Traducido del inglés al español - www.onlinedoctranslator.

com

Sarbanes-Oxley Sección 404: Proceso

de evaluación de la gerencia
Preguntas frecuentes

CONSULTIVO
Contenido

1. Introducción

2 Proporcionar una hoja de ruta para la gestión

3 Preguntas y Respuestas

3 Sección I. Planificación y determinación del alcance de la

evaluación

8 Sección II. Documentación y evaluación del diseño y la

eficacia operativa de los controles

13 Sección III. Identificación, evaluación y corrección de deficiencias

15 Sección IV. Informes sobre controles internos

16 Conclusión
Introducción

KPMG LLP ha preparado este documento para la gerencia, los miembros de los equipos
corporativos que trabajan para el cumplimiento de la Ley Sarbanes-Oxley de 2002 (la Ley) sección
404 (SO 404) y los miembros del comité de auditoría. Está diseñado para ayudar a aclarar una serie
de cuestiones clave relacionadas con el proceso de evaluación de la administración según lo
requiere SO 404. Específicamente, aborda las preguntas frecuentes y proporciona pautas
generales que la administración puede usar para planificar y evaluar la efectividad del control
interno sobre la información financiera.

Es importante que los lectores entiendan que la gerencia es responsable de cumplir

con las disposiciones de la Ley Sarbanes-Oxley, y específicamente con la sección
404. La gerencia debe consultar con asesores legales, auditores independientes y
otros profesionales para cumplir con estas obligaciones.

Este documento contiene solo una discusión general de los asuntos incluidos y no debe
considerarse como un consejo para ninguna empresa en particular, ya que no se
consideran hechos y circunstancias individuales, que pueden variar mucho de una
empresa a otra. Algunas de las discusiones en este documento se basan en las
preguntas y respuestas emitidas por el personal del Contador Jefe y la División de
Finanzas Corporativas de la Comisión de Bolsa y Valores (SEC) y por el personal de la
Junta de Supervisión Contable de Empresas Públicas (PCAOB). Los puntos de vista y
opiniones del personal de la SEC y la PCAOB podrían cambiar en el futuro.

Es importante señalar que un ejemplo de la naturaleza evolutiva de esta discusión ocurrió cuando
este documento estaba siendo finalizado para su impresión. Esto incluye la emisión de un conjunto
revisado de preguntas y respuestas del personal de la SEC, así como preguntas y respuestas
adicionales del personal de la PCAOB. Estas preguntas y respuestas publicadas recientemente
brindan más aclaraciones sobre cuestiones relacionadas con los siguientes asuntos, entre otros:

• El alcance del control interno sobre la información financiera en relación con el cumplimiento de
las leyes y reglamentos
• El efecto que la falta de un informe Tipo II disponible bajo la Declaración AICPA sobre
Normas de Auditoría (SAS) 70 de una organización de servicios puede tener en la
evaluación de la administración y los informes del auditor independiente
• El recorrido del auditor independiente de las principales clases de transacciones
procesadas por una organización de servicios

Las revisiones en curso como estas agregan aún más urgencia a nuestra recomendación de que la
administración debe trabajar en estrecha colaboración con los abogados, los auditores independientes de
la compañía y otros asesores para determinar el impacto potencial que estas o cualquier revisión futura de
la guía puedan tener a la luz de las circunstancias específicas de la organización.
Proporcionar una hoja de ruta para la gestión

En este documento, que es parte de nuestro • Apoyar su evaluación con evidencia

compromiso continuo de ayudar a las empresas a
mantenerse al día con estos problemas, abordamos
una serie de preguntas, muchas de las cuales la
gerencia ya puede haber encontrado.
suficiente, incluida la documentación.
• Presentar una evaluación por escrito
de la efectividad del ICOFR de la
empresa al final del año fiscal más
reciente

La Ley Sarbanes-Oxley ha cambiado la cara del
gobierno corporativo. Muchas organizaciones
ya están trabajando en la planificación e
implementación de procesos que les ayudarán
a evaluar la eficacia de su control interno sobre
la información financiera (ICOFR).
También discutimos las pautas generales que la gerencia
puede usar como punto de partida para responder las
preguntas que surgen a medida que desarrolla e
implementa sus propios procesos de evaluación.
Comprender los roles: la gerencia y
el auditor independiente
La administración es responsable de incluir un
informe de control interno en su informe anual
que:
• Establece la responsabilidad de la administración
para establecer y mantener una estructura y
procedimientos de control interno adecuados
para la información financiera
• Contiene una evaluación, al cierre del
ejercicio fiscal más reciente del emisor, de
la efectividad del sistema interno
estructura de control y procedimientos del emisor
para la información financiera.
La administración cumple con estas
responsabilidades mediante la adopción de un
enfoque integral que incluye una planificación y
evaluación minuciosas de su sistema de controles
internos. La gerencia debe documentar los
controles de la empresa y comenzar a probar su
eficacia. Es importante que la dirección conceda
tiempo suficiente para completar este proceso a
fin de proporcionar una base adecuada para su
evaluación y para responder a las deficiencias que
se identifiquen. La identificación temprana de las
deficiencias puede proporcionar a la gerencia el
tiempo suficiente para corregir las deficiencias y
determinar la eficacia operativa de los controles
antes de la presentación de informes de fin de
año.
Hay una serie de métodos que una empresa puede
elegir para desarrollar un enfoque para cumplir con
sus responsabilidades relacionadas con su evaluación
del control interno sobre la información financiera.

Independientemente del método elegido, es

Un aspecto clave de este proceso ha sido tratar de
anticipar y abordar las preguntas y problemas que
podrían surgir a medida que la administración se
prepara para una auditoría de ICOFR.
El auditor independiente es responsable de
responsabilidad de la gerencia
certificar e informar sobre la
responsabilidad de diseñar e implementar un
evaluación realizada por la dirección del
proceso que le permita cumplir con los
emisor.
requisitos de la sección 404 de la Ley.

Para que el auditor independiente complete

Recientemente, la SEC y la PCAOB brindaron satisfactoriamente una auditoría de control interno

orientación adicional a las entidades registradas y sobre la información financiera,

auditores independientes sobre algunos de estos
temas. Usando esta guía junto con la experiencia
colectiva ya adquirida por la gerencia, podemos
comenzar a identificar y abordar algunas de las
preguntas y problemas que enfrenta la gerencia.
2 SARBANES - OXLEY SECCIÓN 404
La dirección debe cumplir una serie de
responsabilidades importantes.1, incluido:
• Aceptar la responsabilidad por la
efectividad del ICOFR de la empresa
• Evaluar la eficacia del ICOFR de la empresa
utilizando criterios de control adecuados,
como los criterios COSO (Comité de
Organizaciones Patrocinadoras de la
Comisión Treadway)
1 Si el auditor concluye que la administración no ha cumplido con estos
responsabilidades, el auditor debe comunicar por escrito a la administración y
al comité de auditoría que la auditoría del control interno sobre la información
financiera no puede completarse satisfactoriamente y que el auditor debe
denegar una opinión.
 Preguntas y respuestas

En las siguientes páginas ofrecemos respuestas a preguntas comunes que pueden surgir
durante estos pasos del proceso de evaluación:
• Planificación y determinación del alcance de la evaluación
• Documentar y evaluar el diseño y la eficacia operativa de los controles.

• Identificar, evaluar y corregir las deficiencias.

• Informes sobre controles internos
Estas representan solo algunas de las preguntas que la gerencia puede hacer. Es posible
que algunos no se apliquen a su organización debido a sus procesos de evaluación
específicos. Más importante aún, estas respuestas no son absolutas. Su objetivo es ofrecer
a la dirección un punto de partida desde el que desarrollar sus propias respuestas a
preguntas de evaluación específicas.

Además, la gerencia debe revisar la literatura autorizada emitida por la SEC para las entidades
registradas y por la PCAOB para los auditores independientes para obtener una comprensión
más completa de lo que se espera de la empresa. Esto también ayudará a la gerencia a
prepararse mejor para los respectivos plazos de presentación de informes.

Sección I. Planificación y ¿Debe la gerencia documentar ICOFR para No se requiere ninguna forma particular de
todas las ubicaciones o unidades de documentación y la forma y el alcance de la
Determinación del Alcance negocios?
documentación pueden variar según el tamaño, la

de la Evaluación La respuesta a ésta pregunta es sí. Las empresas

Independientemente de la complejidad y
amplitud de la estructura de control de
una organización, evaluar la
La efectividad de ICOFR requiere una
planificación cuidadosa. Este plan puede
incluir un proceso que examine el enfoque
general de la documentación, la
identificación de controles y
procedimientos de evaluación,
hitos significativos y
lineas de tiempo El plan también puede
incluir la institución de políticas y
procedimientos que se utilizarán en el
proceso de evaluación y los procesos de
comunicación interna apropiados. Los
siguientes son algunos problemas
específicos que pueden tener que abordarse.
complejidad y las condiciones de la empresa.
deben tener algún nivel de documentación de
enfoque de documentación. Sin embargo,
ICOFR para todas las ubicaciones o unidades de
simplemente tener manuales y políticas sin
negocio, incluidas aquellas que no se consideren
ninguna conciliación con el proceso de
significativas, ya sea individualmente o en
evaluación puede no ser suficiente. La gerencia
conjunto. El alcance de esta documentación puede
debe poder demostrar cómo considera la
variar entre ubicaciones o unidades comerciales y,
documentación en el proceso de evaluación.
a menudo, se basa en la importancia financiera de
cada ubicación o unidad comercial.
¿Cómo determina la gerencia qué
controles probar para la efectividad
La documentación de la gerencia puede tomar operativa?
muchas formas. Estos podrían incluir varios tipos Un elemento clave del proceso de evaluación de la
gerencia es la determinación de los controles que
de información, tales como:
se probarán. La gerencia debe documentar el
• Manuales de políticas de la empresa
proceso utilizado para evaluar la efectividad de
• Modelos de proceso
ICOFR, incluida la determinación de los controles
• Manuales de contabilidad
que se probarán. Esta documentación facilitará
• Memorandos
que el auditor independiente comprenda el
• Diagramas de flujo
proceso de la administración y planifique y realice
• Descripciones de trabajo

• Documentos los procedimientos de auditoría relacionados.

• Formularios

• Mesas de decisión
• Escritos procesales Desde la perspectiva de un auditor independiente,

• Informes de autoevaluación el saldo de una cuenta se considera

• Otra documentación según corresponda significativo si hay más de un control remoto

PROCESO DE EVALUACIÓN DE LA GESTIÓN 3

probabilidad de que la cuenta pueda contener
incorrecciones que puedan tener un efecto
importante en los estados financieros, lo que, a
su vez, podría dar lugar a un riesgo de
exageración o subestimación. Esto es
cierto ya sea que la cuenta se vea
individualmente o en conjunto con otras.
Otras cuentas pueden considerarse
significativas según las expectativas de un
usuario razonable. La evaluación de la
probabilidad se realiza sin tener en cuenta
la eficacia del control interno sobre la
información financiera.
Los componentes de un título de estado financiero
pueden estar sujetos a diferentes riesgos
(inherentes y de control), así como a diferentes
controles. Estos componentes deben considerarse
por separado como cuentas potencialmente
significativas. Los auditores independientes pueden
considerar significativos los componentes
separados de un título debido a la estructura
organizativa de la empresa. Por ejemplo, el rubro
“cuentas por cobrar netas” puede dividirse en al
menos tres cuentas separadas: créditos nacionales,
créditos extranjeros y la provisión para cuentas
incobrables. Además, si una empresa tiene varias
unidades de negocios separadas, cada una con
procesos contables y de administración únicos, los
componentes de los títulos en cada unidad de
negocios por separado o incluso dentro de una
unidad de negocios también pueden considerarse
individualmente como cuentas potencialmente
significativas.
¿Se puede usar un marco que no
sea COSO?
La gerencia puede usar un marco que no sea
COSO, si el marco seleccionado es un marco de
control adecuado y reconocido. Esto se puede
definir como un marco que ha sido establecido por
un organismo o grupo siguiendo procedimientos
de debido proceso, incluida una amplia distribución
del marco para comentarios públicos.
4 SARBANES - OXLEYSECCIÓN 4 0 4
La nota al pie 67 de las reglas finales de la SEC
sobre Informes de la Gerencia sobre el Control
Interno de la Información Financiera y Certificación
de Divulgación en los Informes Periódicos de la Ley
de Bolsaafirma que “laOrientación sobre la
evaluación del controlpublicado por el Instituto
Canadiense de Contadores Públicos y elInforme
Turnbullpublicados por el Instituto de Contadores
Públicos de Inglaterra y Gales son ejemplos de
otros marcos adecuados”.
Otros marcos adecuados disponibles para la
evaluación de la administración sobre el control
interno sobre la información financiera pueden
desarrollarse en el futuro. Como resultado, la
gerencia puede querer revisar estos marcos a
medida que surgen para determinar si
representan métodos más apropiados en los
que basar las evaluaciones.
¿Qué es el marco de gestión de
riesgos empresariales? ¿Reemplaza
esto el marco COSO existente?
COSO ha publicado un borrador de un documento
titulado "Marco de gestión de riesgos
empresariales". El nuevo estudio incorpora, pero no
reemplaza, el estudio COSO de 1992 sobre control
interno. Además, está “diseñado para generar una
'conciencia de riesgo y control' consistente en toda
la empresa y para convertirse en un modelo
comúnmente aceptado para discutir y
evaluar los procesos de gestión de
riesgos de la organización”.
Doug Prawitt de la Universidad Brigham
Young, miembro del Consejo Asesor de COSO,
fue citado diciendo: “Muchas organizaciones
han adoptado el marco de control de COSO,
varios estándares de auditoría se basan en ese
marco y parece que los informes de control
interno requeridos por Sarbanes- Oxley se
basará en gran medida en el modelo de control
interno COSO. Así que fue absolutamente
crítico
que el nuevo marco de riesgo no socave el
2
trabajo anterior de COSO”.
¿Qué sistemas o aplicaciones de tecnología
de la información (TI) generalmente se
incluyen en el alcance de la documentación y
las pruebas de SO 404 relacionadas con
ICOFR?
Las aplicaciones y la infraestructura de soporte
relacionada que respaldan los procesos clave, los
objetivos de control y las afirmaciones relevantes
relacionadas con cuentas y revelaciones
significativas en los estados financieros deben
incluirse en el alcance del proceso de evaluación
de la administración.
Debido a que las aplicaciones de TI a menudo respaldan el
inicio, la autorización, el registro, el procesamiento y la
presentación de informes de transacciones financieras, los
controles de TI pueden representar una parte integral de
ICOFR. Las aplicaciones de informes financieros a menudo
son compatibles con muchas aplicaciones auxiliares o
alimentadoras que proporcionan datos financieros críticos, y
las empresas pueden depender de una gran cantidad de
aplicaciones para cumplir sus objetivos.
Una vez que se determina que una aplicación está
dentro del alcance del proceso, la gerencia debe (1)
documentar los componentes aplicables de la
aplicación, (2) identificar los controles significativos
diseñados dentro de la aplicación para lograr
objetivos específicos, (3) obtener una comprensión
de la TI arquitectura e infraestructura en torno a la
aplicación, y (4) probar los cuatro componentes de
los controles generales de TI (consulte el gráfico en
la página 5) que tienen un efecto generalizado en la
aplicación. Como parte de su documentación, la
gerencia debe incluir un nivel de detalle suficiente
para describir los procesos dentro del alcance y los
controles significativos construidos dentro de las
aplicaciones que respaldan esos procesos. El
cuadro de la página 5 proporciona un ejemplo de
cómo los controles generales de TI se pueden
vincular a aplicaciones y procesos.
“Enfocando el ERM”, Christy Chapman,Auditor interno, Junio
2
2003
 LENTINTADOTI GENERALCONTROLES AAAPLICACIONES YPAGROCESOS • SAS 70 Tipo IILos informes incluyen los elementos
enumerados en el Tipo I anterior y brindan una
descripción de las pruebas de controles y los
resultados de esas pruebas realizadas por el
auditor del servicio. También proporcionan la
opinión del auditor del servicio sobre si los
Procesos
ej., compras controles que se probaron funcionaron de
manera efectiva durante el período especificado.
Bajo ciertas circunstancias,
Aplicaciones
Por ejemplo, sistema de compras
la gerencia puede obtener evidencia
sobre la efectividad operativa de los
controles en la organización de servicios
Infraestructura al obtener y revisar este tipo de informe.

La gerencia debe tener en cuenta que no hay

Programa Programa Computadora El acceso a los

Desarrollo Cambiar Operaciones Programa/Datos

seguridad de que los objetivos de control
especificados en los informes SAS 70 cubran todo
lo que sería relevante para el control interno de la
ÉL GENERAL CONTROL S empresa sobre los informes financieros. Como
Por ejemplo, controles generales de TI sobre el desarrollo y mantenimiento del sistema de compras
resultado,
la gerencia debe revisar los informes para
determinar si se deben realizar procedimientos
Para determinar qué controles generales de TI están incluidos en el alcance de la evaluación de la gerencia, primero
adicionales para respaldar su evaluación de
identifique y documente los controles a nivel de proceso (p. ej., compras), incluidos los controles respaldados por la
todos los objetivos de control significativos que
tecnología de la información (p. ej., sistema de compras) donde se procesan las transacciones financieras. El alcance
afectan a la empresa.
de los controles generales de TI puede entonces centrarse en aquellos controles sobre el desarrollo y mantenimiento
Además, la dirección es responsable de
de la aplicación.
mantener y evaluar los controles sobre el flujo
Muchas organizaciones subcontratan organización. El informe del auditor del adecuado de información hacia y desde la
ciertos procesos, actividades o funciones, servicio será un informe Tipo I o Tipo II organización de servicios. Esto incluye
como la nómina, que se incluyen en el
según la Declaración AICPA controles de usuario.
alcance de la evaluación SO 404. ¿Cómo
sobre Normas de Auditoría (SAS) 70:
afectan los controles realizados en
• SAS 70 Tipo ILos informes indican si los controles Otros enfoques que la gerencia puede
ubicaciones externas al ICOFR? Es más,
¿cómo determina y documenta la descritos fueron (1) presentados de manera justa considerar para obtener evidencia de la
administración el funcionamiento en todos los aspectos materiales y (2) efectividad operativa de ICOFR relacionada con la
eficacia de los controles en estas adecuadamente diseñados para brindar una organización de servicios incluyen realizar:
organizaciones de servicios?
seguridad razonable de que los objetivos de control • Pruebas de los controles de la empresa sobre
Si la gerencia ha determinado que las actividades de
especificados en la descripción se lograrían si se las actividades de la organización de servicios
una organización de servicios son parte del sistema de
cumplieran satisfactoriamente. (re-desempeño)
información de la empresa, la gerencia debe evaluar si
Un informe Tipo I no garantiza que los controles • Pruebas de controles en la organización
los controles de la organización de servicios están
estén funcionando de manera efectiva y de servicios
diseñados y funcionan de manera efectiva. Un punto
proporciona beneficios limitados a una
de partida es obtener un informe del auditor del
evaluación 404.
servicio sobre los controles en funcionamiento en el

servicio.

PROCESO DE EVALUACIÓN DE LA GESTIÓN 5

¿Qué tan reciente debe ser un informe SAS
70 Tipo II de un proveedor de servicios
externo para que se considere confiable?
No hay una respuesta precisa sobre qué tan reciente
debe ser un informe SAS 70 Tipo II para ser
considerado confiable. Sin embargo, si un
ha transcurrido un período de tiempo significativo
entre el final del período de tiempo cubierto por las
pruebas de controles del auditor del servicio y la
fecha de la evaluación de la administración, la
administración debe realizar procedimientos para
determinar si alguna información en el informe SAS
70 Tipo II debe actualizarse para reflejar cambios
en los controles de la organización de servicios
desde la fecha del informe SAS 70. Los
procedimientos deben cubrir el período desde el
final del período de tiempo referido en el informe
SAS 70 Tipo II hasta la fecha de la evaluación de la
administración.
El Estándar de Auditoría No. 2 de la PCAOB establece
que el auditor independiente debe consultar con la
administración para determinar si
la dirección ha identificado cualquier cambio en los
controles de la organización de servicios
posteriores al período cubierto por el informe del
auditor del servicio. Estos pueden incluir:
• Cambios comunicados por la organización
de servicios a la gerencia
• Cambios en el personal de la organización
de servicios con quien interactúa la
gerencia
• Cambios en los informes u otros datos recibidos
de la organización de servicios
• Cambios en los contratos o acuerdos de nivel de
servicio con la organización de servicios
• Errores en el procesamiento de la organización de
servicios
6 SARBANES - OXLEYSECCIÓN 4 0 4
La extensión de los procedimientos
necesarios para actualizar el informe SAS 70
Tipo II variará según la cantidad de tiempo
entre la fecha del informe del auditor del
servicio y la evaluación de la gerencia.
Además, el Estándar de Auditoría No. 2 de la
PCAOB indica que si la gerencia ha
identificado cambios, el auditor
independiente debe determinar si la gerencia
ha realizado procedimientos para evaluar el
efecto de cualquier cambio identificado en la
efectividad del ICOFR de la compañía.
¿En qué medida se incluyen los
impuestos dentro del alcance de la
evaluación de la gerencia?
Los impuestos pueden ser uno de los mayores gastos en el
estado de resultados de una empresa, y los activos y pasivos
por impuestos (tanto actuales como diferidos) a menudo son
significativos para el balance. Además, los impuestos pueden
existir a nivel de componente de cuenta o de divulgación en
forma de impuestos de compensación, de transacción y
basados en la propiedad. Debido a que los impuestos
podrían tener un impacto significativo en los informes
financieros, la gerencia no debe ignorar los procesos fiscales
como parte de su evaluación de ICOFR.
Además, a menudo se supone que el alcance de la inclusión
fiscal en la evaluación de la administración debe centrarse
solo en los procesos relacionados con los impuestos sobre
la renta, como los impuestos sobre la renta corporativos y la
disposición fiscal. En realidad, los impuestos que no son
sobre la renta, como los relacionados con las ventas o los
impuestos al valor agregado, así como los relacionados con
la contabilidad de
Las transacciones entre empresas, aduanas y
transfronterizas podrían ser una parte integral de
otros procesos financieros clave.
En sus preguntas frecuentes, el personal del
Contador Jefe y la División de Finanzas Corporativas
de la SEC (el personal de la SEC) indicaron que creen
que la definición de ICOFR no abarca la
responsabilidad de una entidad registrada.
cumplimiento de las leyes y reglamentos aplicables,
con excepción del cumplimiento de las leyes y
reglamentos aplicables directamente relacionados
con la preparación de los estados financieros. En
consecuencia, no creemos que la preparación de
declaraciones de impuestos esté contemplada en la
definición de control interno sobre la información
financiera. Sin embargo, el personal de la SEC
indicó que los requisitos de información financiera
de la SEC y el Código de Rentas Internas son
ejemplos de regulaciones que están directamente
relacionadas con la preparación de los estados
financieros.
¿Cómo deben tratarse las adquisiciones y
desinversiones del año en curso?
Como paraadquisiciones del año en curso, las
preguntas frecuentes del personal de la SEC
indicaron que normalmente esperarían que el
informe de la administración sobre ICOFR
incluyera controles en todas las entidades
consolidadas. El personal de la SEC reconoció que
podría no ser posible realizar una evaluación del
ICOFR de un negocio adquirido en el período entre
la fecha de consumación de la transacción y la
fecha de la evaluación de la gerencia. En estos
casos, el personal de la SEC indicó que no se
opondría a que la gerencia excluyera de su
evaluación las adquisiciones de negocios de ICOFR
por un período que no exceda un año a partir de la
fecha de adquisición. En estos casos, el personal de
la SEC indicó que la gerencia debe consultar
(1) una discusión en el Formulario 10-K o
Formulario 10-KSB de la entidad registrada con
respecto al alcance de la evaluación y (2) dicha
divulgación, señalando que la gerencia excluyó el
negocio adquirido del informe de la gerencia sobre
ICOFR. Sin embargo, si se hace tal referencia, la
administración debe identificar el negocio
adquirido que se excluyó e indicar la importancia
del negocio adquirido en los estados financieros
consolidados de la empresa.
El personal de la SEC indicó que a pesar de la Cuando una empresa realiza una oferta ICOFR normalmente se realizaría de

exclusión de la gerencia de los controles internos
de un negocio adquirido de su evaluación anual,
una empresa debe revelar cualquier cambio
importante en su control interno sobre los informes
financieros que se deba a la adquisición de
conformidad con la Exchange Act Rule 13a-15(d ) o
la Regla 15d-15(d) de la Ley de Bolsa. Además, el
período en el cual la administración puede omitir
una
la evaluación del control interno de un negocio
adquirido sobre los informes financieros a partir de
su evaluación del control interno de la empresa no
puede extenderse más allá de un año a partir de la
fecha de adquisición. Dichas evaluaciones tampoco
podrán omitirse en más de un informe anual de
gestión sobre el control interno de la información
financiera. Actualmente no existe una guía de la
SEC o PCAOB que aborde específicamente cómo la
administración debe tratar las desinversiones para
los propósitos de la sección 404. Sin embargo, la
evaluación de la administración de la
pública inicial, ¿debe incluir la evaluación de
la administración sobre la efectividad de
ICOFR y un informe de auditoría relacionado
sobre el control interno en una declaración
de registro inicial presentada en el
formulario S-1?
No. El Formulario S-1 presentado de conformidad
con un registro inicial de valores no requiere la
inclusión de la información requerida por el
Artículo 308 (Control interno sobre los informes
financieros) del Reglamento SK. La regla final de la
SEC,Informes de la Gerencia sobre el Control
Interno de la Información Financiera y Certificación
de Divulgación en los Informes Periódicos de la Ley
de Bolsa, afecta a las entidades sujetas a los
requisitos de presentación de informes de la Ley de
Bolsa de Valores de 1934. La Sección 404 de la Ley
Sarbanes-Oxley se aplica a una entidad registrada
para el primer informe anual después de que la
entidad se convierte en un "emisor" (después de
considerar las fechas de vigencia de la Regla Final
de la SEC con respecto a acelerado y
conformidad con las disposiciones del
Estándar de Auditoría No. 2 de la PCAOB.
¿Hasta qué punto es apropiado que la
gerencia discuta áreas del proceso de
información y contabilidad financiera con
los gerentes de la empresa?
auditor independiente?
La consulta con el auditor independiente sobre
cuestiones de contabilidad y presentación de informes
facilita la calidad de la auditoría. En consecuencia,
creemos que es importante que la administración de
la empresa continúe consultando libremente con el
auditor independiente de la empresa con respecto a
este tipo de temas. Sin embargo, el consejo del
auditor independiente no puede servir como un
sustituto para que la administración desempeñe sus
propias responsabilidades. La gerencia sigue siendo
responsable de la selección y aplicación de políticas y
prácticas contables y del diseño y operación efectiva
de los controles sobre el proceso de información
financiera de la entidad.

la efectividad del ICOFR de la compañía es “a partir declarantes no acelerados).

de” el final del año fiscal más reciente de la

compañía. Por lo tanto, en la medida en que una
empresa se deshaga de parte de sus operaciones
antes del final del año fiscal más reciente, los
controles internos sobre los informes financieros
en la operación desinvertida quedarían excluidos
de la evaluación de la gerencia a los fines de la
sección 404 de Sarbanes-Oxley.
El párrafo 2 del Estándar de Auditoría de la PCAOB
No. 2 indica que la sección 404 se aplica a un
"emisor" como se define en la sección 3 de la Ley de
Bolsa de Valores de 1934, que incluye empresas
que presentan o han presentado una declaración
de registro (es decir, Formulario S-1 ) con la SEC que
no ha sido declarado efectivo bajo la Ley de Valores

de 1933 y no ha sido retirado. Si bien este lenguaje

Si la gerencia opta por excluir una unidad de
negocios de la documentación y las pruebas debido
a la desinversión planificada de la unidad de
negocios, la gerencia debe estar segura de que la
desinversión se llevará a cabo antes del cierre del
año fiscal de la empresa. De lo contrario, los
procesos y controles para esa unidad de negocios
deben documentarse, probarse e incluirse en la
evaluación de la administración al cierre del
ejercicio fiscal de la empresa.
ha creado cierta confusión, el personal de la SEC ha
confirmado que el Artículo 308 de la Regulación SK
no se aplica a un registro inicial de valores
presentado en el Formulario S-1.
Una entidad que realiza una oferta pública inicial
puede evaluar voluntariamente la efectividad de
su ICOFR y solicitar a su auditor independiente que
realice una auditoría de ICOFR. En tales casos, la
auditoría de

PROCESO DE EVALUACIÓN DE LA GESTIÓN 7

Sección II. Documentación y ¿Debería la gerencia probar y evaluar todos los El propósito de este ejercicio de categorización de
controles que se han identificado a través de la control es identificar aquellos controles necesarios
evaluación del diseño y la documentación de ICOFR?
para proporcionar a la gerencia el nivel apropiado

eficacia operativa de los La gerencia debe probar aquellos controles que

controles
La documentación y evaluación del
ICOFR es una parte esencial de la
valoración de la dirección
proceso. Proporciona evidencia de que los
controles relacionados con la evaluación
de la administración han sido
identificados, pueden comunicarse a los
responsables de su desempeño y pueden
monitorearse. Además, los resultados de
la gestión
debe documentarse la evaluación del
diseño y la eficacia operativa de los
controles. Aquí se incluyen algunos
ejemplos de problemas que pueden
surgir durante este paso.
de evidencia con respecto a las afirmaciones
considere importantes para su evaluación y
relevantes relacionadas con los saldos de las
evaluación de ICOFR. El Estándar de Auditoría
cuentas afectadas y las revelaciones en los estados
No. 2 de la PCAOB indica que (1) el auditor
financieros. Una vez que se priorizan los controles,
independiente debe evaluar el proceso de la
la gerencia puede determinar las pruebas de
administración para determinar qué controles
efectividad operativa necesarias para respaldar su
deben probarse y (2) estos controles
evaluación de la
generalmente incluyen:
eficacia del ICOFR.
• Controles sobre el inicio, la autorización, el
registro, el procesamiento y el informe de
Para ayudar con este proceso de "categorización", a
cuentas y divulgaciones y afirmaciones
muchas empresas les resulta útil revisar los flujos
relacionadas incorporadas en los estados
de procesos y otra documentación para identificar
financieros
los puntos del proceso donde es más probable que
• Controles sobre la selección y aplicación de
ocurran errores o fraudes. Una vez que se ha
políticas contables que estén en conformidad
identificado un punto específico, la gerencia puede
con los principios de contabilidad generalmente
seleccionar controles en ese punto o después de
aceptados
ese punto en el flujo para realizar pruebas. Una vez
• Programas y controles antifraude
que se han seleccionado los controles, la gerencia
• Controles, incluidos los controles generales de
debe revisar todos los controles que ha identificado
tecnología de la información, de los que
para verificar que se hayan realizado las
dependen otros controles
afirmaciones relevantes para la cuenta relacionada.
• Controles sobre transacciones no
rutinarias y no sistemáticas, como
abordado satisfactoriamente.
cuentas que involucran juicios y
estimaciones
Nota: Debido a la importancia de esta determinación en
• Controles a nivel de empresa, incluidos
el proceso de evaluación de la administración, es
– El entorno de control importante que la administración tenga reuniones
– Controles sobre el proceso de información
periódicas con su auditor independiente para analizar y
financiera de fin de período (tanto anual como
obtener un acuerdo sobre el proceso que la
trimestral)
administración ha utilizado para identificar los controles

Hasta la fecha, muchas empresas han identificado
una gran cantidad de controles durante su
documentación ICOFR. En algunos casos, hay varios
controles que abordan el mismo objetivo y
afirmación de control. Para ayudar a la gerencia a
clave.
¿Qué controles se consideran
controles a nivel de empresa y cómo
deben evaluarse?
Los controles a nivel de empresa a menudo tienen un

identificar los controles apropiados para las impacto generalizado en los controles a nivel de

pruebas y para respaldar su afirmación sobre la proceso, transacción o aplicación. Como parte del

eficacia de ICOFR, las empresas encuentran útil proceso de evaluación, la gerencia debe considerar

priorizar los controles para las pruebas hasta qué punto se implementarán los controles a nivel

designándolos como "clave", "principal" o "alto, de la empresa.

medio y bajo". documentado y probado. Estos incluyen lo

siguiente:

8 SARBANES - OXLEYSECCIÓN 4 0 4
• Controles dentro del entorno de control, incluido el
tono en la parte superior, la asignación de autoridad
y responsabilidad, la consistencia de políticas y
procedimientos, y
programas de toda la empresa (como códigos de
conducta y prevención de fraude) que se aplican a
todas las ubicaciones y unidades comerciales.
También se incluyen las políticas aprobadas por la
junta que abordan las prácticas significativas de
control comercial y gestión de riesgos.
• Proceso de evaluación de riesgos de la gerencia.
• El proceso de información financiera de fin de
período.
Determinar si existen suficientes controles a ¿Cómo determina la gerencia si un
nivel de empresa es una cuestión de control está diseñado de manera
efectiva?
juicio gerencial. Sin embargo, para tomar una
Las pruebas de diseño se llevan a cabo para determinar
decisión informada, la gerencia debe seguir un
si los controles, si funcionan correctamente, pueden
proceso de dos pasos. Primero, debe
prevenir o detectar de manera efectiva errores en los
determinar la naturaleza y el alcance de los
registros financieros de la entidad. Las pruebas de
controles que deben implementarse para
diseño generalmente se realizan investigando y
lograr los objetivos de la organización. Luego
validando la observación o inspección de documentos,
debe decidir si estos controles están diseñados
como informes y formularios completos; a través de
y funcionan de manera efectiva.
indicaciones en pantalla, como errores o advertencias;
o, de manera más efectiva, realizando un "recorrido"
La gerencia debe tener en cuenta que probar los
del proceso.
controles a nivel de la empresa por sí solo no es

• Seguimiento de los resultados de las operaciones;
función de auditoría interna, comité de auditoría y
actividades del programa de autoevaluación; y
procesamiento centralizado, como entornos de
servicios compartidos.
suficiente para que la gerencia concluya si ICOFR
Aunque no se requiere que la gerencia los
es efectivo.
realice, los recorridos de proceso pueden
ayudar a la gerencia a:
• Confirmar su comprensión del flujo del
proceso de transacciones
• Confirmar su comprensión del diseño de los
controles identificados para los cinco

IDENTIFICARCCONTROLES PARATDESCANSO componentes de control interno sobre la

especialista en facturación
prepara al cliente
factura, basada en
acuerdo de cliente
y condiciones de venta.
especialista en facturación
investiga y
corrige factura.
información financiera, incluidos los
CP1
relacionados con la prevención y detección de
supervisor de facturación
fraude
revisa la factura
para la precisión de oficina
• Confirmar que su comprensión del proceso es
y términos adecuados
de venta. completa al determinar si se han
identificado todos los puntos del proceso en
los que podrían ocurrir incorrecciones
CP2 relacionadas con cada aseveración relevante
Gerente de facturación de los estados financieros.
ERROR
SÍ NO revisa la factura de
¿IDENTIFICADO?
precisión, precio, • Evaluar la efectividad del diseño de
términos, etc
controles
• Confirmar si los controles se han puesto
en funcionamiento

Las pruebas de diseño generalmente abordan:

ERROR La factura se envía por correo
SÍ NO
¿IDENTIFICADO? al cliente. • Tipo de control, incluida la configuración, la
revisión de la gestión y la autorización
• Naturaleza del control (ya sea automático o

Como se muestra en el cuadro anterior, la gerencia puede ver el punto de control 2 (CP2) como un control fuerte y manual, preventivo o detectivo)

confiable. Además, si el control de CP2 está funcionando de manera efectiva, la prueba de CP1 puede ser redundante y, • Frecuencia de control (diaria, semanal,

por lo tanto, innecesaria. (Del mismo modo, CP1 puede estar funcionando de manera efectiva y las pruebas de CP2 mensual)

pueden ser redundantes e innecesarias). En general, el personal estrechamente relacionado con el proceso y los • Experiencia y competencia de la
controles debe participar en la identificación de los controles que se van a probar. persona que realiza el control

PROCESO DE EVALUACIÓN DE LA GESTIÓN 9

• Procedimientos de investigación y corrección de Al determinar el alcance de los Es responsabilidad de la administración determinar
errores, incluida la puntualidad de dichos procedimientos de prueba a realizar, la el alcance de las pruebas, o los tamaños de las
procedimientos. gerencia debe tener en cuenta la naturaleza muestras, que considere suficientes para respaldar
del control, su frecuencia de operación y la su evaluación de la efectividad del control interno

Es importante tener en cuenta que, por lo general, la importancia general del control. sobre la información financiera.

indagación por sí sola no es suficiente para respaldar la

eficacia del diseño. El alcance de las pruebas también depende La gerencia debe basar su decisión en todos estos
del riesgo de falla del control que se está factores. La tabla de esta página ilustra ejemplos
Al probar el funcionamiento probando. El riesgo de falla se define como el de tamaños de muestra mínimos a tener en cuenta
efectividad, ¿cuántas pruebas debe
riesgo de una incorrección material que al planificar el alcance del trabajo de prueba sobre
realizar la gerencia? ¿Qué tamaños de
surge de la falla de un control. Si la gerencia la eficacia operativa del control manual. La
muestra de prueba se deben usar?
cree que existe un alto riesgo de falla, la determinación de la gerencia de los tamaños
La cantidad de pruebas depende de varios
gerencia debe considerar ampliar el alcance mínimos de muestra no debe basarse en los
factores. Sin embargo, debe ser lo
de las pruebas para ese control. ejemplos que se muestran en la tabla; la gerencia
suficientemente completo para apoyar la
debe seleccionar tamaños de muestra que le
evaluación de la gerencia de la
Los factores que afectan si el control puede proporcionen evidencia suficiente con base en los
eficacia de los controles internos. Esto debe incluir
representar un mayor riesgo de falla incluyen: hechos y circunstancias específicos de la empresa.
la consideración de todas las afirmaciones
• Cambios en el volumen o la naturaleza de las
relevantes para cada cuenta y divulgación incluidas
transacciones que podrían afectar adversamente el
en el alcance de la evaluación de la administración.
diseño del control o la efectividad operativa En situaciones donde un control que se aplica a
En general, las pruebas de la administración deben
• Cambios en el diseño de los controles cada transacción está automatizado a través del
ser más extensas que las del auditor
• El grado en que el control depende de la sistema de TI, una consulta del sistema puede ser
independiente. Esto no significa que, en todos los
eficacia de otros controles (por ejemplo, el la técnica de prueba más adecuada. Con esta
casos, los tamaños de muestra de la administración
entorno de control o los controles técnica, una consulta puede ser una prueba
para un solo control en una sola ubicación sean
generales de TI) adecuada para un control de TI que se espera que
mayores que los del auditor. Simplemente significa
• Cambios en el personal clave que realiza opere consistentemente en un ambiente bien
que las pruebas de gestión, tomadas como un todo,
el control o monitorea su desempeño controlado. La consulta del sistema se puede
deberían ser más completas y potencialmente
• Si el control se basa en el desempeño de utilizar para probar la eficacia operativa si la
cubrir más procesos, controles, cuentas y unidades
un individuo o está automatizado gerencia está satisfecha con los resultados de la
de negocio o ubicaciones.
• La complejidad del control prueba de diseño.

Las consultas del sistema se pueden utilizar para:

• Probar si la lógica programada que rodea un

control contenido dentro de una aplicación
de TI funciona como se espera, es decir, si el
miEJEMPLOMETROMÍNIMOTDESCANSOSAMPLIOSTALLAS sistema identificará una excepción
predefinida.

OPERACIÓN DE CONTROL MÍNIMO OPERACIÓN DE CONTROL MUESTRA • Recuperar información de una aplicación de TI
FRECUENCIA TAMAÑO DE LA MUESTRA FRECUENCIA TAMAÑO
sobre la configuración o designaciones dentro

Anual 1 Semanalmente 5–10 del sistema. Por ejemplo, la gerencia podría

consultar la aplicación para determinar cómo se
Trimestral 2–3 A diario 15–30
configuraron los límites de tolerancia o para

Mensual 2–4 manual recurrente 30–60 obtener una lista de personas que tienen
controlar (múltiples autoridad para realizar una determinada
veces al día)
función en el sistema a fin de evaluar la
segregación de funciones.

10 SARBANES - OXLEYSECCIÓN 4 0 4
¿Distingue un auditor independiente
entre las pruebas realizadas por
auditoría interna y las pruebas
realizadas por la dirección?
El auditor independiente debe realizar suficiente
trabajo de prueba que respalde su opinión de
modo que el propio trabajo del auditor
proporcione la evidencia principal para la opinión
del auditor. Teniendo en cuenta este requisito de
evidencia principal, el auditor independiente
también puede usar el trabajo de otros en una
auditoría de ICOFR.
Si bien el auditor independiente no está obligado a
utilizar el trabajo realizado por otros, el auditor
independiente puede, en ciertas áreas, optar por
hacerlo en función de:
• Objetividad y competencia del
individuo que realizó el trabajo
• Calidad y eficacia del trabajo
• Naturaleza de los controles probados por
otros individuos
• Calendario del trabajo realizado
• Resultados de la repetición por parte del
auditor de cierto trabajo realizado por otros
Por ejemplo, si un individuo responsable de la
operación de un control también prueba las
pruebas de efectividad operativa del control, esta
autoevaluación personal no se considerará
objetiva. Como resultado, el auditor
independiente no puede usar este trabajo para
realizar su evaluación independiente.
Si los miembros del departamento de auditoría
interna (u otras personas que trabajan bajo la
dirección de la gerencia y no son responsables
de la operación de control) realizan las pruebas,
el trabajo generalmente se considerará más
objetivo que el trabajo realizado por aquellos
que están
responsable de la operación de control (por
ejemplo, autoevaluación de control). Por
supuesto, el auditor independiente sigue
evaluando la objetividad y competencia del
individuos que realizan el trabajo, así
como la calidad y eficacia de
documentación que respalde la evaluación de la
gerencia.
Los factores que generalmente afectan la decisión
del auditor independiente de usar el trabajo de
otros incluyen aspectos de la naturaleza del control,
tales como:
• Materialidad de las cuentas y revelaciones
que aborda el control, así como el riesgo
de incorrección material
• Grado de juicio requerido para evaluar
la efectividad operativa del control
• Omnipresencia del control
• Nivel de juicio o estimación requerido en
la cuenta o revelación controles de desarrollo del programa, esta
• Potencial de anulación del control por parte de la
documentación puede formar la base de la
gerencia
evaluación y prueba de la gerencia. En estos
casos, la gerencia también debe tener suficiente
Hay áreas en las que el auditor independiente
documentación de los controles de cambio de
no puede utilizar el trabajo de otros. Estas áreas
programa desde la fecha de
incluyen recorridos y pruebas de la eficacia
instalación hasta la fecha actual.
operativa del control en relación con el entorno
de control, incluidos los controles diseñados
De acuerdo con las disposiciones del Estándar de
específicamente para prevenir y detectar el
Auditoría No. 2 de la PCAOB, la gerencia debe
fraude.
demostrar que tiene un conocimiento profundo de
cómo se inician, autorizan, procesan, registran y
Muchas organizaciones tienen sistemas
reportan todas las clases significativas de
y aplicaciones de TI que se instalaron
antes del año en curso. ¿Debería la transacciones. Ese entendimiento debe
gerencia probar el diseño y la eficacia documentarse con suficiente detalle para facilitar el
operativa de los controles generales de desempeño de un proceso o recorrido de
TI del desarrollo del programa para transacción. La gerencia debe realizar pruebas
estos sistemas y aplicaciones?
suficientes de los sistemas instalados en años
anteriores para ayudar a garantizar que los
Todos los sistemas y aplicaciones que respaldan
procesos contables significativos (cálculos,
los procesos de información financiera deben
publicaciones, etc.) funcionen correctamente y que
contar con los controles de TI generales
los controles de aplicación significativos estén
apropiados, incluidos los controles de desarrollo
funcionando correctamente.
de programas. La gerencia debe evaluar estos
operando según lo previsto.
controles de desarrollo del programa.
Cuando la dirección disponga de la
documentación original de la instalación
inicial de una aplicación o sistema relativa a
PROCESO DE EVALUACIÓN DE LA GESTIÓN 11
 no requieren los mismos rigores de los controles ¿Cómo puede la gerencia juzgar si los controles a

generales de TI que otros sistemas, estos controles nivel de empresa están funcionando de manera
efectiva?
deben ser apropiados para ayudar a garantizar la
Por lo general, no es posible probar los
integridad y precisión de los datos informados, la
controles a nivel de empresa sin visitar
consistencia de la presentación, el cálculo y la
algunas o todas las ubicaciones o unidades
validación adecuados, y la seguridad adecuada a la
comerciales en las que operan. La efectividad
importancia y complejidad de los informe u hoja de
de algunos controles a nivel de empresa,
cálculo.
como la implementación de un código de

¿Qué controles deben probarse para el conducta o la aplicación de manuales de

proceso de información financiera de fin contabilidad, se basa en evidencia que se
de período? obtiene fuera de la oficina central o
Dado que el proceso de información financiera de corporativa.
fin de período es tan importante, comprenderlo y

evaluarlo es fundamental. Este proceso incluye los La cantidad de ubicaciones o unidades comerciales
procedimientos utilizados para: que se incluyen en la prueba es una cuestión de
• Ingrese los totales de las transacciones en el libro criterio. Al determinar el número de ubicaciones a
mayor visitar, la gerencia puede considerar factores tales
¿SO 404 requiere controles adicionales • Iniciar, autorizar, registrar y procesar como el grado de centralización de los controles, la
para informes ERP flexibles, hojas de asientos de diario en el libro mayor similitud del diseño de procesos y controles entre
cálculo y otros tipos de computación
• Registrar ajustes recurrentes y no las ubicaciones y la consistencia de los controles.
de usuario final?
recurrentes a los estados financieros
Las aplicaciones informáticas del usuario final, como
anuales y trimestrales, tales como políticas contables o descripciones de puestos.
hojas de cálculo e informes, pueden presentar a una
consolidación de ajustes, combinaciones Obviamente, las ubicaciones que se incluyen en
organización un conjunto único de necesidades
de informes y clasificaciones las pruebas deben ser representativas de las
generales de control de TI. Esto se debe a que
• Borradores de estados financieros anuales y poblaciones de ubicaciones o unidades
proporcionar a los usuarios finales este tipo de
trimestrales y divulgaciones relacionadas comerciales que se consideran importantes
herramientas flexibles generalmente aumenta el riesgo
cuando se agregan. Además, el alcance del
de declaraciones erróneas causadas por errores debido
Como parte de su proceso de evaluación, la gerencia trabajo de prueba debe ser mayor que el
a datos incompletos o inexactos. Dado que el resultado
debe probar los controles sobre cada uno de los realizado por el auditor independiente.
de los procesos informáticos del usuario final aparece
elementos enumerados anteriormente. Esta prueba
con frecuencia como un documento autorizado en el
debe realizarse en los controles utilizados para producir
que la dirección se basará en sus informes financieros,
información financiera anual y trimestral.
las aplicaciones informáticas del usuario final que

soportan controles internos significativos deben

identificarse e incluirse en la documentación de control.

La gerencia debe tener cuidado de identificar y
probar los controles manuales y automatizados
que se incluyen en el proceso de información
La organización debe respaldar la informática del
financiera de fin de período. Además, debe evaluar
usuario final con controles generales que sean
la naturaleza y el alcance de la supervisión por
consistentes con el nivel de sofisticación del
parte de todas las partes pertinentes,
sistema. Los controles generales deben abordar
incluyendo la gerencia, la junta
áreas como el acceso a programas y datos,
directiva y el comité de auditoría.
cambios de programas, desarrollo de programas
y operaciones informáticas. Si bien la informática
del usuario final generalmente no

12 SARBANES - OXLEYSECCIÓN 4 0 4
Sección III. Identificación,
evaluación y corrección de
deficiencias
La gerencia debe establecer un
proceso a través del cual se
identifiquen y acumulen todas las
deficiencias en ICOFR en toda la
empresa. Esto ayudará
La gerencia concluye su evaluación de la
efectividad del ICOFR evaluando la
gravedad de todas las deficiencias
identificadas. Entre las preguntas que
pueden surgir durante esta fase se
encuentran las siguientes.
¿Puede existir una debilidad material en ICOFR
cuando una declaración errónea material
en los estados financieros no ha
ocurrido o ha sido identificado?
Sí, puede existir una debilidad material en
ICOFR aunque no se haya producido o
identificado una incorrección material en los
estados financieros. La importancia de una
deficiencia en ICOFR depende del potencial de
incorrección, no sobre si realmente se ha producido
una incorrección. Por lo tanto, la administración y su
auditor independiente pueden concluir que existe una
debilidad material en ICOFR incluso si no ha ocurrido o
no se ha identificado una incorrección material.
Si la gerencia reemplaza o rediseña un
control deficiente, ¿cuánto tiempo debe
operar el nuevo control y cuántas
pruebas debe realizar la gerencia para
determinar si está operando
efectivamente o no?
La gerencia debe permitir suficiente tiempo para
evaluar y probar los controles. Si se descubren
deficiencias, la gerencia puede tener la oportunidad de
corregir y abordar estas deficiencias antes de la fecha
del informe. Sin embargo, una vez que se implementa
un nuevo control, la gerencia debe permitir suficiente
tiempo para que sus operaciones validen la efectividad
operativa del control.
La cantidad de tiempo que un control debe estar en su
lugar y funcionando de manera efectiva depende de la
naturaleza del control y la frecuencia con la que opera.
En circunstancias ordinarias, la remediación de control
que ocurre después del final del año no mitigará una
deficiencia identificada para propósitos de informes. El
Estándar de Auditoría No. 2 de la PCAOB indica que el
auditor independiente debe abstenerse de opinar sobre
la divulgación de la administración sobre las acciones
correctivas tomadas por la compañía después de la
fecha del informe de la administración. La gerencia
debe observar sus protocolos de prueba establecidos
para
Los tamaños de muestra en esta discusión se presentan solo con fines ilustrativos. La determinación de la gerencia de los tamaños de muestra no debe ser
3
basado en el ejemplo discutido anteriormente; en su lugar, la gerencia debe seleccionar un tamaño de muestra que le proporcione evidencia suficiente basada en los
hechos y circunstancias específicos de la empresa.
determinar el alcance de las pruebas necesarias para
concluir sobre la efectividad de un control
remediado.
Por ejemplo, la gerencia puede tener una política
establecida que rija el alcance de las pruebas, como el
tamaño de las muestras que se analizarán. La
administración considera que esta muestra es adecuada
para respaldar su afirmación sobre la efectividad del
control interno sobre la información financiera. En este
ejemplo, la política de la gerencia establece que un
control manual que opera diariamente debe tener
sesenta3ocurrencias probadas. Si la gerencia identifica
una deficiencia y soluciona el control, debe permitir
suficiente tiempo para que se pruebe la eficacia
operativa de al menos sesenta ocurrencias del control
solucionado.
¿Se traducirá automáticamente una cantidad
de múltiples deficiencias significativas en una
debilidad material en ICOFR?
No necesariamente. Con base en la guía del párrafo
E90 del Estándar de Auditoría No. 2 de la PCAOB, un
número específico de deficiencias significativas no
necesariamente determinará la existencia de una
debilidad material en ICOFR. Sin embargo, todas las
deficiencias significativas deben evaluarse para
determinar si, individualmente o cuando se
agregan con otras deficiencias significativas,
resultan en debilidades materiales en ICOFR.
Hay una serie de factores que podrían
considerarse al agregar las deficiencias,
incluido si las deficiencias significativas:
• Afecta la misma cuenta o divulgación
del estado financiero
• Impactar una afirmación común en una cuenta o
divulgación de un estado financiero
¿Existen lineamientos generales que se
hayan desarrollado para definir "más
que intrascendente" al identificar
deficiencias significativas?
PROCESO DE EVALUACIÓN DE LA GESTIÓN 13
El Estándar de Auditoría N.° 2 de la PCAOB define una
deficiencia significativa como una deficiencia de control o
una combinación de deficiencias de control que resultan en
“una probabilidad más que remota” de que una declaración
errónea “más que intrascendente” de los estados financieros
anuales o intermedios de una entidad.
declaraciones no serán prevenidas o detectadas.
La definición de intrascendente incluye una
combinación de conceptos del Staff Accounting
Bulletin (SAB) No. 99, Materialidad,y AU sección 312.
La definición de intrascendente se basa en gran
medida en la discusión de magnitud en SAB No. 99
y en AU sec. 312 por sus instrucciones con respecto
a la consideración de incorrecciones tanto
individualmente y en conjunto, así como la
posibilidad de incorrecciones no detectadas. Una
inexactitud esinconsecuentesi una persona
razonable concluiría, después de considerar la
posibilidad de incorrecciones adicionales no
detectadas, que la incorrección, ya sea
individualmente o agregada con otras
incorrecciones, sería claramente irrelevante para
los estados financieros. Si una persona razonable
no pudiera llegar a tal conclusión con respecto a
una incorrección en particular, dicha incorrección
esmás que intrascendente.
La importancia de una deficiencia en el control
interno depende del potencial de incorrección, no
necesariamente de si realmente ha ocurrido una
incorrección. A los efectos de evaluar la importancia
cuantitativa de las posibles incorrecciones que
resultan de las deficiencias del control interno, una
pauta general para determinar "más que
intrascendentes" es si existen posibles
incorrecciones que equivalgan o excedan el 1 por
ciento de las ganancias antes de impuestos. Al
evaluar la magnitud de las deficiencias de control
interno identificadas, es importante señalar que el
concepto contempla un análisis de las
incorrecciones quepodríaocurrir, no es esotener
ocurrió.
La gerencia también debe recordar
que la determinación de si un
14 SARBANES - OXLEYSECCIÓN 4 0 4
existe una deficiencia incluye tanto el análisis riesgos Por ejemplo, en los procesos de adquisición de
cuantitativo como cualitativo de si la deficiencia es más bienes de capital, se pueden requerir aprobaciones para el
que remota y más que intrascendente. En consecuencia, caso comercial, solicitud de propuestas, selección de
puede haber instancias en las que los montos de proveedores, órdenes de compra, informes de recepción,
errores potenciales que son menores que la medida facturas y cheques. Cada una de estas aprobaciones tiene un
cuantitativa mencionada anteriormente también se objetivo operativo o de cumplimiento válido. Sin embargo,
pueden considerar "más que intrascendentes", solo una de estas aprobaciones puede proporcionar el
dependiendo de control de salvaguardia necesario para fines de
el juicio de la gerencia sobre estos factores cualitativos (por
ejemplo, posibles incorrecciones que involucren los requisitos SO 404 de la administración y, en
transacciones con partes relacionadas). consecuencia, el alcance de las pruebas puede
variar de un control a otro.
¿Cómo puede la gerencia identificar los controles que
se relacionan con la protección de los activos? ¿Cómo
Esto no significa que todos los controles de
se evalúan las deficiencias?
autorización puedan considerarse controles de
COSO define la “protección” de los activos como la inclusión
salvaguardia. Por ejemplo, en circunstancias
de controles que brindan una seguridad razonable de
ordinarias, la autorización de asientos de diario no se
prevenir o detectar la adquisición, el uso o la disposición no
considera un control de salvaguarda, ya que la falta de
autorizados de los activos de la empresa que podrían tener
autorización del asiento de diario generalmente no
un efecto material en los estados financieros. La salvaguarda
expondría a la empresa al uso indebido o a la
no se refiere a la continuidad del negocio de la empresa ni a
apropiación indebida de los activos de la empresa. La
los planes de contingencia, ni a la protección física de los
primera consideración para determinar si un control es
activos ni a los controles sobre la toma de malas decisiones
un control de protección es si existe la posibilidad de
comerciales.
un uso inapropiado o no autorizado de los activos de la
empresa. Cuando exista este potencial, se debe
documentar el riesgo relacionado con la protección.
Esto significa que es importante determinar si el
Además, la gerencia debe reconocer tales riesgos al
uso de los activos de la empresa está autorizado,
analizar los procesos de información financiera.
no si el uso fue una buena o mala decisión
comercial. Por ejemplo,
salvaguardar los activos según lo definido por COSO
Una vez que se identifica una deficiencia en los
no contempla pérdidas por la prestación de un servicio
controles de salvaguarda, la consideración clave para
a un costo irrazonable, siempre y cuando esté
los propósitos de la evaluación de la administración es
autorizado. Lo mismo ocurre con las pérdidas por
si tal acción podría resultar en una declaración errónea
investigaciones autorizadas pero improductivas o
en los estados financieros, no si los estados financieros
publicidad ineficaz.
están expresados erróneamente. El factor clave es la
magnitud del potencial de uso no autorizado de los
La gerencia debe identificar los riesgos dentro de cada
activos de la empresa en cualquier instancia particular.
proceso clave de adquisición, uso o disposición no
Por ejemplo, un empleado puede celebrar un contrato
autorizados de los activos de la empresa que podrían
que obligue a la empresa a comprar cierto material
tener un efecto material en los estados financieros.
También debe probar aquellos controles que mitigan
artículos de inventario sin la autorización de gestión
esos riesgos, incluidos no solo los controles sobre la
necesaria. Incluso si la compra se registra
firma adecuada
correctamente en los estados financieros, la falta de
autoridades, sino también controles para garantizar que
autorización puede constituir una deficiencia en el
se produzca la debida autorización.
control interno sobre la información financiera.
Un proceso puede estar sujeto a muchas salvaguardas
Sección IV. Informes sobre
controles internos
Se requiere que la gerencia incluya su
evaluación de la efectividad del ICOFR de
la compañía en su informe anual. Se
requiere que el informe de la gerencia
sobre ICOFR incluya lo siguiente:
• Una declaración de responsabilidad de
la gerencia para establecer y
mantener un ICOFR adecuado para la
empresa.
• Una declaración que identifique el
marco utilizado por la administración
para llevar a cabo las
evaluación de la eficacia del ICOFR
de la empresa
• Una evaluación de la efectividad
del ICOFR de la empresa al final del
año fiscal más reciente de la
empresa, incluida una declaración
explícita sobre si ese
ICOFR es efectivo
• Una declaración de que la firma de
contadores públicos registrados que
auditó los estados financieros incluidos en
el informe anual ha emitido un informe de
certificación sobre
evaluación de la dirección del
ICOFR de la empresa
Muchas empresas proporcionan a sus auditores
independientes borradores de estados
financieros para su revisión antes de la
aprobación de la empresa. ¿Cómo puede una
empresa demostrar al auditor que habría
detectado un error anotado en el borrador de
los estados financieros?
declaraciones que de otro modo
resultarían en una debilidad material o
una deficiencia significativa?
Usando la guía emitida por el personal de la
PCAOB, la respuesta a esta pregunta depende de la
etapa en la que la administración presente los
estados financieros preliminares al auditor
independiente y el conocimiento del auditor
independiente sobre el proceso de información
financiera de la compañía.
plazos para sus informes anuales. El personal de la
Para acelerar el proceso de auditoría y el proceso
PCAOB también indicó que cuando se combina con los
de información financiera, muchas empresas
plazos de presentación acelerados, este tipo de proceso
entregan un borrador preliminar a su auditor
podría poner al auditor bajo una mayor presión para
independiente. El auditor independiente
completar la auditoría de los estados financieros en un
los comentarios sobre el borrador de los estados
período de tiempo demasiado corto. Como resultado,
financieros de la empresa son parte del proceso
este enfoque podría perjudicar, en lugar de mejorar, la
iterativo para completar la auditoría. Si la gerencia
calidad de la auditoría. Por lo tanto, es preferible algún
presenta el borrador de los estados financieros al
tipo de intercambio de información oportuno entre la
auditor independiente en una etapa posterior del
administración y el auditor.
proceso de información financiera y afirma que el
proceso de revisión de la empresa está completo o
casi completo, el auditor independiente
generalmente concluiría que las deficiencias
Es común que la gerencia comparta borradores
materiales en el borrador de los estados
provisionales de los estados financieros de la
financieros son indicativas de una debilidad
empresa con el auditor independiente. En estos
material en el ICOFR de la compañía.
casos, es importante que la administración le
comunique claramente al auditor independiente
de la empresa:
Una forma de demostrar la creencia de la
• El estado de terminación de los estados
administración de que los controles de la empresa
financieros
funcionan de manera eficaz es modificar el proceso
• El propósito por el cual la empresa
de auditoría tradicional para proporcionar al
proporciona el borrador de los estados
auditor independiente un solo borrador de los
financieros al auditor
estados financieros. Sin embargo, este proceso no
es necesariamente el enfoque que se esperaba
La pregunta 7 de las Preguntas y respuestas del
como resultado de la Ley. Tampoco es muy
personal de la PCAOB proporciona orientación
práctico en muchas situaciones. El personal de la
adicional y ejemplos de la participación adecuada
PCAOB ha indicado que dicho proceso podría
del auditor al revisar los estados financieros
dificultar que algunas empresas cumplan con los
preliminares.
requisitos de presentación acelerada.
PROCESO DE EVALUACIÓN DE LA GESTIÓN 15
 Conclusión

Está claro que la sección 404 de Sarbanes-Oxley presenta a la administración una serie de desafíos.
Creemos que un enfoque ideal para enfrentar estos desafíos es abrir una discusión amplia, entre la
gerencia, los auditores independientes, los miembros de los equipos corporativos de cumplimiento
de SO 404 y los miembros del comité de auditoría, en la que todos puedan unirse para desarrollar
pautas adecuadas para abordar responsabilidades de la administración en la evaluación del control
interno sobre la información financiera.

Esperamos que este documento contribuya a esa conversación y ofrezca a la gerencia, los
directores y los miembros del comité de auditoría una perspectiva útil para enfrentar sus
desafíos.

dieciséis SARBANES - OXLEYSECCIÓN 4 0 4

Contactos

Si desea obtener más información sobre los desafíos que enfrentan los directores y los miembros
del comité de auditoría para satisfacer la creciente demanda de buenas prácticas de gobierno
corporativo, visite el sitio web del Instituto del Comité de Auditoría de KPMG http://
aci.kpmg.com.hk o comuníquese con los siguientes personas en nuestras oficinas de KPMG en
China y Hong Kong:

Hong Kong Beijing

CarlsonTong david ko
socio a cargo Pareja
Servicios de Auditoría y Asesoría en Riesgos Servicios de Asesoría de Riesgos

Teléfono: + 852 2826 7235 Teléfono: + 86 (10) 8518 9234

Fax: + 852 2845 2588 Fax: + 86 (10) 8518 5111
Correo electrónico: carlson.tong@kpmg.com.hk Correo electrónico: david.ko@kpmg.com.cn

Hong Kong Llevar a la fuerza

Esteban Lee Alvin Wai

socio a cargo Pareja
Servicios de Asesoría de Riesgos Servicios de Asesoría de Riesgos

Teléfono: + 852 2826 7267 Teléfono: + 86 (21) 6288 1922

Fax: + 852 2845 2588 Fax: + 86 (21) 6288 1889
Correo electrónico: stephen.lee@kpmg.com.hk Correo electrónico: alvin.wai@kpmg.com.cn

Hong Kong Cantón

miguel lai Ronald Szé

Director Pareja
Servicios de Asesoría de Riesgos Servicios de Asesoría de Riesgos

Teléfono: + 852 2978 8943 Teléfono: + 86 (20) 3758 8530

Fax: + 852 2845 2588 Fax: + 86 (20) 8732 2883
Correo electrónico: michael.lai@kpmg.com.hk Correo electrónico: ronald.sze@kpmg.com.cn