inancial reporting Ander section 13(a) or 15(d) of the Securities Exchange Acto f 1934:
inal rule].
2. Estándar de auditoría No. 5 de la US-PCAOB: Auditoría del control interno sobre la
información inanciera, que está integrada con la auditoría de estados inancieros. Y
regla de independencia relacionada y ajustes por las enmiendas [An audit of internal
control over inancial reporting that is integrated with an audit of inancial statements
and related independence rule and conforming amendments]. Este estándar fue
reformateado en el AS 2201 actualmente vigente.
Debe resaltarse que los documentos mencionados son para el mercado de valores de los
Estados Unidos, pero rápidamente han sido replicados fuera del mercado de valores y
fuera de los Estados Unidos, lo cual resalta su importancia.