Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hasta ese entonces el “Control” en una empresa era considerado un tema de contadores: El
Control Interno Contable.
LA LEY SOX
Resumen de la Ley:
Se creó una Junta que supervisa permanentemente la labor de las Sociedades de Auditoría
✓ Cada reporte anual debe contener la evaluación de la eficacia del Control Interno
✓ Se debía evaluar los Riesgos Operativos, de Mercado y de Reputación
✓ En la Memoria Anual de las empresas, auditadas, el Informe de Control Interno debía
concluir sobre la eficacia, o no, de los procedimientos de auditoría aplicados por los
Auditores Externos.
✓ Entre los miembros del Directorio debía nombrarse directores Independientes, con la
especialidad en Finanzas, Auditoría, Contraloría o similar
P á g i n a 1 | 19
Sección 302 Responsabilidad por los Informes Financieros
Cada reporte anual debe contener un Informe de Control Interno que indique:
Así mismo, evaluación del CI y reportes hechos por la Gerencia General, realizada por la Sociedad
de Auditoría contratada para opinar respecto a la razonabilidad de los Estados Financieros, y
respecto al resultado de su evaluación del Control Interno.
Esta sección está referida a los cambios en el Código Penal, especificando multan y penas para
los responsables legales a la infracción de la ley SOX. Multas no mayores a US$ 5MM y penas no
mayores a 20 años de cárcel.
En el Perú, la aplicación de SOX es obligatoria sólo a las empresas que cotizan en la bolsa de NY.
A cambio la Superintendencia del Mercado de Valores (SMV) ha emitido en el 2002, los
“Principios del Buen Gobierno Corporativo para sociedades peruanas”. Desde el 2005 la SMV
exige que toda empresa allí registrada, manifieste su adhesión a estos principios en su reporte
anual
En enero de 2013, el IIA emitió su declaración “Las 3 líneas de defensa para una efectiva gestión
de Riesgos y Control” que cambiaba radicalmente los anteriores conceptos de Control
En mayo de 2013, se emite la declaración COSO III, que reemplaza a las anteriores COSO y es
obligatoria su implementación desde el año 2015.
P á g i n a 2 | 19
Los cierres financieros de 2015 en adelante, especialistas independientes deben certificar que
el Control Interno de la empresa opera y funciona efectivamente.
El IIA emite su declaración “Las tres líneas de defensa para una efectiva Gestión de Riesgos y
Control”, con el fin de darle orden a las diversas instancias creadas en la Empresas, para que los
procesos de Control Interno y de Riesgos funcionen satisfactoriamente, que no dejen brechas,
ni haya duplicaciones innecesarias. Definidas claramente las responsabilidades, cada grupo de
profesionales de Control Interno y Riesgos, entenderá sus límites y cómo encaja su rol en la
estructura general de Control Interno y Riesgos, en la Organización.
El modelo de las Tres líneas de defensa mejora las comunicaciones, mediante la aclaración de
las funciones y deberes esenciales, y es apropiado para cualquier Organización, independiente
de su tamaño o complejidad. Aún en Organizaciones donde no exista formalmente la Gestión
de Riesgos, este Modelo puede aumentar la claridad respecto a Control Interno y Riesgos.
Ellas son propietarias de los riesgos y los gestionan. También son responsables de mantener un
control interno efectivo, implementa políticas y procedimientos, y acciones correctivas ante
deficiencias identificadas, a fin de asegurar que las actividades efectuadas son consistentes con
las metas y los objetivos. Las Gerencias de nivel medio diseñan e implementan controles y
supervisan su ejecución por parte de sus empleados.
La Gerencia General establece funciones para ayudar a crear y/o monitorear los controles de la
primera línea de defensa:
Una función de Cumplimiento, relacionada con tipos específicos de cumplimiento, como salud
y seguridad, cadena de suministros, ambiente o control de calidad. Monitoreo de la adecuación
y efectividad del Control Interno, exactitud e integridad de la información, cumplimiento de
leyes y regulaciones, y la implementación oportuna de deficiencias.
P á g i n a 3 | 19
Tercera Línea: Auditoría Interna
Proveen aseguramiento sobre la efectividad del gobierno corporativo, y la manera como la 1ra
línea (el Control Interno) y la 2da línea (la Gestión de Riesgos) alcanzan sus objetivos.
Implementar una actividad de Auditoría Interna profesional, debe ser requerimiento del más
alto nivel de la Organización, que asegure su independencia, y activo y efectivo reporte al
Directorio o a su Comité de Auditoría.
P á g i n a 4 | 19
COSO I y II + Sarbanes Oxley + 3 líneas de defensa del IIA : Las bases de COSO III
En mayo de 2013 el Comité emitió el documento COSO III que reemplaza a los anteriores COSO,
y que desde el año 2015 sería de aplicación obligatoria en todas las organizaciones registradas
en la SEC.
A partir de los cierres financieros de 2015 en adelante, toda organización en la que sus acciones
cotizan en un mercado público de valores, como la SEC en EEUU, requiere que Especialistas
Independientes certifiquen que su Control Interno opera y funciona efectivamente.
Un Control Interno efectivo, requiere algo más que el riguroso cumplimiento de políticas y
procedimientos. Juicio y criterio profesional debe aplicar el Directorio y la Gerencia General,
para determinar el nivel de control que es necesario aplicar, seleccionando, desarrollando y
desplegando controles en toda la organización. Ese mismo criterio profesional deben aplicar
principalmente el Directorio y los Auditores Internos, al supervisar y evaluar la efectividad del
Control Interno.
Es un proceso llevado a cabo por el Directorio, la Gerencia y el resto del personal de una
Entidad, diseñado para proporcionar un grado de seguridad razonable, respecto a la
consecución de objetivos relacionados con las operaciones, la información y el cumplimiento.
Proceso que consta de tareas y actividades continuas. Es un medio para llegar a un fin.
Personas, no sólo manuales, políticas, sistemas y formularios, sino personas, y sus acciones, en
cada nivel de la Entidad.
COMPONENTES Y PRINCIPIOS
• Es el Directorio quien:
✓ Establece los estándares de conducta esperados, y la Gerencia General los refuerza
en todos los niveles de la Entidad.
✓ Establece parámetros sobre los cuales actúa el propio Directorio, en el desempeño
de sus responsabilidades de supervisión.
✓ Considera el proceso de atraer, desarrollar y retener el talento.
✓ Evalúa el desempeño con rigor, y sobre sus resultados, establece los esquemas de
compensación e incentivos.
P á g i n a 6 | 19
Se evidencia cumplimiento de este Principio 1:
✓ Con la existencia de un clima ético que contribuya a la efectividad de las políticas de
la Entidad.
✓ Con un Directorio y Gerencia General desempeñando un rol clave. Por ejemplo, ante
un indicio de conducta inapropiada, se investiga y establecen sanciones por
incumplimiento. Es el Directorio quien determina estándares de control exigentes, o
relajados, y toma decisiones rápidas, o demoradas, bajo su responsabilidad.
✓ Viviendo la ética a través del ejemplo, en el sentido de arriba hacia abajo.
✓ Ante el conocimiento de un evento no ético, los colaboradores conocen los canales
correspondientes, a través de los cuales informan el hecho, a instancias
probadamente confiables e independientes.
P á g i n a 7 | 19
Principio 4: Competencia Profesional
La Gerencia General debe presentar para aprobación del Directorio, políticas
relacionadas con la atracción, desarrollo y retención de individuos competentes,
alineados con los objetivos de la Entidad. Complementario, pero no menos importante
es un trato justo y equitativo, y una remuneración acorde a lo señalado por el mercado
laboral, hacia todo el personal. Pero la evaluación permanente, y acciones correctivas
por los resultados obtenidos, también deben estar claramente difundidas, y aplicadas
con justicia y oportunidad.
Este segundo componente es el que tiene más relación con la definición de Control Interno,
que se diseña para proporcionar seguridad razonable en el cumplimiento de los objetivos
establecidos por la Entidad; ya que se define como RIESGO, la posibilidad de la ocurrencia
de eventos negativos, que impidan o afecten materialmente la obtención de tales objetivos.
• Los Riesgos a los que está expuesta una Entidad, pueden provenir desde la propia
Entidad, así como de su entorno Exterior (Internos y/o externos).
P á g i n a 8 | 19
• La identificación y evaluación de Riesgos, se facilita cuando los objetivos operativos, de
información y de cumplimiento, están clara y detalladamente establecidos; así como el
potencial impacto de los Riesgos, en tales objetivos.
• Evaluación de Riesgos, es un proceso dinámico y repetitivo que permite a la Entidad,
prepararse para identificar y evaluar oportunamente Riesgos que podrían afectar
materialmente sus objetivos.
• Para establecer la materialidad de un Riesgo de error, es necesario preestablecer niveles
de tolerancia cuantitativos.
P á g i n a 9 | 19
Se evidencia cumplimiento de este Principio 8:
✓ Si se considera la probabilidad de ocurrencia de todo tipo de Fraudes: En información
financiera y no financiera emitida, en disposición indebida de activos y en el
comportamiento fraudulento individual o colectivo, de trabajadores de la Entidad.
✓ Cuando se evalúa permanentemente, aquellas oportunidades que de alguna manera
incitan a incurrir en actos fraudulentos, como pagos variables como incentivos,
comisiones, bonos, etc.
✓ Si se evalúa si el modo de gestión u otras actividades, pueden justificar acciones
inapropiadas, como concentración de funciones.
✓ Cuando en la exposición del equipo a cargo del Control Interno, se incorpora los
resultados de la posibilidad de identificación de fraude.
Para que sean efectivos en mitigar esos Riesgos identificados, que pueden afectar el logro
de los objetivos de la Entidad, las actividades de control deben ser efectivas, apropiadas, y
funcionar consistentemente, en un periodo de tiempo determinado en un Plan de trabajo.
Así mismo, tener un costo adecuado, que sea razonable y relacionado directamente con los
objetivos de Control.
P á g i n a 10 | 19
• La segregación de funciones es parte de la definición y funcionamiento de las
Actividades de Control. En donde no sea posible una adecuada segregación de
funciones, se deben desarrollar Actividades de Control alternativas y compensatorias.
✓ Cuando las Actividades de Control aseguran que la respuesta al Riesgo que se realiza
aborda y mitiga los Riesgos.
✓ Cuando los controles de aplicación o controles de transacciones se han diseñado para
responder a los Riesgos, en los procesos relevantes para el logro de los objetivos.
✓ Cuando las Actividades de Control se aplican en los distintos niveles de la Entidad, y
los procedimientos de autorización, incluyendo términos y condiciones, son
documentados y claramente comunicados a los funcionarios involucrados, y al resto
del personal.
✓ Cuando se han establecido restricciones de acceso a las aplicaciones para los
procesos importantes que utilizan Tecnología de la Información.
✓ Cuando los controles de transacciones se han asignado a personas o unidades
distintas, y cuando esa segregación no sea posible, se ha desarrollado Actividades de
Control alternativas.
✓ Si existen lineamientos para el acceso, control, uso y disposición de activos de la
Entidad.
P á g i n a 11 | 19
✓ Si se ha determinado la dependencia y la relación entre los procesos, los controles
generales de Tecnología de la Información y las Actividades de Control
automatizadas.
✓ Si se ha diseñado, seleccionado e implementado las Acciones de Control sobre la
infraestructura de Tecnología para asegurar la integridad, exactitud y disponibilidad
del procesamiento de Tecnología de la Información.
✓ Si existe un Plan formal de Sistemas de la Información, en la Entidad
✓ Si existen controles generales que apoyen la adquisición, desarrollo y mantenimiento
de la infraestructura de Tecnología de la Información.
✓ SI existen controles de acceso y de modificación de la información que prevenga el
uso no autorizado de la información para proteger los activos, de las amenazas
externas, y este procedimiento es apoyado por la segregación de funciones, acorde
con las responsabilidades.
✓ Si existe un Plan de Contingencias, para evitar interrupciones en la operación del
servicio.
La Entidad despliega las Actividades de Control a través de políticas que establecen las
líneas generales del Control Interno y los procesos y procedimientos que llevan dichas
políticas a la práctica.
La responsabilidad por cada proceso, actividad, tarea o control debe ser claramente
definida, específicamente asignada y formalmente comunicada al funcionario
respectivo, por el equipo de funcionarios a cargo del Control Interno, designado por la
Gerencia General, por lo que la ejecución o modificación de los procesos, actividades o
tareas debe contar con la autorización y aprobación de dicho equipo.
P á g i n a 12 | 19
4. COMPONENTE IV DEL CONTROL INTERNO: INFORMACION Y COMUNICACIÓN PARA
MEJORAR
• La Gerencia General necesita información real, relevante y de calidad, a partir de fuentes
internas y externas, la cual, emitida oportunamente, sirve para apoyar el
funcionamiento de los otros componentes del Control Interno, del cual es responsable.
Esta información sirve para evidenciar el logro, o no, de los objetivos establecidos.
P á g i n a 13 | 19
✓ SI existen canales de comunicación interna, de abajo hacia arriba, que favorecen la
comunicación de fallas del Control Interno que impiden el cumplimiento apropiado
de los objetivos de la Entidad. Dichos canales deben asegurar confiabilidad y/o
confidencialidad, al trabajador que comunica, y siempre que sea necesario.
La Gerencia General o quien ésta designe, comunica a terceras partes, lo referente a los
asuntos que afectan el funcionamiento del Control Interno en la Entidad.
Las actividades de supervisión del Control Interno comprenden los siguientes principios:
El equipo a cargo del Control Interno en la Entidad, designado por Gerencia General, y
el órgano de Control independiente, seleccionan, desarrollan y ejecutan evaluaciones
continuas e independientes, respectivamente, para comprobar si los componentes y
principios del Control Interno de la Entidad, están presentes y operando.
P á g i n a 14 | 19
Se evidencia el cumplimiento de este Principio 16:
Como ya se manifestó, la Ley Sarbanes Oxley y COSO III requieren que el Control Interno de una
Entidad sea certificada como Efectivo, para lo cual:
Cada uno de los 5 componentes y los 17 Principios relevantes, hayan sido implementados y
funcionan de manera interdependiente, reduciendo a un nivel aceptable el Riesgo de no
alcanzar un objetivo.
❖ Llevan a cabo operaciones efectivas y eficientes, siendo poco probable que eventos
externos asociados a Riesgos, tengan impacto relevante en la consecución de sus objetivos.
❖ Gestionan operaciones efectivas y eficientes, cuando eventos externos pueden tener
impacto significativo en la consecución de sus objetivos.
❖ Se elabora información financiera y no financiera conforme a Principios y Normas
Internacionales; así mismo, diseñada para objetivos de reporting específicos de la Entidad.
❖ Se cumple con leyes, reglas, regulaciones y demás normativa del país; así mismo, se
cumplen políticas y normas internas establecidas por la alta Dirección.
❖ Se aplicó el mejor criterio profesional al diseñar, implementar y desarrollar el Control
Interno, y en la evaluación de su efectividad, y en la toma de decisiones al respecto, en la
seguridad de haber alcanzado y mantener un Control Interno Efectivo en la Empresa.
Aun siendo bien diseñado, el Control Interno sólo puede proveer seguridad razonable, no
absoluta, porque está afectada por limitaciones inherentes como:
1. El criterio profesional de las personas, en la toma de decisiones, puede ser erróneo y/o
estar sujeto a sesgos.
2. Fallos humanos, como puede ser cometer un simple error.
3. La capacidad de la Gerencia de anular el Control Interno
4. La capacidad de la Gerencia, y demás miembros del personal y/o terceros, para eludir
controles (Colusión).
5. Acontecimientos externos que escapan al control de la organización.
6. Control Interno ineficiente, si en su diseño no se ha considerado el Costo – Beneficio.
Se debe tratar de minimizar las señaladas limitaciones, para que no se vean afectados los
cuantiosos beneficios de implementar Control Interno en la Empresa.
El Control Interno al ser una herramienta de Gestión, debe ser implementado por la propia
Gerencia General, quien apoyada en un equipo a cargo del Control Interno, otorga soporte a los
titulares de las propias Gerencias, en la implementación y el funcionamiento del control interno
en la Gerencia a su cargo, en las políticas, procesos, actividades, recursos y operaciones,
orientando su ejecución al cumplimiento de los objetivos de Control Interno establecidos.
También existen otros actores especializados, que evalúan de manera independiente, la
implementación y funcionamiento antes señalados y brindan orientaciones para una mejor
consecución de objetivos operacionales, de información y de cumplimiento.
El Gobierno Corporativo
Son principios y normas que regulan el diseño, integración y funcionamiento de los órganos de
gobierno: Accionistas, Directores y Gerencia General.
P á g i n a 16 | 19
Los diversos modelos de Control Interno (COSO por ejemplo), buscan incorporar mecanismos y
sistemas de control en la Entidad (por ejemplo, políticas, procedimientos, reglamentos,
protocolos, normas, etc.), que son parte integral de la “arquitectura de control”, desarrollada
por el Gobierno Corporativo, con el propósito de definir y limitar la acción (o interés) individual
y reducir el “problema de agencia”.
El Gobierno Corporativo brinda ventajas a las empresas, ya que otorga señales a los
inversionistas, de un adecuado manejo, transparente e independiente de la Entidad, y da
seguridad razonable del cumplimiento de los objetivos organizacionales.
Las Gerencias de área o primera línea: Son responsables directos de todas las actividades de la
Gerencia a su cargo, incluyendo el diseño, la implementación, la supervisión del correcto
funcionamiento, el mantenimiento y documentación del Sistema de Control Interno.
Las Sociedades de Auditoria: Designados por el Directorio de la Entidad, deben asesorar y dar
recomendaciones de Control Interno, al margen de emitir una opinión sobre la razonabilidad de
la información financiera a una fecha determinada.
SOCIEDADES PERUANAS
A fines de 2013, 14 instituciones públicas y privadas del Perú (entre ellas el MEF, la SMV, la SBS,
la BVL, la CONFIEP, el IPAI, etc) emitieron el código de Buen Gobierno corporativo, que consta
de 5 pilares:
P á g i n a 17 | 19
El código está vigente desde 2014, su adopción es voluntaria, pero la sociedad que lo asuma
debe ser capaz de demostrar su adhesión documentadamente. Es una guía para todas las
sociedades anónimas del país, sobre todo para aquellas con valores inscritos en el Registro
Público del Mercado de Valores.
Los 3 Pilares que no hacen mención específica a Accionistas, tienen 17 principios, y de ellos 12
refieren directa o indirectamente temas que hemos visto en este trabajo referido a Control
Interno en la Empresa, como sigue:
Principio 18 Reglamento del Directorio: Se cuenta con un Reglamento que contiene políticas y
procedimientos para su funcionamiento, su estructura organizativa.
Principio 21 Comités especiales: Entre los miembros del Directorio se conforman comités
especializados, liderados por directores independientes. Como mínimo, Comité de Auditoria y
de nombramientos y retribuciones
Principio 22 Código de ética y conflicto de intereses: Se cuenta con un código de ética aplicable
a todos los miembros de la empresa, incluido el Directorio, que comprende criterios éticos y de
responsabilidad profesional, incluyendo medidas para prevenir, detectar, manejar y relevar
conflictos de intereses
Principio 25 Entorno del Sistema de Gestión de Riesgos: El Directorio aprueba una política de
Gestión Integral de Riesgos, que permite la identificación, medición, administración, control y
seguimiento de Riesgos. La Gerencia General supervisa periódicamente los riesgos a los que está
expuesta la Empresa y los informa al Directorio.
P á g i n a 18 | 19
Principio 27 Auditores Externos: La auditoría externa financiera realiza evaluaciones sobre la
efectividad y operatividad del Sistema de Control Interno, especialmente para evaluar el riesgo
de que existan errores en la información financiera. La Junta General de Accionistas, a través del
Directorio, designa Auditores externos anualmente. Se sugiere rotación periódica y que todo el
grupo de empresas sea auditado por el mismo auditor. Es el Comité de Auditoría del Directorio
quien supervisa la labor de los Auditores externos.
Principio 29 Estados Financieros y memoria anual: Directorio aprueba una vez al año la
memoria anual, en la que se refiere el desempeño financiero, los factores de riesgo relevantes,
acontecimientos significativos, y relaciones con partes vinculadas.
Mi comentario final
P á g i n a 19 | 19