Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
CONSULTIVO
Contenido
1. Introducción
3 Preguntas y Respuestas
16 Conclusión
Introducción
KPMG LLP ha preparado este documento para la gerencia, los miembros de los equipos
corporativos que trabajan para el cumplimiento de la Ley Sarbanes-Oxley de 2002 (la Ley) sección
404 (SO 404) y los miembros del comité de auditoría. Está diseñado para ayudar a aclarar una serie
de cuestiones clave relacionadas con el proceso de evaluación de la administración según lo
requiere SO 404. Específicamente, aborda las preguntas frecuentes y proporciona pautas
generales que la administración puede usar para planificar y evaluar la efectividad del control
interno sobre la información financiera.
Este documento contiene solo una discusión general de los asuntos incluidos y no debe
considerarse como un consejo para ninguna empresa en particular, ya que no se
consideran hechos y circunstancias individuales, que pueden variar mucho de una
empresa a otra. Algunas de las discusiones en este documento se basan en las
preguntas y respuestas emitidas por el personal del Contador Jefe y la División de
Finanzas Corporativas de la Comisión de Bolsa y Valores (SEC) y por el personal de la
Junta de Supervisión Contable de Empresas Públicas (PCAOB). Los puntos de vista y
opiniones del personal de la SEC y la PCAOB podrían cambiar en el futuro.
Es importante señalar que un ejemplo de la naturaleza evolutiva de esta discusión ocurrió cuando
este documento estaba siendo finalizado para su impresión. Esto incluye la emisión de un conjunto
revisado de preguntas y respuestas del personal de la SEC, así como preguntas y respuestas
adicionales del personal de la PCAOB. Estas preguntas y respuestas publicadas recientemente
brindan más aclaraciones sobre cuestiones relacionadas con los siguientes asuntos, entre otros:
• El alcance del control interno sobre la información financiera en relación con el cumplimiento de
las leyes y reglamentos
• El efecto que la falta de un informe Tipo II disponible bajo la Declaración AICPA sobre
Normas de Auditoría (SAS) 70 de una organización de servicios puede tener en la
evaluación de la administración y los informes del auditor independiente
• El recorrido del auditor independiente de las principales clases de transacciones
procesadas por una organización de servicios
Las revisiones en curso como estas agregan aún más urgencia a nuestra recomendación de que la
administración debe trabajar en estrecha colaboración con los abogados, los auditores independientes de
la compañía y otros asesores para determinar el impacto potencial que estas o cualquier revisión futura de
la guía puedan tener a la luz de las circunstancias específicas de la organización.
Proporcionar una hoja de ruta para la gestión
También discutimos las pautas generales que la gerencia La administración cumple con estas
puede usar como punto de partida para responder las responsabilidades mediante la adopción de un
preguntas que surgen a medida que desarrolla e enfoque integral que incluye una planificación y
implementa sus propios procesos de evaluación. evaluación minuciosas de su sistema de controles
internos. La gerencia debe documentar los
controles de la empresa y comenzar a probar su
Comprender los roles: la gerencia y eficacia. Es importante que la dirección conceda
el auditor independiente
tiempo suficiente para completar este proceso a
fin de proporcionar una base adecuada para su
La administración es responsable de incluir un
evaluación y para responder a las deficiencias que
informe de control interno en su informe anual
se identifiquen. La identificación temprana de las
que:
deficiencias puede proporcionar a la gerencia el
• Establece la responsabilidad de la administración
tiempo suficiente para corregir las deficiencias y
para establecer y mantener una estructura y
determinar la eficacia operativa de los controles
procedimientos de control interno adecuados
antes de la presentación de informes de fin de
La Ley Sarbanes-Oxley ha cambiado la cara del para la información financiera
año.
gobierno corporativo. Muchas organizaciones • Contiene una evaluación, al cierre del
ya están trabajando en la planificación e ejercicio fiscal más reciente del emisor, de
Hay una serie de métodos que una empresa puede
implementación de procesos que les ayudarán la efectividad del sistema interno
elegir para desarrollar un enfoque para cumplir con
a evaluar la eficacia de su control interno sobre estructura de control y procedimientos del emisor
sus responsabilidades relacionadas con su evaluación
la información financiera (ICOFR). para la información financiera.
del control interno sobre la información financiera.
auditores independientes sobre algunos de estos La dirección debe cumplir una serie de
temas. Usando esta guía junto con la experiencia responsabilidades importantes.1, incluido:
colectiva ya adquirida por la gerencia, podemos • Aceptar la responsabilidad por la
comenzar a identificar y abordar algunas de las efectividad del ICOFR de la empresa
preguntas y problemas que enfrenta la gerencia. • Evaluar la eficacia del ICOFR de la empresa
utilizando criterios de control adecuados,
como los criterios COSO (Comité de
Organizaciones Patrocinadoras de la
Comisión Treadway)
1 Si el auditor concluye que la administración no ha cumplido con estos
responsabilidades, el auditor debe comunicar por escrito a la administración y
al comité de auditoría que la auditoría del control interno sobre la información
financiera no puede completarse satisfactoriamente y que el auditor debe
denegar una opinión.
2 SARBANES - OXLEY SECCIÓN 404
Preguntas y respuestas
En las siguientes páginas ofrecemos respuestas a preguntas comunes que pueden surgir
durante estos pasos del proceso de evaluación:
• Planificación y determinación del alcance de la evaluación
• Documentar y evaluar el diseño y la eficacia operativa de los controles.
Además, la gerencia debe revisar la literatura autorizada emitida por la SEC para las entidades
registradas y por la PCAOB para los auditores independientes para obtener una comprensión
más completa de lo que se espera de la empresa. Esto también ayudará a la gerencia a
prepararse mejor para los respectivos plazos de presentación de informes.
Sección I. Planificación y ¿Debe la gerencia documentar ICOFR para No se requiere ninguna forma particular de
todas las ubicaciones o unidades de documentación y la forma y el alcance de la
Determinación del Alcance negocios?
documentación pueden variar según el tamaño, la
• Formularios
• Mesas de decisión
• Escritos procesales Desde la perspectiva de un auditor independiente,
pueden estar sujetos a diferentes riesgos desarrollarse en el futuro. Como resultado, la Debido a que las aplicaciones de TI a menudo respaldan el
(inherentes y de control), así como a diferentes gerencia puede querer revisar estos marcos a inicio, la autorización, el registro, el procesamiento y la
controles. Estos componentes deben considerarse medida que surgen para determinar si presentación de informes de transacciones financieras, los
por separado como cuentas potencialmente representan métodos más apropiados en los controles de TI pueden representar una parte integral de
significativas. Los auditores independientes pueden que basar las evaluaciones. ICOFR. Las aplicaciones de informes financieros a menudo
considerar significativos los componentes son compatibles con muchas aplicaciones auxiliares o
separados de un título debido a la estructura ¿Qué es el marco de gestión de
alimentadoras que proporcionan datos financieros críticos, y
organizativa de la empresa. Por ejemplo, el rubro
riesgos empresariales? ¿Reemplaza
las empresas pueden depender de una gran cantidad de
esto el marco COSO existente?
“cuentas por cobrar netas” puede dividirse en al aplicaciones para cumplir sus objetivos.
COSO ha publicado un borrador de un documento
menos tres cuentas separadas: créditos nacionales,
titulado "Marco de gestión de riesgos
créditos extranjeros y la provisión para cuentas
empresariales". El nuevo estudio incorpora, pero no
incobrables. Además, si una empresa tiene varias Una vez que se determina que una aplicación está
reemplaza, el estudio COSO de 1992 sobre control
unidades de negocios separadas, cada una con dentro del alcance del proceso, la gerencia debe (1)
interno. Además, está “diseñado para generar una
procesos contables y de administración únicos, los documentar los componentes aplicables de la
'conciencia de riesgo y control' consistente en toda
componentes de los títulos en cada unidad de aplicación, (2) identificar los controles significativos
la empresa y para convertirse en un modelo
negocios por separado o incluso dentro de una diseñados dentro de la aplicación para lograr
comúnmente aceptado para discutir y
unidad de negocios también pueden considerarse objetivos específicos, (3) obtener una comprensión
individualmente como cuentas potencialmente de la TI arquitectura e infraestructura en torno a la
evaluar los procesos de gestión de
significativas. aplicación, y (4) probar los cuatro componentes de
riesgos de la organización”.
los controles generales de TI (consulte el gráfico en
la página 5) que tienen un efecto generalizado en la
Doug Prawitt de la Universidad Brigham
¿Se puede usar un marco que no
aplicación. Como parte de su documentación, la
sea COSO? Young, miembro del Consejo Asesor de COSO,
gerencia debe incluir un nivel de detalle suficiente
La gerencia puede usar un marco que no sea fue citado diciendo: “Muchas organizaciones
para describir los procesos dentro del alcance y los
COSO, si el marco seleccionado es un marco de han adoptado el marco de control de COSO,
controles significativos construidos dentro de las
control adecuado y reconocido. Esto se puede varios estándares de auditoría se basan en ese
aplicaciones que respaldan esos procesos. El
definir como un marco que ha sido establecido por marco y parece que los informes de control
cuadro de la página 5 proporciona un ejemplo de
un organismo o grupo siguiendo procedimientos interno requeridos por Sarbanes- Oxley se
cómo los controles generales de TI se pueden
de debido proceso, incluida una amplia distribución basará en gran medida en el modelo de control
vincular a aplicaciones y procesos.
del marco para comentarios públicos. interno COSO. Así que fue absolutamente
crítico
servicio.
de la organización de servicios impuestos al valor agregado, así como los relacionados con (1) una discusión en el Formulario 10-K o
• Cambios en los contratos o acuerdos de nivel de la contabilidad de Formulario 10-KSB de la entidad registrada con
servicio con la organización de servicios Las transacciones entre empresas, aduanas y respecto al alcance de la evaluación y (2) dicha
• Errores en el procesamiento de la organización de transfronterizas podrían ser una parte integral de divulgación, señalando que la gerencia excluyó el
servicios otros procesos financieros clave. negocio adquirido del informe de la gerencia sobre
ICOFR. Sin embargo, si se hace tal referencia, la
Contador Jefe y la División de Finanzas Corporativas adquirido que se excluyó e indicar la importancia
de la SEC (el personal de la SEC) indicaron que creen del negocio adquirido en los estados financieros
6 SARBANES - OXLEYSECCIÓN 4 0 4
El personal de la SEC indicó que a pesar de la Cuando una empresa realiza una oferta ICOFR normalmente se realizaría de
exclusión de la gerencia de los controles internos pública inicial, ¿debe incluir la evaluación de conformidad con las disposiciones del
la administración sobre la efectividad de
de un negocio adquirido de su evaluación anual, Estándar de Auditoría No. 2 de la PCAOB.
ICOFR y un informe de auditoría relacionado
una empresa debe revelar cualquier cambio
sobre el control interno en una declaración
importante en su control interno sobre los informes ¿Hasta qué punto es apropiado que la
de registro inicial presentada en el
gerencia discuta áreas del proceso de
financieros que se deba a la adquisición de formulario S-1?
información y contabilidad financiera con
conformidad con la Exchange Act Rule 13a-15(d ) o No. El Formulario S-1 presentado de conformidad
los gerentes de la empresa?
la Regla 15d-15(d) de la Ley de Bolsa. Además, el con un registro inicial de valores no requiere la auditor independiente?
período en el cual la administración puede omitir inclusión de la información requerida por el La consulta con el auditor independiente sobre
una Artículo 308 (Control interno sobre los informes cuestiones de contabilidad y presentación de informes
la evaluación del control interno de un negocio financieros) del Reglamento SK. La regla final de la facilita la calidad de la auditoría. En consecuencia,
adquirido sobre los informes financieros a partir de SEC,Informes de la Gerencia sobre el Control creemos que es importante que la administración de
su evaluación del control interno de la empresa no Interno de la Información Financiera y Certificación la empresa continúe consultando libremente con el
puede extenderse más allá de un año a partir de la de Divulgación en los Informes Periódicos de la Ley auditor independiente de la empresa con respecto a
fecha de adquisición. Dichas evaluaciones tampoco de Bolsa, afecta a las entidades sujetas a los este tipo de temas. Sin embargo, el consejo del
podrán omitirse en más de un informe anual de requisitos de presentación de informes de la Ley de auditor independiente no puede servir como un
gestión sobre el control interno de la información Bolsa de Valores de 1934. La Sección 404 de la Ley sustituto para que la administración desempeñe sus
financiera. Actualmente no existe una guía de la Sarbanes-Oxley se aplica a una entidad registrada propias responsabilidades. La gerencia sigue siendo
SEC o PCAOB que aborde específicamente cómo la para el primer informe anual después de que la responsable de la selección y aplicación de políticas y
administración debe tratar las desinversiones para entidad se convierte en un "emisor" (después de prácticas contables y del diseño y operación efectiva
los propósitos de la sección 404. Sin embargo, la considerar las fechas de vigencia de la Regla Final de los controles sobre el proceso de información
evaluación de la administración de la de la SEC con respecto a acelerado y financiera de la entidad.
clave.
Hasta la fecha, muchas empresas han identificado
una gran cantidad de controles durante su ¿Qué controles se consideran
documentación ICOFR. En algunos casos, hay varios controles a nivel de empresa y cómo
controles que abordan el mismo objetivo y deben evaluarse?
afirmación de control. Para ayudar a la gerencia a Los controles a nivel de empresa a menudo tienen un
identificar los controles apropiados para las impacto generalizado en los controles a nivel de
pruebas y para respaldar su afirmación sobre la proceso, transacción o aplicación. Como parte del
eficacia de ICOFR, las empresas encuentran útil proceso de evaluación, la gerencia debe considerar
priorizar los controles para las pruebas hasta qué punto se implementarán los controles a nivel
8 SARBANES - OXLEYSECCIÓN 4 0 4
• Controles dentro del entorno de control, incluido el Determinar si existen suficientes controles a ¿Cómo determina la gerencia si un
tono en la parte superior, la asignación de autoridad nivel de empresa es una cuestión de control está diseñado de manera
efectiva?
y responsabilidad, la consistencia de políticas y juicio gerencial. Sin embargo, para tomar una
Las pruebas de diseño se llevan a cabo para determinar
procedimientos, y decisión informada, la gerencia debe seguir un
si los controles, si funcionan correctamente, pueden
programas de toda la empresa (como códigos de proceso de dos pasos. Primero, debe
prevenir o detectar de manera efectiva errores en los
conducta y prevención de fraude) que se aplican a determinar la naturaleza y el alcance de los
registros financieros de la entidad. Las pruebas de
todas las ubicaciones y unidades comerciales. controles que deben implementarse para
diseño generalmente se realizan investigando y
También se incluyen las políticas aprobadas por la lograr los objetivos de la organización. Luego
validando la observación o inspección de documentos,
junta que abordan las prácticas significativas de debe decidir si estos controles están diseñados
como informes y formularios completos; a través de
control comercial y gestión de riesgos. y funcionan de manera efectiva.
indicaciones en pantalla, como errores o advertencias;
• Proceso de evaluación de riesgos de la gerencia.
o, de manera más efectiva, realizando un "recorrido"
• El proceso de información financiera de fin de La gerencia debe tener en cuenta que probar los
del proceso.
período. controles a nivel de la empresa por sí solo no es
• Seguimiento de los resultados de las operaciones; suficiente para que la gerencia concluya si ICOFR
Aunque no se requiere que la gerencia los
función de auditoría interna, comité de auditoría y es efectivo.
realice, los recorridos de proceso pueden
actividades del programa de autoevaluación; y
ayudar a la gerencia a:
procesamiento centralizado, como entornos de
• Confirmar su comprensión del flujo del
servicios compartidos.
proceso de transacciones
• Confirmar su comprensión del diseño de los
controles identificados para los cinco
Como se muestra en el cuadro anterior, la gerencia puede ver el punto de control 2 (CP2) como un control fuerte y manual, preventivo o detectivo)
confiable. Además, si el control de CP2 está funcionando de manera efectiva, la prueba de CP1 puede ser redundante y, • Frecuencia de control (diaria, semanal,
por lo tanto, innecesaria. (Del mismo modo, CP1 puede estar funcionando de manera efectiva y las pruebas de CP2 mensual)
pueden ser redundantes e innecesarias). En general, el personal estrechamente relacionado con el proceso y los • Experiencia y competencia de la
controles debe participar en la identificación de los controles que se van a probar. persona que realiza el control
Es importante tener en cuenta que, por lo general, la importancia general del control. sobre la información financiera.
eficacia del diseño. El alcance de las pruebas también depende La gerencia debe basar su decisión en todos estos
del riesgo de falla del control que se está factores. La tabla de esta página ilustra ejemplos
Al probar el funcionamiento probando. El riesgo de falla se define como el de tamaños de muestra mínimos a tener en cuenta
efectividad, ¿cuántas pruebas debe
riesgo de una incorrección material que al planificar el alcance del trabajo de prueba sobre
realizar la gerencia? ¿Qué tamaños de
surge de la falla de un control. Si la gerencia la eficacia operativa del control manual. La
muestra de prueba se deben usar?
cree que existe un alto riesgo de falla, la determinación de la gerencia de los tamaños
La cantidad de pruebas depende de varios
gerencia debe considerar ampliar el alcance mínimos de muestra no debe basarse en los
factores. Sin embargo, debe ser lo
de las pruebas para ese control. ejemplos que se muestran en la tabla; la gerencia
suficientemente completo para apoyar la
debe seleccionar tamaños de muestra que le
evaluación de la gerencia de la
Los factores que afectan si el control puede proporcionen evidencia suficiente con base en los
eficacia de los controles internos. Esto debe incluir
representar un mayor riesgo de falla incluyen: hechos y circunstancias específicos de la empresa.
la consideración de todas las afirmaciones
• Cambios en el volumen o la naturaleza de las
relevantes para cada cuenta y divulgación incluidas
transacciones que podrían afectar adversamente el
en el alcance de la evaluación de la administración.
diseño del control o la efectividad operativa En situaciones donde un control que se aplica a
En general, las pruebas de la administración deben
• Cambios en el diseño de los controles cada transacción está automatizado a través del
ser más extensas que las del auditor
• El grado en que el control depende de la sistema de TI, una consulta del sistema puede ser
independiente. Esto no significa que, en todos los
eficacia de otros controles (por ejemplo, el la técnica de prueba más adecuada. Con esta
casos, los tamaños de muestra de la administración
entorno de control o los controles técnica, una consulta puede ser una prueba
para un solo control en una sola ubicación sean
generales de TI) adecuada para un control de TI que se espera que
mayores que los del auditor. Simplemente significa
• Cambios en el personal clave que realiza opere consistentemente en un ambiente bien
que las pruebas de gestión, tomadas como un todo,
el control o monitorea su desempeño controlado. La consulta del sistema se puede
deberían ser más completas y potencialmente
• Si el control se basa en el desempeño de utilizar para probar la eficacia operativa si la
cubrir más procesos, controles, cuentas y unidades
un individuo o está automatizado gerencia está satisfecha con los resultados de la
de negocio o ubicaciones.
• La complejidad del control prueba de diseño.
OPERACIÓN DE CONTROL MÍNIMO OPERACIÓN DE CONTROL MUESTRA • Recuperar información de una aplicación de TI
FRECUENCIA TAMAÑO DE LA MUESTRA FRECUENCIA TAMAÑO
sobre la configuración o designaciones dentro
Mensual 2–4 manual recurrente 30–60 obtener una lista de personas que tienen
controlar (múltiples autoridad para realizar una determinada
veces al día)
función en el sistema a fin de evaluar la
segregación de funciones.
10 SARBANES - OXLEYSECCIÓN 4 0 4
¿Distingue un auditor independiente individuos que realizan el trabajo, así
entre las pruebas realizadas por como la calidad y eficacia de
auditoría interna y las pruebas
documentación que respalde la evaluación de la
realizadas por la dirección?
gerencia.
El auditor independiente debe realizar suficiente
trabajo de prueba que respalde su opinión de
Los factores que generalmente afectan la decisión
modo que el propio trabajo del auditor
del auditor independiente de usar el trabajo de
proporcione la evidencia principal para la opinión
otros incluyen aspectos de la naturaleza del control,
del auditor. Teniendo en cuenta este requisito de
tales como:
evidencia principal, el auditor independiente
• Materialidad de las cuentas y revelaciones
también puede usar el trabajo de otros en una
que aborda el control, así como el riesgo
auditoría de ICOFR.
de incorrección material
• Grado de juicio requerido para evaluar
Si bien el auditor independiente no está obligado a
la efectividad operativa del control
utilizar el trabajo realizado por otros, el auditor
• Omnipresencia del control
independiente puede, en ciertas áreas, optar por
• Nivel de juicio o estimación requerido en
hacerlo en función de:
la cuenta o revelación controles de desarrollo del programa, esta
• Objetividad y competencia del
• Potencial de anulación del control por parte de la
individuo que realizó el trabajo documentación puede formar la base de la
gerencia
• Calidad y eficacia del trabajo evaluación y prueba de la gerencia. En estos
• Naturaleza de los controles probados por casos, la gerencia también debe tener suficiente
Hay áreas en las que el auditor independiente
otros individuos documentación de los controles de cambio de
no puede utilizar el trabajo de otros. Estas áreas
• Calendario del trabajo realizado programa desde la fecha de
incluyen recorridos y pruebas de la eficacia
• Resultados de la repetición por parte del instalación hasta la fecha actual.
operativa del control en relación con el entorno
auditor de cierto trabajo realizado por otros
de control, incluidos los controles diseñados
De acuerdo con las disposiciones del Estándar de
específicamente para prevenir y detectar el
Por ejemplo, si un individuo responsable de la Auditoría No. 2 de la PCAOB, la gerencia debe
fraude.
operación de un control también prueba las demostrar que tiene un conocimiento profundo de
pruebas de efectividad operativa del control, esta cómo se inician, autorizan, procesan, registran y
Muchas organizaciones tienen sistemas
autoevaluación personal no se considerará reportan todas las clases significativas de
y aplicaciones de TI que se instalaron
objetiva. Como resultado, el auditor antes del año en curso. ¿Debería la transacciones. Ese entendimiento debe
independiente no puede usar este trabajo para gerencia probar el diseño y la eficacia documentarse con suficiente detalle para facilitar el
operativa de los controles generales de desempeño de un proceso o recorrido de
realizar su evaluación independiente.
TI del desarrollo del programa para transacción. La gerencia debe realizar pruebas
estos sistemas y aplicaciones?
Si los miembros del departamento de auditoría suficientes de los sistemas instalados en años
interna (u otras personas que trabajan bajo la anteriores para ayudar a garantizar que los
Todos los sistemas y aplicaciones que respaldan
dirección de la gerencia y no son responsables procesos contables significativos (cálculos,
los procesos de información financiera deben
de la operación de control) realizan las pruebas, publicaciones, etc.) funcionen correctamente y que
contar con los controles de TI generales
el trabajo generalmente se considerará más los controles de aplicación significativos estén
apropiados, incluidos los controles de desarrollo
objetivo que el trabajo realizado por aquellos funcionando correctamente.
de programas. La gerencia debe evaluar estos
operando según lo previsto.
que están controles de desarrollo del programa.
responsable de la operación de control (por
ejemplo, autoevaluación de control). Por Cuando la dirección disponga de la
supuesto, el auditor independiente sigue documentación original de la instalación
evaluando la objetividad y competencia del inicial de una aplicación o sistema relativa a
generales de TI que otros sistemas, estos controles nivel de empresa están funcionando de manera
efectiva?
deben ser apropiados para ayudar a garantizar la
Por lo general, no es posible probar los
integridad y precisión de los datos informados, la
controles a nivel de empresa sin visitar
consistencia de la presentación, el cálculo y la
algunas o todas las ubicaciones o unidades
validación adecuados, y la seguridad adecuada a la
comerciales en las que operan. La efectividad
importancia y complejidad de los informe u hoja de
de algunos controles a nivel de empresa,
cálculo.
como la implementación de un código de
evaluarlo es fundamental. Este proceso incluye los La cantidad de ubicaciones o unidades comerciales
procedimientos utilizados para: que se incluyen en la prueba es una cuestión de
• Ingrese los totales de las transacciones en el libro criterio. Al determinar el número de ubicaciones a
mayor visitar, la gerencia puede considerar factores tales
¿SO 404 requiere controles adicionales • Iniciar, autorizar, registrar y procesar como el grado de centralización de los controles, la
para informes ERP flexibles, hojas de asientos de diario en el libro mayor similitud del diseño de procesos y controles entre
cálculo y otros tipos de computación
• Registrar ajustes recurrentes y no las ubicaciones y la consistencia de los controles.
de usuario final?
recurrentes a los estados financieros
Las aplicaciones informáticas del usuario final, como
anuales y trimestrales, tales como políticas contables o descripciones de puestos.
hojas de cálculo e informes, pueden presentar a una
consolidación de ajustes, combinaciones Obviamente, las ubicaciones que se incluyen en
organización un conjunto único de necesidades
de informes y clasificaciones las pruebas deben ser representativas de las
generales de control de TI. Esto se debe a que
• Borradores de estados financieros anuales y poblaciones de ubicaciones o unidades
proporcionar a los usuarios finales este tipo de
trimestrales y divulgaciones relacionadas comerciales que se consideran importantes
herramientas flexibles generalmente aumenta el riesgo
cuando se agregan. Además, el alcance del
de declaraciones erróneas causadas por errores debido
Como parte de su proceso de evaluación, la gerencia trabajo de prueba debe ser mayor que el
a datos incompletos o inexactos. Dado que el resultado
debe probar los controles sobre cada uno de los realizado por el auditor independiente.
de los procesos informáticos del usuario final aparece
elementos enumerados anteriormente. Esta prueba
con frecuencia como un documento autorizado en el
debe realizarse en los controles utilizados para producir
que la dirección se basará en sus informes financieros,
información financiera anual y trimestral.
las aplicaciones informáticas del usuario final que
12 SARBANES - OXLEYSECCIÓN 4 0 4
Sección III. Identificación, ¿Puede existir una debilidad material en ICOFR determinar el alcance de las pruebas necesarias para
cuando una declaración errónea material concluir sobre la efectividad de un control
evaluación y corrección de en los estados financieros no ha
remediado.
ocurrido o ha sido identificado?
deficiencias
Sí, puede existir una debilidad material en
Por ejemplo, la gerencia puede tener una política
ICOFR aunque no se haya producido o
La gerencia debe establecer un establecida que rija el alcance de las pruebas, como el
identificado una incorrección material en los
proceso a través del cual se tamaño de las muestras que se analizarán. La
estados financieros. La importancia de una
identifiquen y acumulen todas las administración considera que esta muestra es adecuada
deficiencia en ICOFR depende del potencial de
deficiencias en ICOFR en toda la para respaldar su afirmación sobre la efectividad del
incorrección, no sobre si realmente se ha producido
empresa. Esto ayudará control interno sobre la información financiera. En este
una incorrección. Por lo tanto, la administración y su
La gerencia concluye su evaluación de la ejemplo, la política de la gerencia establece que un
auditor independiente pueden concluir que existe una
efectividad del ICOFR evaluando la control manual que opera diariamente debe tener
debilidad material en ICOFR incluso si no ha ocurrido o
gravedad de todas las deficiencias sesenta3ocurrencias probadas. Si la gerencia identifica
no se ha identificado una incorrección material.
identificadas. Entre las preguntas que una deficiencia y soluciona el control, debe permitir
pueden surgir durante esta fase se suficiente tiempo para que se pruebe la eficacia
evaluar y probar los controles. Si se descubren No necesariamente. Con base en la guía del párrafo
deficiencias, la gerencia puede tener la oportunidad de E90 del Estándar de Auditoría No. 2 de la PCAOB, un
corregir y abordar estas deficiencias antes de la fecha número específico de deficiencias significativas no
del informe. Sin embargo, una vez que se implementa necesariamente determinará la existencia de una
un nuevo control, la gerencia debe permitir suficiente debilidad material en ICOFR. Sin embargo, todas las
tiempo para que sus operaciones validen la efectividad deficiencias significativas deben evaluarse para
naturaleza del control y la frecuencia con la que opera. Hay una serie de factores que podrían
En circunstancias ordinarias, la remediación de control considerarse al agregar las deficiencias,
que ocurre después del final del año no mitigará una incluido si las deficiencias significativas:
deficiencia identificada para propósitos de informes. El • Afecta la misma cuenta o divulgación
Estándar de Auditoría No. 2 de la PCAOB indica que el del estado financiero
auditor independiente debe abstenerse de opinar sobre • Impactar una afirmación común en una cuenta o
Los tamaños de muestra en esta discusión se presentan solo con fines ilustrativos. La determinación de la gerencia de los tamaños de muestra no debe ser
3
basado en el ejemplo discutido anteriormente; en su lugar, la gerencia debe seleccionar un tamaño de muestra que le proporcione evidencia suficiente basada en los
hechos y circunstancias específicos de la empresa.
deficiencia significativa como una deficiencia de control o cuantitativo como cualitativo de si la deficiencia es más bienes de capital, se pueden requerir aprobaciones para el
una combinación de deficiencias de control que resultan en que remota y más que intrascendente. En consecuencia, caso comercial, solicitud de propuestas, selección de
“una probabilidad más que remota” de que una declaración puede haber instancias en las que los montos de proveedores, órdenes de compra, informes de recepción,
errónea “más que intrascendente” de los estados financieros errores potenciales que son menores que la medida facturas y cheques. Cada una de estas aprobaciones tiene un
anuales o intermedios de una entidad. cuantitativa mencionada anteriormente también se objetivo operativo o de cumplimiento válido. Sin embargo,
declaraciones no serán prevenidas o detectadas. pueden considerar "más que intrascendentes", solo una de estas aprobaciones puede proporcionar el
La definición de intrascendente incluye una el juicio de la gerencia sobre estos factores cualitativos (por
combinación de conceptos del Staff Accounting ejemplo, posibles incorrecciones que involucren los requisitos SO 404 de la administración y, en
Bulletin (SAB) No. 99, Materialidad,y AU sección 312. transacciones con partes relacionadas). consecuencia, el alcance de las pruebas puede
La definición de intrascendente se basa en gran variar de un control a otro.
medida en la discusión de magnitud en SAB No. 99 ¿Cómo puede la gerencia identificar los controles que
se relacionan con la protección de los activos? ¿Cómo
y en AU sec. 312 por sus instrucciones con respecto Esto no significa que todos los controles de
se evalúan las deficiencias?
a la consideración de incorrecciones tanto autorización puedan considerarse controles de
COSO define la “protección” de los activos como la inclusión
salvaguardia. Por ejemplo, en circunstancias
de controles que brindan una seguridad razonable de
individualmente y en conjunto, así como la ordinarias, la autorización de asientos de diario no se
prevenir o detectar la adquisición, el uso o la disposición no
posibilidad de incorrecciones no detectadas. Una considera un control de salvaguarda, ya que la falta de
autorizados de los activos de la empresa que podrían tener
inexactitud esinconsecuentesi una persona autorización del asiento de diario generalmente no
un efecto material en los estados financieros. La salvaguarda
razonable concluiría, después de considerar la expondría a la empresa al uso indebido o a la
no se refiere a la continuidad del negocio de la empresa ni a
posibilidad de incorrecciones adicionales no apropiación indebida de los activos de la empresa. La
los planes de contingencia, ni a la protección física de los
detectadas, que la incorrección, ya sea primera consideración para determinar si un control es
activos ni a los controles sobre la toma de malas decisiones
individualmente o agregada con otras un control de protección es si existe la posibilidad de
comerciales.
incorrecciones, sería claramente irrelevante para un uso inapropiado o no autorizado de los activos de la
los estados financieros. Si una persona razonable empresa. Cuando exista este potencial, se debe
no pudiera llegar a tal conclusión con respecto a documentar el riesgo relacionado con la protección.
Esto significa que es importante determinar si el
una incorrección en particular, dicha incorrección Además, la gerencia debe reconocer tales riesgos al
uso de los activos de la empresa está autorizado,
esmás que intrascendente. analizar los procesos de información financiera.
no si el uso fue una buena o mala decisión
comercial. Por ejemplo,
La importancia de una deficiencia en el control
salvaguardar los activos según lo definido por COSO
interno depende del potencial de incorrección, no Una vez que se identifica una deficiencia en los
no contempla pérdidas por la prestación de un servicio
necesariamente de si realmente ha ocurrido una controles de salvaguarda, la consideración clave para
a un costo irrazonable, siempre y cuando esté
incorrección. A los efectos de evaluar la importancia los propósitos de la evaluación de la administración es
autorizado. Lo mismo ocurre con las pérdidas por
cuantitativa de las posibles incorrecciones que si tal acción podría resultar en una declaración errónea
investigaciones autorizadas pero improductivas o
resultan de las deficiencias del control interno, una en los estados financieros, no si los estados financieros
publicidad ineficaz.
pauta general para determinar "más que están expresados erróneamente. El factor clave es la
14 SARBANES - OXLEYSECCIÓN 4 0 4
Sección IV. Informes sobre Muchas empresas proporcionan a sus auditores
independientes borradores de estados
controles internos financieros para su revisión antes de la
aprobación de la empresa. ¿Cómo puede una
empresa demostrar al auditor que habría
Se requiere que la gerencia incluya su
detectado un error anotado en el borrador de
evaluación de la efectividad del ICOFR de los estados financieros?
la compañía en su informe anual. Se declaraciones que de otro modo
requiere que el informe de la gerencia resultarían en una debilidad material o
sobre ICOFR incluya lo siguiente: una deficiencia significativa?
Usando la guía emitida por el personal de la
para llevar a cabo las plazos para sus informes anuales. El personal de la
año fiscal más reciente de la los comentarios sobre el borrador de los estados
período de tiempo demasiado corto. Como resultado,
empresa, incluida una declaración financieros de la empresa son parte del proceso
este enfoque podría perjudicar, en lugar de mejorar, la
• Una declaración de que la firma de auditor independiente en una etapa posterior del
administración y el auditor.
auditó los estados financieros incluidos en proceso de revisión de la empresa está completo o
Está claro que la sección 404 de Sarbanes-Oxley presenta a la administración una serie de desafíos.
Creemos que un enfoque ideal para enfrentar estos desafíos es abrir una discusión amplia, entre la
gerencia, los auditores independientes, los miembros de los equipos corporativos de cumplimiento
de SO 404 y los miembros del comité de auditoría, en la que todos puedan unirse para desarrollar
pautas adecuadas para abordar responsabilidades de la administración en la evaluación del control
interno sobre la información financiera.
Esperamos que este documento contribuya a esa conversación y ofrezca a la gerencia, los
directores y los miembros del comité de auditoría una perspectiva útil para enfrentar sus
desafíos.
Si desea obtener más información sobre los desafíos que enfrentan los directores y los miembros
del comité de auditoría para satisfacer la creciente demanda de buenas prácticas de gobierno
corporativo, visite el sitio web del Instituto del Comité de Auditoría de KPMG http://
aci.kpmg.com.hk o comuníquese con los siguientes personas en nuestras oficinas de KPMG en
China y Hong Kong:
CarlsonTong david ko
socio a cargo Pareja
Servicios de Auditoría y Asesoría en Riesgos Servicios de Asesoría de Riesgos