LEY SARBANES

OXLEY (SOX)
 LEY SARBANES OXLEY (SOX)

CONTENIDO

Introducción
1. Junta Supervisora de las Compañías de Contabilidad Pública – PCAOB
1.1 Registro ante la PCAOB
1.2 Normas y Estándares
1.2.1 Normas de Auditoría – Auditing Standards
1.2.2 Normas de Control de Calidad – Quality Control Standards
1.2.3 Normas de Ética e Independencia – Ethics and Independence Rules
1.2.4 Normas de atestación
1.3 Inspecciones de firmas de contabilidad Públicas
1.4 Investigaciones y procedimientos disciplinarios
2. Comités de Auditoría
2.1 Reglamento del Comité de Auditoría
2.2 Supervisión de la información financiera
2.3 Revisar las políticas con relación a la valoración y administración del riesgo
2.4 Supervisión del Sistema de control interno
2.5 Función de auditoría interna
2.6 Supervisar la Independencia del auditor
2.7 Procedimientos para líneas de reporte o denuncia anónima
3. Marco Integrado de Control Interno de COSO
3.1 Componentes y principios del Marco Integrado de Control Interno
3.2 Implementación del Marco Integrado de Control Interno
3.3 Evaluación del Sistema de Control Interno
3.3.1 Control interno sobre la información financiera
3.4 Auditoría del Sistema de Control Interno
4. Gobierno Corporativo
5. Código de ética y mejores prácticas corporativas
6. La Ley SOX y los Sistemas de Información de las compañías
6.1 Seguridad de la información
6.2 Control interno sobre el reporte financiero

2 WWW.AUDITOOL.ORG
 6.3 Retención y almacenamiento de la información
6.4 COBIT 5
6.5 Auditoría del área de Sistemas
7. Reformas a la ley, resultados de su implementación y cambios en el futuro
7.1 Resultados de la implementación de la Ley SOX
7.2 Cambios en la Ley SOX
7.3 Beneficios de la Ley SOX y expectativas para el futuro

3 WWW.AUDITOOL.ORG
 INTRODUCCIÓN

Los escándalos financieros provocados por diferentes empresas a nivel mundial

(Worldcom, Enron, Parmalat, Royal Ducth Shell, entre otras) causaron la pérdida de
confianza de los inversionistas en los mercados de valores e información financiera; como
consecuencia de fraudes, malversación e irregularidades contables y administrativas. Esta
crisis generó cambios relevantes en la profesión contable e hizo que el gobierno
norteamericano retomara el tema de control interno dando origen a la Ley Sarbanes Oxley
(también llamada Ley SOX – SAROX – SARBANES) en Julio de 2002. La Ley SOX
reglamentó estándares con controles más estrictos para evitar el fraude en la presentación
de la información financiera y fortalecer el Gobierno Corporativo.

Todas las empresas con valores registrados en las bolsas norteamericanas (New York
Stock Exchange – NYSE y National Association of Securities Dealers by Automatic
Quatation – NASDAQ) bajo la supervisión de la SEC y además de sus filiales, deben cumplir
con todos los requerimientos de la Ley SOX. Los objetivos principales de la Ley desde su
aprobación han sido, en primer lugar, establecer un nuevo consejo de vigilancia, la Junta
Supervisora de las Compañías de Contabilidad Pública – PCAOB, supervisada por la SEC
– Securities and Exchange Commision. La PCAOB supervisa a los auditores de las
compañías públicas, con el fin de proteger los intereses de los inversionistas y establece
las normas o estándares de auditoría, control de calidad, ética e independencia

Además, la Ley SOX determina las funciones y responsabilidades para los Comités de
Auditoría, incrementa la responsabilidad de los Directores Generales y Directores de
Finanzas, establece nuevos requerimientos de información para mejorar la calidad de la
misma y refuerza penas por fraudes corporativos y crímenes de cuello blanco. Por esta
razón, la Ley SOX solicita a las organizaciones que evalúen el diseño y la efectividad de
sus sistemas de control interno. En este punto la PCAOB y COSO – Committee of
Sponsoring Organizations of the Treadway Commission, han trabajado arduamente y
enfatizan en la importancia de establecer procedimientos para la evaluación de riesgos,
considerando los riesgos de fraude y examinando el desarrollo de cada una de sus
actividades.

4 WWW.AUDITOOL.ORG
Quince años después de presentada la Ley SOX, las compañías enfrentan mayores
desafíos debido a la globalización y las nuevas tecnologías que las exponen a un sin
número de riesgos de fraude y corrupción. Sin embargo, es claro que la Ley SOX ha sido
esencial durante estos años, aun teniendo en cuenta que para su implementación las
empresas tuvieron que efectuar diferentes cambios y mejoras, lo que en principio causó
algunos problemas, molestias y preocupaciones por los altos costos que conlleva la
aplicación de la ley, pero que ahora representan una mejora significativa, sobre todo en la
conducta corporativa, por las responsabilidades que debieron asumir tanto ejecutivos como
directores, y porque se ha generado un mayor enfoque a los controles de los riesgos y al
conocimiento del control interno.

Durante estos años, la ley ha generado diversas opiniones, y uno de los aspectos más
controversiales ha sido su Sección 404, Evaluación de la gerencia de los controles internos,
la cual requiere que cada empresa presente un informe de la efectividad de control interno,
dentro del informe anual que debe ser entregado. De la misma manera, el auditor debe
revisar el reporte de las evaluaciones hechas a la estructura de control interno.

En este punto el gobierno de los Estados Unidos con la Ley Dodd-Frank (Ley de Reforma
de Wall Street y Protección al Consumidor Dodd-Frank), firmada por el Presidente Barack
Obama el 21 de julio de 2010 adiciona el inciso C, que menciona como obligatorio para los
reportes anuales ante la SEC, la inclusión de los reportes de auditoría en Control Interno
Sobre la Información financiera.

Asimismo, la Ley de Arranque de Negocios Nuevos (JOBS), aprobada por el Congreso y

firmada por el Presidente Obama el 5 de abril de 2012, elimina los requisitos de la Sección
404 de la Ley SOX para organizaciones que cumplan con la definición de compañía en
crecimiento emergente.

Como vemos, la Ley SOX comprende grandes áreas de trabajo, que se pueden definir en
seis específicas. La primera, la mejora en la calidad de la información pública por la
presentación de informes anuales en cumplimiento con los requisitos de la SEC y la
PCAOB. La segunda, el reforzamiento de responsabilidades del gobierno corporativo.

5 WWW.AUDITOOL.ORG
La tercera, la mejora en las conductas y comportamientos éticos, y mayores exigencias de
responsabilidad en los temas de gestión. La cuarta, el aumento de la supervisión a las
actuaciones en los mercados cotizados. La sexta, el aumento de exigencia y presión sobre
la independencia efectiva de los auditores.

Sobre estas seis áreas se desarrolla este segundo documento, que es la continuación del
primer curso donde se presentaron los antecedentes, origen y estructura de la Ley SOX.
Empezamos por la Junta Supervisora de las Compañías de Contabilidad Pública – PCAOB,
describiendo sus funciones, estructura y estándares de auditoría. Seguimos con los comités
de auditoría y su importancia, el Marco Integrado de Control Interno de COSO, Gobierno
Corporativo, Código de Ética y mejores prácticas corporativas. Finalizamos con el alcance
de la Ley SOX sobre los Sistemas de Información de las compañías, y las reformas que se
han realizado a la ley durante estos años, cuáles han sido los resultados luego de la
implementación de la ley y los posibles cambios que se puedan implementar en el gobierno
del Presidente Trump.

Requerimientos
de la Ley SOX

Marco Integrado Seguridad de la Comités de

Gobierno
SEC PCAOB de Control Interno Información y Auditoría y Código
Corporativo
de COSO COBIT de Ética

6 WWW.AUDITOOL.ORG
 1. Junta Supervisora de las compañías de contabilidad pública - PCAOB

En primer lugar, en el titulo 1, sección 101, la Ley SOX dio origen a la Junta Supervisora
de las Compañías de Contabilidad Pública – PCAOB (Public Company Accounting
Oversight Board), un organismo regulador sin ánimo de lucro e independiente del gobierno
de los Estados Unidos, cuya función principal es supervisar la auditoría de empresas y
compañías públicas, las cuales se rigen bajo las leyes de valores y temas relacionados,
buscando la plena protección de los intereses de los inversionistas e incrementar los
beneficios al interés público por medio de la preparación y presentación de informes de
auditoría informativos, exactos e independientes. Así mismo, la PCAOB realiza
investigaciones y establece medidas disciplinarias a las firmas que resulten involucradas
en actividades fraudulentas.

La PCAOB está conformada por 5 miembros de los cuales solamente dos pueden ser
contadores públicos certificados, y los otros 3 deben ser miembros independientes de la
profesión. Se determina que el tiempo de servicio que presta cada miembro de la PCAOB
es de 5 años, y hasta que haya una persona nombrada como su sucesor. Es importante
aclarar que por ningún motivo las personas pertenecientes a la organización, ya sean en
calidad de miembros y como presidente de la PCAOB, pueden posesionarse por más de
dos períodos, siendo estos consecutivos o no.

7 WWW.AUDITOOL.ORG
 Deberes de la PCAOB
• Registrar las firmas que se encargan de auditar las sociedades cotizadas en los
mercados de valores de Estados Unidos y hacer públicos sus hallazgos.
• Establecer y adoptar las normas de auditoría, de control de calidad, estándares de
ética e independencia, incluyendo otras normas relacionadas con la preparación de
los informes de auditoría preparados para emisores. De la misma manera, la PCAOB
exige el cumplimiento de sus reglamentos, las normas profesionales, las respectivas
leyes del mercado de valores relacionadas con la preparación y emisión de los
informes de auditoría, así como el cumplimiento de las obligaciones y
responsabilidades de los contadores.
• Inspeccionar a las empresas registradas de contabilidad pública para evaluar el
cumplimiento de la Ley SOX, las reglas de la Junta, las normas de la SEC, y las
normas profesionales, en relación con el desempeño de auditorías y asuntos
relacionados con compañías estadounidenses, otros emisores, corredores y
distribuidores.
• Realizar investigaciones y aplicar los procedimientos disciplinarios pertinentes,
imponiendo las sanciones apropiadas cuando sea necesario a las respectivas firmas
de contabilidad pública que han sido registradas, incluyendo a sus asociados, que
violen las leyes de auditoría y los estándares profesionales.
• Presentar un Informe Anual a La Comisión, incluyendo los estados financieros
auditados. De esta manera, la comisión debe transmitir una copia de este informe al
Comité de la Banca y Asuntos Urbanos del Senado, de la misma manera al Comité
sobre servicios financieros de la Cámara de Representantes. Esto no debe
sobrepasar los 30 días después de la recepción del informe por parte de la Comisión.

1.1 Registro ante la PCAOB

A diciembre de 2016, había 2013 firmas de auditoría registradas ante la PCAOB, 1113
firmas de los Estados Unidos y 900 de otros países. La sección 102, expone el
requerimiento del registro de las compañías públicas de contabilidad ante la PCAOB, para
poder auditar compañías públicas.

8 WWW.AUDITOOL.ORG
Este proceso se lleva a cabo a través de una solicitud por medio de un formato específico
prescrito por la PCAOB, el cual demanda requisitos como:

• Nombres de todos los emisores para los cuales la firma preparó o emitió informes de
auditoría durante el año calendario inmediatamente anterior, además de aquellos
para los cuales la firma espera preparar o emitir informes de auditoría durante el año
calendario corriente.
• Honorarios anuales recibidos de cada emisor por la firma, por servicios de auditoría,
otros servicios contables y servicios sin auditoría.
• Declaración de las políticas de control de calidad de la firma respecto a sus prácticas
de contabilidad y auditoría.
• Un listado de todos los contadores asociados con la firma, que participan o
contribuyen en la preparación de informes de auditoría.
• Se debe anexar cualquier información respecto a acciones penales civiles,
administrativas o procesos disciplinarios contra la firma, o cualquier persona asociada
de la misma que tenga relación con cualquier informe de auditoría.
• Copia de cualquier revelación periódica o anual presentada por un emisor durante el
año calendario inmediato, en el cual se manifieste desacuerdo contable entre el
emisor y la firma, en relación con un informe de auditoría que haya sido proporcionado
o preparado por la firma para dicho emisor.
• Se debe incluir un consentimiento en el cual, la firma y sus asociados, estén de
acuerdo con los respectivos reglamentos de la PCAOB.

9 WWW.AUDITOOL.ORG
El proceso de registro contempla los siguientes pasos:

1. Registro en página web de la Junta:

https://rasr.pcaobus.org/Entitlement/Request.aspx

2. Completar el formulario FORM 1

10 WWW.AUDITOOL.ORG
 3. Pago del registro: La PCAOB tiene la autoridad para evaluar y cobrar un honorario de
registro y un honorario anual a cada firma contable pública registrada, montos que
sean suficientes y vayan acorde con la recuperación de los costos del proceso y
revisión de las solicitudes de registro e informes anuales.

4. Firma de consentimientos
5. Aprobación o desaprobación por parte de la PCAOB, 45 días después del registro.

Las firmas de contabilidad pública registradas están en la obligación de presentar Informes

Periódicos anuales a la PCAOB, y pueden ser requeridas para informar con más
frecuencia, siempre y cuando sea necesario para la actualización de la información, además
de proporcionar información adicional que la PCAOB y la comisión requieran. El informe
periódico debe ser presentado con el formulario FORM 2 antes del 30 de Junio de cada
año, el cual está disponible en siguiente enlace:

https://pcaobus.org/Registration/Documents/Form_2_Sample.pdf.

11 WWW.AUDITOOL.ORG
1.2 Normas y estándares

La PCAOB debe establecer, corregir o modificar las normas de auditoría, normas de control
de calidad, las normas éticas y de independencia, y las normas de atestación a ser usadas
por firmas contables públicas registradas en la preparación y emisión de informes de
auditoría, de acuerdo a la sección 103 de la Ley SOX. Las firmas que no cumplan con los
requerimientos de dichas normas, pueden ser objeto de medidas disciplinarias.

Es responsabilidad de la PCAOB evaluar las normas establecidas y llevar a cabo

discusiones del trabajo con los grupos de contadores profesionales y grupos de asesores
designados y definir los temas pendientes en la agenda para proyectos de normas futuras.
Todos los resultados deben incluirse en el informe anual.

1.2.1 Normas de Auditoría – Auditing Standards

Desde su creación, la PCAOB ha emitido 18 Normas de Auditoría nombradas

consecutivamente (No. 1 -18) de acuerdo a su expedición. Dichas normas se han
actualizado a través de un proyecto desarrollado desde 2013 con la ayuda de asesores
externos y la participación del público, con el fin de identificar qué mejoras se podrían hacer
a las normas y responder a las necesidades y desafíos del mundo de hoy. Las normas han
sido reorganizadas por áreas temáticas que siguen el flujo del proceso de la auditoría, que
permiten una fácil navegación entre su estructura. Estas nuevas normas reorganizadas de
auditoría son efectivas a partir del 31 de diciembre de 2016, y presentan la siguiente
estructura:

12 WWW.AUDITOOL.ORG
 Normas
NORMAS DE AUDITORÍA REORGANIZADAS1
Anteriores
Normas de Auditoría General
1000 – Principios y Responsabilidades Generales
1001 – Responsabilidades y funciones del Auditor Independiente AU sec. 110
1005 – Independencia AU sec. 220
1010 – Capacitación y competencia del auditor AU sec. 210
1015 – Debido cuidado profesional en el desempeño del trabajo AU sec. 230
1100 – Conceptos Generales
1101 – Riesgo de Auditoría AS No. 8
1105 – Evidencia de Auditoría AS No. 15
1110 – Relación entre las normas de auditoría y los estándares de control
AU sec. 161
de calidad
1200 – Actividades Generales
1201 – Supervisión del compromiso de auditoría AS No. 10
1205 – Parte de la auditoría desarrollada por otros auditores
AU sec. 543
independientes
1210 – Uso del trabajo de un especialista AU sec. 336
1215 – Documentación de auditoría AS No. 3
1220 – Compromiso de la Revisión de Calidad AS No. 7
1300 – Comunicaciones del Auditor
1301 – Comunicaciones con el Comité de Auditoría AS No. 16
1305 – Comunicaciones sobre el control de deficiencias en una Auditoría
AU sec. 325
de Estados Financieros
Procedimientos de Auditoría
2100 – Planeación de la Auditoría y Evaluación de Riesgos
2101 – Planeación de la Auditoría AS No. 9
2105 – Consideración de la Materialidad en la planeación y desarrollo de
AS No. 11
la Auditoría
2110 – Identificación y Evaluación de riesgos de declaraciones erróneas
AS No. 12
materiales

1
https://pcaobus.org/Standards/Auditing/Documents/ReorganizedandPreReorganizedNumbering.pdf

13 WWW.AUDITOOL.ORG
 2200 – Auditoría del Control Interno sobre el Reporte Financiero
2201 – Una auditoría de Control Interno sobre el Reporte Financiero, que
AS No. 5
está integrada con una auditoría de Estados Financieros
2300 – Procedimientos de auditoría en respuesta a la naturaleza,
tiempo y alcance de los riesgos.
2301 – Respuestas del auditor a los riesgos de declaraciones erróneas
AS No. 13
materiales
2305 – Procedimientos analíticos sustantivos AU sec. 329
2310 – El proceso de confirmación AU sec. 330
2315 – Muestreo de auditoría - audit Sampling AU sec. 350
2400 – Procedimientos de Auditoría para aspectos específicos de la
auditoría
2401 – Consideración de fraude en una auditoría de Estados financieros AU sec. 316
2405 – Actos ilegales de los clientes AU sec. 317
2410 – Partes relacionadas AS No. 18
2415 – Consideración de la habilidad de la entidad para continuar en
AU sec. 341
marcha
2500 – Procedimientos de Auditoría para cuentas y revelaciones
especificas
2501 – Auditoría de estimaciones contables AU sec. 342
2502 – Auditoría de mediciones de valor razonable y revelaciones AU sec. 328
2503 – Auditoría de instrumentos derivados, actividades de cobertura e
AU sec. 332
inversiones en valores
2505 – Investigación del abogado de un cliente con respecto a litigios,
AU sec. 337
reclamaciones y evaluaciones
2510 – Inventarios de auditoría AU sec. 331
2600 – Temas Especiales
2601 – Consideración del uso de una entidad del servicio de una
AU sec. 324
organización
2605 – Consideración de la función de Auditoría Interna AU sec. 322
2610 – Auditorías iniciales, comunicaciones entre los auditores
AU sec. 315
predecesores y sucesores

14 WWW.AUDITOOL.ORG
 2700 – Responsabilidades del auditor con respecto a información
suplementaria y otra información
2701 – Auditoría de información suplementaria que acompaña los
AS No. 17
estados financieros
2705 – Información suplementaria requerida AU sec. 558
2710 – Otra información en documentos que contienen los estados
AU sec. 550
financieros auditados
2800 – Procedimientos de auditoría de conclusión
2801 – Eventos posteriores AU sec. 560
2805 – Representaciones de la administración AU sec. 333
2810 – Evaluación de los resultados de auditoría AS No. 14
2815 – El significado de “Presentado razonablemente de conformidad
AU sec. 411
con los Principios de Contabilidad Generalmente Aceptados”
2820 – Evaluación de la consistencia de los Estados Financieros AS No. 6
2900 – Asuntos posteriores a la auditoría
2901 – Consideración de los procedimientos omitidos después de la
AU sec. 390
fecha del informe
2905 – Descubrimiento posterior de hechos existentes en la fecha del
AU sec. 561
informe del auditor
Informe del auditor
3100 – Informe en Auditorías de Estados Financieros
3101 – Informes de Estados Financieros Auditados AU sec. 508
3110 – Fechas/citas en el informe del auditor independiente AU sec. 530
3300 – Otros temas de informes
3305 – Informes especiales AU sec. 623
3310 – Informes especiales en compañías reguladas AU sec. 544
3315 – Informes de Estados Financieros Condensados e información
AU sec. 552
financiera seleccionada
3320 – Asociación con Estados Financieros AU sec. 504
Asuntos relacionados a archivos bajo las Leyes Federales de
Valores
4101 – Responsabilidades con archivos bajo las Leyes Federales de
AU sec. 711
Valores

15 WWW.AUDITOOL.ORG
 4105 – Revisiones de la información financiera temporal AU sec. 722
Otros Asuntos Asociados con Auditorías
6101 – Cartas para aseguradores y otras partes específicas requeridas AU sec. 634
6105 – Informes de la Aplicación de los Principios de Contabilidad AU sec. 625
6110 – Cumplimiento de las consideraciones de auditoría en auditorías
AU sec. 801
de receptores de Asistencia Financiera Gubernamental
6115 – Informe sobre si una debilidad material reportada previamente
AS No. 4
continua existiendo

1.2.2 Normas de Control de Calidad - Quality Control Standards

La PCAOB adoptó a partir del 2003 las normas preexistentes de Control de Calidad del
AICPA – Instituto Americano de Contadores Públicos Certificados (The American Institute
of CPA). La revisión del control de calidad está definida como un proceso diseñado para
proporcionar una evaluación objetiva, en la fecha del informe emitido por el auditor, o
anteriormente a esta fecha, acerca de los juicios significativos aplicados por el equipo del
encargo y de las conclusiones alcanzadas sobre las que se ha emitido el informe del auditor.

A nivel de una organización de auditoría, el objetivo de la firma en relación con la calidad

es establecer y mantener un sistema de control de calidad que proporcione una seguridad
razonable de que:

ü La firma de auditoría y su personal cumplen con las normas profesionales, las leyes
y los reglamentos aplicables.
ü Los informes emitidos por la firma de auditoría o por los socios encargos son los
apropiados según las circunstancias.

El sistema de control de calidad incluye políticas y procedimientos que se establecen con

el propósito principal de asegurar la calidad de la auditoría y cumplimiento de las normas
relevantes. Dentro de las normas profesionales y requisitos legales, están los requisitos
éticos, que son establecidos por el Código de Ética para contadores profesionales,
preparado por el Comité de Ética de la Federación Internacional de Contadores - IFAC.

16 WWW.AUDITOOL.ORG
El equipo de trabajo, socio de trabajo y revisor de control de calidad deben cumplir con los
principios éticos fundamentales: Integridad, Objetividad, Competencia profesional y debido
cuidado, Confidencialidad, y Conducta profesional. Las políticas y procedimientos se
centran en seis elementos del Control de Calidad, que hacen referencia a los
requerimientos para cada firma de contabilidad pública registrada:

• Monitoreo de éticas profesionales e independencia de los emisores a quienes las

firmas emiten informes de auditoría.
• Consulta dentro de la firma sobre cuestiones de contabilidad y auditoría.
• Supervisión del trabajo de auditoría.
• Contratación, desarrollo profesional y promoción del personal.
• Aceptación y continuación de compromiso.
• Inspección interna, entre otros.

Normas de Control de Calidad 2

þ QC 20 – Sistema de Control de Calidad para la práctica de Contabilidad y Auditoría
de Firmas de Contadores Públicos Certificados
þ QC 30 – Monitoreo de la práctica de Contabilidad y Auditoría de Firmas de
Contadores Públicos Certificados
þ QC 40 - Elemento de Administración del Personal del Sistema de Control de
Calidad de una firma – Competencias requeridas para un practicante encargado
de un compromiso para atestiguar
Sección práctica de la SEC – Requisitos de membresía
þ SECPS §1000.08(d) – Educación profesional continuada del personal de una
Firma de Auditoría
þ SECPS §1000.08(l) – Comunicación escrita a todo el personal profesional de la
Firma de las políticas y procedimientos sobre las recomendaciones y aprobación
de los Principios de Contabilidad, relaciones de los clientes presentes y
potenciales, y los tipos de servicio proporcionados.
þ SECPS §1000.08(m) Notificaciones de la Comisión de las renuncias y
destituciones de trabajos de auditoría de los registrados en la Comisión

2
https://pcaobus.org/Standards/QC/Pages/default.aspx

17 WWW.AUDITOOL.ORG
 þ SECPS §1000.08(n) Obligaciones de la firma de Auditoría con respecto a las
políticas y procedimientos de las firmas correspondientes y de otros miembros de
firmas Internacionales o Asociaciones de Firmas Internacionales
þ SECPS §1000.08(o) Políticas y procedimientos para cumplir con los
requerimientos de independencia

1.2.3 Normas de Ética e Independencia - Ethics and Independence Rules

Para las normas y reglas de independencia la PCAOB establece las reglas que pueden ser
necesarias y adecuadas para el interés público o la protección de los inversionistas.
Normas de Ética e Independencia3
þ 3501 - Definiciones de términos empleados en la Sección 3, parte 5 de las reglas.
þ 3502 – Responsabilidad de contribuir no intencionalmente o descuidadamente a
violaciones
þ 3520 – Independencia del auditor.
þ 3521 – Acuerdos de pago
þ 3522 – Transacciones de impuestos
þ 3523 – Servicios de impuestos para personas en roles de supervisión del reporte
financiero.
þ 3524 – Pre-aprobación del Comité de Auditoría de ciertos servicios de impuestos
þ 3525 – Pre-aprobación del Comité de Auditoría de servicios de no auditoría
relacionados al control interno sobre el reporte financiero.
þ 3526 – Comunicaciones con el Comité de Auditoría con relación a la
Independencia.

1.2.4 Normas de atestación

Las normas de atestación comprenden la responsabilidad de los auditores de emitir un

informe donde expresan su responsabilidad de haber revisado la información presentada
por la administración, y dan fe de su veracidad. En abril de 2003, la PCAOB adoptó algunas
normas preexistentes como sus normas provisionales, las cuales consisten en las
Declaraciones del AICPA sobre Normas para los Compromisos de Atestación.

3
https://pcaobus.org/Standards/EI/Pages/default.aspx

18 WWW.AUDITOOL.ORG
 Normas de atestación4
þ AT No. 1 – Compromiso para Examinar los Informes de Cumplimiento de
corredores e inversionistas
þ AT No. 2 – Compromiso de Revisión de Informes de Exenciones de Corredores e
inversionistas

Normas temporales
þ AT 101 Compromisos de atestación
þ AT 201 Contratos acordados
þ AT 301 Predicciones y proyecciones financieras
þ AT 401 Reporte sobre la información financiera pro forma
þ AT 601 Cumplimiento de atestación
þ AT 701 Discusión y análisis de la administración

1.3 Inspecciones de firmas de contabilidad pública

La PCAOB desarrolla programas continuos de supervisión del trabajo de las firmas de
auditoría, con el fin de comprobar su cumplimiento efectivo de la Ley SOX y de las normas
y estándares profesionales. Las inspecciones se aplican anualmente con respecto a cada
firma contable pública registrada que proporcionan normalmente informes de auditoría para
más de 100 emisores, y como mínimo con una frecuencia de una vez cada tres años para
cada firma que proporciona informes de auditoría para 100 o menos emisores.

4
https://pcaobus.org/Standards/Attestation/Pages/default.aspx

19 WWW.AUDITOOL.ORG
 Reglas Inspecciones de firmas de contabilidad pública5
þ 4000 – Información General
þ 4001 – Inspecciones Regulares
þ 4002 – Inspecciones Especiales
þ 4003 – Frecuencias de las Inspecciones
þ 4004 – Procedimientos con relación a posibles violaciones de las leyes y reglas
þ 4005 – Retención de registros y disponibilidad
þ 4006 – Responsabilidad de cooperar con los inspectores
þ 4007 – Procedimientos concernientes a los borradores de los informes de las
inspecciones
þ 4008 – Procedimientos concernientes a los informes finales de las inspecciones
þ 4009 – Respuesta de la firma a los defectos/deficiencias en los controles de calidad
þ 4010 – Reportes Públicos de la PCAOB
þ 4011 – Declaraciones para Firmas de Contabilidad Publica Registradas extranjeras
þ 4012 – Inspecciones a Firmas de Contabilidad Publica Registradas extranjeras
þ 4020T – Programa Temporal de Inspecciones relacionado a auditorías de
corredores inversionistas

Según el reglamento, la PCAOB puede programar en cualquier momento inspecciones, si

es necesario de acuerdo al interés público y la protección de los inversionistas. Por lo tanto,
la PCAOB tiene la capacidad para manejar inspecciones especiales solicitadas bajo el
interés propio o bajo el interés de la comisión.

En las inspecciones la PCAOB verifica y revisa los compromisos de auditoría e incluye

aquellos que están sujetos a litigio u otra controversia entre la firma y una o más terceras
partes que han sido llevados a cabo en varias oficinas y por distintas personas asociadas
a la firma. La PCAOB debe evaluar la eficacia del sistema de control de calidad y, así
mismo, la documentación y comunicación de la firma. De esta manera, la PCAOB debe
llevar a cabo las pruebas de auditoría, supervisión y procedimientos de control de calidad
que sean necesarios y pertinentes para seguir los propósitos de la inspección y las
responsabilidades de la PCAOB.

5
https://pcaobus.org/Rules/Documents/PCAOB-Rules.pdf

20 WWW.AUDITOOL.ORG
Para cada inspección se debe emitir un informe escrito de los hallazgos de la PCAOB, este
informe se transmite detalladamente a la comisión y a cada autoridad competente Estatal
apropiada, con una carta o comentario por la PCAOB al inspector y, una carta de respuesta
de la firma de contabilidad pública registrada puesta a disposición detallada para el público.
En cada inspección la PCAOB identifica los actos, prácticas u omisiones de las firmas
contables públicas registradas o de las personas asociadas, que violan los reglamentos de
la PCAOB, la comisión o las normas profesionales. En caso de identificar un hecho ilícito,
la PCAOB debe reportar si es necesario a la comisión y a las autoridades Estatales
pertinentes. De esta manera, inicia una investigación formal o se toma una acción
disciplinaria.

Las inspecciones se centran en las siguientes áreas de auditoría y los procedimientos de

certificación:

Áreas de inspección
þ Independencia del auditor
þ Áreas de auditoría de estados financieros donde las deficiencias fueron
identificadas en inspecciones pasadas
þ Evaluación y respuesta a los riesgos de declaraciones erróneas significativas por
fraude,
þ Procedimientos de auditoría
þ Procedimientos para los compromisos de certificación
þ Evaluaciones del compromiso de calidad

1.4 Investigaciones y procedimientos disciplinarios

De acuerdo a la sección 105 de la Ley SOX la PCAOB tiene el derecho de conducir y llevar
a cabo una investigación y, así mismo, de tomar las medidas disciplinarias adecuadas para
tales casos en los que las firmas de contabilidad pública registradas y sus asociados por
cualquier acto, práctica, u omisión violen cualquiera de las cláusulas acordadas en el acta,
los reglamentos de la Junta, las cláusulas de las leyes de valores relacionados con la
preparación o emisión de informes de auditoría y, las obligaciones y responsabilidades de
los contadores vinculados.

21 WWW.AUDITOOL.ORG
Una firma de contabilidad pública registrada, puede exigir una revisión por parte de la
comisión, de acuerdo con los reglamentos que la comisión demande, siempre y cuando:

ü La firma proporcione a la PCAOB una respuesta, de acuerdo a los reglamentos

emitidos por la PCAOB, como justificación de asuntos específicos en un informe
borrador de inspección y expresando que está en desacuerdo con las evaluaciones
registradas en el informe final preparado por la PCAOB que responde a dicha
respuesta.
ü La firma está en desacuerdo con la determinación de la PCAOB que las críticas,
defectos o irregularidades identificadas en el informe de inspección, no han sido
manejados para satisfacción de la PCAOB dentro de los 12 meses de la fecha del
informe de inspección. De tal manera, la revisión puede ser calificada durante el
período de 30 días siguiendo la fecha del suceso que originó la revisión.

La PCAOB es la encargada de llevar a cabo los procedimientos disciplinarios necesarios,

debe determinar si una firma de contabilidad pública registrada, o una persona asociada a
ella, debe ser o no disciplinada, y hacer los cargos específicos con relación a las firmas o
personas asociadas. De la misma manera, la PCAOB debe notificar a la firma la oportunidad
que tiene para defenderse contra dichos cargos. Por lo tanto, la PCAOB tiene la autoridad
disciplinaria para demostrar que los auditores que actúen en contra de sus obligaciones
profesionales tendrán consecuencias reales.

Acciones Disciplinarias de la PCAOB

þ Suspensión temporal o revocación permanente del registro
þ Suspensión temporal o permanente de una persona asociada a una Firma de
Contabilidad Pública registrada
þ Limitación temporal o permanente de las actividades, funciones u operaciones de
una Firma de Contabilidad Pública registrada o persona asociada
þ Imposición de una sanción civil monetaria por cada violación

22 WWW.AUDITOOL.ORG
Además de esto, la PCAOB puede solicitar el testimonio de la firma o de cualquier persona
asociada a la firma, con respecto a cualquier asunto que la PCAOB considere importante
para llevar a cabo una investigación. De la misma manera, la PCAOB puede solicitar
documentos de trabajo de auditoría y otros documentos e información que estén bajo la
propiedad de una compañía de contabilidad pública registrada o cualquier persona
asociada sin importar donde se encuentre ubicada. La PCAOB puede inspeccionar los
libros y registros de la firma o las personas asociadas; como lo son profesionales que
trabajan con la firma, para constatar la veracidad de cualquier documento o información
suministrada.

El testimonio de cualquier persona puede ser de suma importancia, por lo tanto, puede ser
solicitado por parte de la PCAOB, incluyendo cualquier documento en su posesión que sea
necesario para la investigación y esté bajo los reglamentos de la PCAOB. Para el caso en
que la firma de contabilidad pública registrada o sus asociados se reúsen a testificar,
presentar documentos necesarios para la investigación o cooperar de cualquier otro modo
con la PCAOB, se aplicaran las sanciones pertinentes como la suspensión o impedimento
para que esta persona se asocie con dicha firma o, exigir a la firma que dé por terminada
dicha asociación. A su vez, puede acarrear sanciones menores que la PCAOB considere
necesarias y estén bajo el reglamento de la PCAOB por la Falta de Cooperación con las
Investigaciones.

La PCAOB debe notificar a la comisión sobre cualquier investigación que esté pendiente e
involucre una posible sospecha de violación de las leyes de valores, con el fin de coordinar
su trabajo con el de la división “Enforcement” si así lo amerita para proteger la
investigación en marcha. Sin embargo, la PCAOB puede referir una investigación, de ser
necesario, a cualquier ente regulador Federal, el procurador general de los Estados Unidos,
el procurador general de uno o más estados y, a la autoridad reguladora Estatal adecuada.

De acuerdo a la Ley SOX, todos los documentos e información relacionada con las
investigaciones llevadas a cabo por la PCAOB son material de confidencialidad y
privilegio como materia de evidencia que no estará sujeta a revelación civil u otro proceso
legal, para ningún proceso, ni Corte Federal o Estatal o, agencia administrativa.

23 WWW.AUDITOOL.ORG
 Reglas Investigaciones y procedimientos disciplinarios 6
þ 5000 – Información General
þ 5100 – Investigaciones informales
ü 5101 – comienzo y cierre de la investigación
ü 5102 – Testimonio de Firmas de Contabilidad Públicas Registradas y personas
asociadas a la investigación
ü 5103 – Solicitud de documentos de auditoría y otros documentos de la Firma
de Contabilidad Pública Registrada y personas asociadas
ü 5104 – Revisión de libros y registros para contribuir a la investigación
ü 5105 – Solicitud del testimonio o presentación de documentos de personas no
asociadas a la Firma de Contabilidad Pública Registrada
ü 5106 – Afirmación de declaración de privilegio
ü 5107 – Definiciones unificadas en la solicitud de la información
ü 5108 – Confidencialidad de los registros de la investigación
ü 5109 – Derechos de los testigos en las indagaciones e investigaciones
ü 5110 – No cooperación en una investigación
ü 5111 – Solicitud de la emisión de citatorios ante la SEC, en beneficio de la
investigación
ü 5112 – Coordinación y referencia de investigaciones
ü 5113 – Dependencias de autoridades no Estadounidenses de investigaciones
þ 5200 – Inicio de los procedimientos disciplinarios
ü 5201 – Notificación del inicio de los procedimientos disciplinarios
ü 5202 – Registro de los procedimientos disciplinarios
ü 5203 – Audiencias públicas y privadas
ü 5204 – Determinaciones de los procedimientos disciplinarios
ü 5205 – Acuerdos de procedimientos disciplinarios, sin una determinación
después de la audiencia
ü 5206 – Suspensión automática de acciones disciplinarias finales
þ 5300 – Sanciones
ü 5301 – Efectos de las sanciones

6
https://pcaobus.org/Rules/Documents/PCAOB-Rules.pdf

24 WWW.AUDITOOL.ORG
 ü 5302 – Aplicaciones para la disminución o modificación de revocaciones y
prohibiciones
ü 5303 – Uso de sanciones monetarias
ü 5304 – Suspensión sumaria por no pagar las sanciones monetarias

25 WWW.AUDITOOL.ORG
 2. Comités de Auditoría

Las compañías deben implementar las mejores prácticas que les permitan preservar la
integridad de sus patrimonios, incrementar el valor de sus acciones y cumplir con todas las
leyes y regulaciones pertinentes en un entorno tanto competitivo como cambiante. En el
Titulo III, sección 301 de la Ley SOX, se establece la responsabilidad de las compañías de
conformar un Comité de Auditoría que supervisa el proceso de la información financiera,
el sistema de control interno, la auditoría interna y la función de Contabilidad Pública
Independiente.

El Comité de Auditoría se convierte en una parte esencial en el proceso de reporte de las

compañías, debido a que debe asegurar la integridad y transparencia de la información.
Para esto, los Comités de Auditoría deben regirse bajo los siguientes lineamientos:

• Responsabilidad del nombramiento, compensación y supervisión del trabajo de la

firma de contabilidad pública registrada.
• Responsabilidad directa por designar, retribuir y supervisar al auditor.
• Los miembros del comité deberán ser consejeros independientes y miembros de la
Junta de directores del emisor. Por tal motivo, un miembro del comité de auditoría no
puede aceptar honorarios del emisor por consulta o asesoría, ni ser una persona
afiliada del emisor o cualquier subsidiaria. De la misma manera, los miembros del
Comité de Auditoría, deben tener conocimiento de la industria, buena comunicación,
criterio para tomar decisiones, y habilidades interpersonales. Por lo menos uno de los
miembros debe tener experiencia y formación en el área financiera.

Comité de Auditoría

Independencia y
experticia financiera.
Conocimiento de la
industria, el negocio y
Liderazgo
la administracion del
riesgo.

26 WWW.AUDITOOL.ORG
 • Debe asegurar la independencia de criterio de la actividad de auditoría externa e
interna.
• Se debe implantar un sistema anónimo para la recogida de denuncias y presentación
confidencial por empleados del emisor, referente a asuntos de contabilidad o auditoría
cuestionables.
• Se debe disponer de capacidad de compensación al auditor y a otros asesores,
cuando se considere necesario para el desarrollo de sus responsabilidades.
• Debe establecer los procedimientos necesarios para la recepción, retención y
tratamiento de reclamos del emisor referentes a contabilidad, controles contables
internos o asuntos de auditoría.
• Los miembros del Comité de Auditoría deben mantenerse actualizados y llevar a cabo
programas de educación continua, con el fin de cumplir adecuadamente con sus
funciones. Esto se puede llevar a cabo mediante la asistencia a foros especializados,
cursos personalizados y la invitación de especialistas a las reuniones del Comité.
• Los Comités de Auditoría deben realizar una auto-evaluación de su desempeño anual
para determinar los procesos y aspectos a mejorar. Dentro de los aspectos a evaluar
se encuentran los siguientes:

þ Independencia de los miembros del Comité

þ Definición de responsabilidades del Comité
þ Interacción del Comité de Auditoría con el auditor independiente, los auditores
internos, la administración y ejecutivos de la compañía.

A partir de los resultados de la autoevaluación, el Comité debe desarrollar un plan de

mejoramiento.

Las funciones específicas de los Comités de Auditoría varían de acuerdo a la estructura de

gobierno de la compañía, pero en general se centran en los siguientes elementos:

ü Supervisión de la información financiera

ü Sistema de Control Interno
ü Auditoría Interna
ü Función de Contabilidad Pública Independiente - Independencia del auditor

27 WWW.AUDITOOL.ORG
Para lograr una supervisión completa de todos los procesos de la compañía y prevenir e
identificar oportunamente el fraude, se debe elaborar un trabajo en equipo entre el Comité
de Auditoría, la administración, y las funciones de auditoría interna y externa.

Comité de Auditoría

Administración Auditoría Externa

Auditoría Interna

En este sentido, el Comité de Auditoría puede llevar a cabo reuniones con la administración,
auditoría externa e interna; tratando temas como:

ü Resultados de la evaluación de efectividad de los controles, para determinar acciones

a implementar.
ü Establecer expectativas para la función de auditoría interna y externa.
ü Retroalimentación

2.1 Reglamento del Comité de Auditoría

Las compañías registradas ante la NYSE y la NASDAQ, de acuerdo a la SEC, deben

establecer un Comité de Auditoría como órgano de supervisión. El Comité de Auditoría debe
desarrollar su reglamento y actualizarlo periódicamente de acuerdo a los cambios, tanto en
legislaciones como en los realizados en la compañía. En el reglamento se deben determinar
las características de los miembros del Comité de Auditoría, las responsabilidades, las
actividades a realizar, organización de reuniones, y establecimiento de la agenda7.

7
https://www2.deloitte.com/content/dam/Deloitte/es/Documents/governance-risk-
compliance/Deloitte_ES_GRC_Gobierno-Corporativo-guia-práctica-consejos-comité-auditoría.pdf

28 WWW.AUDITOOL.ORG
 Componentes del Reglamento del Comité de Auditoría

• Proceso de selección de los miembros

• Independencia de los miembros del Comité
Composición
• Conocimientos y experiencia en el área financiera de al menos un
miembro del Comité

• Reunirse periódicamente de acuerdo a la agenda establecida

por el presidente del Comité
• Supervisar:
• La integridad de los estados financieros
• El cumplimiento de leyes y regulaciones
• La independencia del auditor independiente
Funciones • La función de auditoría Interna
• Sistema de Control Interno
• Revisar las políticas con relación a la valoración y
administración del riesgo
• Establecer procedimientos para líneas de reporte o denuncia.
• Evaluar anualmente el desempeño del Comité de Auditoría

Un factor importante que solicita la NYSE, la NASDAQ y la SEC a las compañías para los
miembros del Comité de Auditoría, es la independencia. Por lo tanto, las compañías deben
implementar políticas claras que permitan evaluar constantemente el cumplimiento de la
independencia e identificar oportunamente cualquier circunstancia que pueda afectarla.

29 WWW.AUDITOOL.ORG
 El director no es independiente si8:
þ El director es un empleado o un miembro de la familia inmediata, es el director
ejecutivo de la compañía registrada o lo fue durante los últimos tres años.
þ El director o un miembro de la familia inmediata recibió más de $100,000 en
compensación directa de la compañía listada en cualquier período de 12 meses
durante los últimos tres años, excepto por honorarios de director y otros pagos
permitidos.
þ El director o un miembro de la familia inmediata es un socio actual del auditor
interno o independiente de la compañía; el director es un empleado actual de tal
firma; el director tiene un miembro de la familia inmediata que es empleado actual
de tal firma y personalmente trabaja en la auditoría de la compañía; el director o
un miembro de la familia inmediata fue, durante los tres años anteriores (pero ya
no es), un socio o empleado de tal firma y personalmente trabajó en la auditoría
de la compañía durante ese tiempo.
þ El director es un empleado actual, o un miembro de la familia inmediata es el
actual director ejecutivo de otra compañía que hace pagos a, o recibió pagos de,
la compañía registrada por propiedad o servicios en una cantidad que, en
cualquiera de los anteriores tres años fiscales, en una cantidad mayor de $1
millón o el 2% de los ingresos ordinarios brutos consolidados de la otra compañía.

Del mismo modo, la sección 407 de la Ley SOX, requiere que al menos un miembro del
Comité tenga conocimiento y experiencia en el área financiera (Experto Financiero del
Comité de Auditoría – ACFE), aunque es ideal que todos los miembros tengan el
conocimiento y la experiencia necesaria, y cumplan con los siguientes requisitos:

8
Criterios de independencia de acuerdo a la NYSE, NASDAQ y SEC.

30 WWW.AUDITOOL.ORG
 Experto Financiero del Comité de Auditoría - ACFE9:
þ Ser una persona con la educación y la experiencia como contador público, auditor,
funcionario financiero principal, contralor o funcionario contable principal.
þ Entienda los estados financieros y los Principios de Contabilidad Generalmente
Aceptados – PCGA.
þ Pueda valorar la aplicación general de los PCGA en vinculación con la
contabilidad para estimados, causaciones y reservas.
þ Tenga experiencia en preparar, auditar, analizar, o evaluar estados financieros.
þ Entienda el control interno sobre la información financiera.
þ Entienda las funciones del comité de auditoría.

Así mismo, se extienden las responsabilidades profesionales para los abogados, quienes
están obligados a informar cualquier evidencia que dispongan sobre violaciones materiales
de leyes, sobre actuaciones con títulos cotizados, o incumplimientos de obligaciones por el
Consejero delegado o por el secretario del Consejo. Si se informa a la dirección y esta no
toma las acciones se informará directamente a la SEC.

Contar con uno o más expertos financieros en el Comité de Auditoría, le permite a este, el
comité, cumplir adecuadamente con sus funciones y tomar las acciones necesarias para
proteger los intereses de los accionistas.

2.2 Supervisión de la Información Financiera

Los comités de auditoría deben supervisar todos los procesos relacionados a la información
financiera con el fin de identificar cualquier riesgo de error o fraude. Para esto, el Comité
debe conocer y entender todos los procesos y controles que la administración ha
establecido, y de esta manera, poder evaluar su efectividad.

9
Requerimientos para los miembros del Comité de Auditoría de acuerdo a la NYSE, NASDAQ y SEC.

31 WWW.AUDITOOL.ORG
El Comité de Auditoría debe revisar:

ü La presentación de los Estados Financieros y el cumplimiento de los Principios de

Contabilidad Generalmente Aceptados.
ü Los problemas o deficiencias materiales encontradas en los Estados Financieros.
ü Las regulaciones y los principios de contabilidad pendientes de implementar en los
Estados Financieros.
ü Los problemas recurrentes relacionados con la información financiera.
ü El auditor externo ha corroborado la información financiera presentada.
ü Los boletines de prensa de reporte de ganancias, con el fin de determinar si las
revelaciones son exactas y completas.

Integridad
Identificación
del proceso
de riesgos
de la
financieros y
información
relacionados
financiera.
Prevención y detección
del fraude
Políticas y
Reporte de programas
Ganancias de la
compañia

La Sección 401 de la Ley SOX, Revelaciones en informes periódicos, establece que los
informes financieros que contienen estados financieros, preparados de acuerdo a los
principios de contabilidad generalmente aceptados, que sean presentados ante la
Comisión, deben reflejar todos los ajustes correctores materiales que hayan sido
identificados por una firma de contabilidad pública registrada.

32 WWW.AUDITOOL.ORG
Así mismo, cada informe debe revelar todas las transacciones materiales fuera de la fecha
del balance general, convenios, obligaciones y demás relaciones del emisor con entidades
o personas, que puedan tener un efecto material corriente o futuro sobre la situación
financiera, resultados de operaciones, liquidez, gastos de capital, recursos de capital, o
componentes significantes de ingresos o gastos.

La información financiera proforma incluida en cualquier informe financiero, debe ser

presentada de manera que no contenga una declaración falsa de un hecho material u omita
señalar un hecho material, y concilie la situación financiera y los resultados de las
operaciones del emisor bajo los principios de contabilidad generalmente aceptados.

Por lo tanto, es importante que el comité de Auditoría verifique si la compañía tiene

programas y políticas implementados para la prevención e identificación del fraude. Dentro
de estos programas, el comité también debe promover una cultura ética, de valores y
cumplimiento, y un programa de denuncia anónima del fraude.

El fraude puede presentarse en:

Declaraciones
erróneas u Uso indebido
omisiones de activos
intencionales
Prevención y Control Interno Sobre
la Información
detección del fraude
Financiera - CIIF
Corrupción Falsificaciones

2.3 Revisar las políticas con relación a la valoración y administración del riesgo

El Comité de Auditoría es responsable de supervisar las políticas y procesos

implementados por la administración para la identificación y administración de los riesgos
de la compañía.

33 WWW.AUDITOOL.ORG
 Supervisión y evaluación de la valoración y administración del riesgo SI NO
La compañía tiene políticas y procesos implementados para la valoración y o o
administración del riesgo.
La administración ha identificado oportunamente los riesgos relevantes. o o
La compañía tiene definido su apetito de riesgo y se han desarrollado e o o
implementado planes de acción para mitigar los riesgos.
Existe un Comité específico en la compañía para la supervisión de la o o
administración del riesgo.
La compañía considera la relación entre estrategia y riesgo. o o
La administración monitorea constantemente los riesgos financieros e o o
informa oportunamente a la Junta directiva los riesgos significativos.
Periódicamente se evalúan los principales riesgos financieros de la o o
compañía, con el fin de hacer un seguimiento y determinar qué acciones se
han implementado y quienes son los responsables.
La compañía ha implementado acciones y procesos para la administración o o
del riesgo cibernético.

2.4 Supervisión Sistema de Control Interno

El Comité de Auditoría debe supervisar los controles internos sobre el Reporte Financiero
implementados por la administración de la compañía, con el fin de determinar si la
administración los ha implementado adecuada y efectivamente. Asimismo, el Comité debe
supervisar el diseño, ejecución, y monitoreo de los procedimientos antifraude.
Supervisión de los Controles Internos sobre el Reporte Financiero SI NO
La administración ha identificado los riesgos asociados al reporte financiero. o o
La administración ha diseñado e implementado controles internos para o o
mitigar los riesgos en el reporte financiero.
Se realiza una evaluación periódica de los riesgos de fraude. o o
Se desarrollan e implementan programas para combatir el fraude. o o
Se promueve una cultura ética y de honestidad, reforzada con el ejemplo y o o
supervisión de los altos ejecutivos.

34 WWW.AUDITOOL.ORG
 2.5 Función de Auditoría Intern
Una adecuada comunicación es esencial para el correcto desarrollo de las actividades en
una compañía. Por esta razón, debe existir una buena comunicación entre el Comité de
Auditoría y la Auditoría Interna, lo que permite una alineación de sus actividades y la
consecución de sus objetivos.

Es una responsabilidad principal del Comité de Auditoría supervisar la función de la

auditoría interna y evaluar su desempeño para entregar los respectivos informes a la Junta
de Directores de la compañía. Del mismo modo el Comité de Auditoría debe orientar la
función de auditoría interna, y promover cambios positivos y de mejora, a través del
desarrollo de reuniones para la discusión del plan anual, metas, expectativas, aspectos
evaluados, resultados y retroalimentación.

Supervisión y evaluación de la función de Auditoría Interna

Revisión anual y aprobación del reglamento de auditoría interna o
La función de auditoría interna se desarrolla de acuerdo a su reglamento o
La función de auditoría interna se desarrolla con independencia y objetividad. o
Revisión anual y aprobación del plan de auditoría interna o
Implementación adecuada de Controles financieros, operacionales y de cumplimiento o
Efectividad de la administración del riesgo o
Se cuenta con los recursos necesarios y con personal experimentado, con o
conocimientos necesarios para el desarrollo de las funciones de auditoría interna.
La auditoría interna cuenta con un programa de aseguramiento y mejoramiento de la o
calidad.
La auditoría interna se reúne continuamente con el auditor independiente para discutir o
valoraciones del riesgo, el alcance de los procedimientos, las oportunidades de
mejora y demás temas relevantes de la auditoría de la compañía
Los problemas y deficiencias identificadas son reportados oportuna y apropiadamente o
al comité de auditoría
Las comunicaciones de la auditoría interna con el Comité de Auditoría son o
apropiadas, oportunas y relevantes

35 WWW.AUDITOOL.ORG
2.6 Supervisar la Independencia del auditor

El Comité de Auditoría es responsable de la designación, compensación y supervisión del

auditor independiente. El auditor independiente debe comunicarse regularmente con el
Comité de Auditoría, tal como lo requiere la Norma de Auditoría 1301 de la PCAOB (antes
Norma de auditoría No.16), para discutir los temas relevantes del trabajo de auditoría, tales
como, plan de auditoría, riesgos, procedimientos, entre otros. Asimismo, deben tratar temas
como políticas implementadas, transacciones inusuales identificadas, evaluación de la
calidad de la información y conclusiones.

Comunicación oportuna entre el Auditor Independiente y el Comité de Auditoría

þ Responsabilidades del auditor en relación al trabajo de auditoría (carta de
compromiso).
þ Plan general de auditoría, objetivos, cronograma y procedimientos.
þ Observaciones significativas que van surgiendo en el desarrollo del trabajo de
auditoría.
þ Desacuerdos con la administración, dificultades en la realización de la auditoría,
y demás temas relevantes que surjan durante el desarrollo de la auditoría.
þ Resultados de la auditoría: políticas y prácticas de contabilidad importantes y
críticas, estimados de contabilidad críticos, transacciones inusuales importantes,
declaraciones erróneas no corregidas.
þ Información relevante para el desarrollo de la auditoría.

Igualmente, la Regla 3526 de ética e independencia de la PCAOB, Comunicación con los

Comités de Auditoría en relación con la independencia del auditor10, requiere que el auditor
proporcione, al menos anualmente, una declaración formal escrita que delinee todas las
relaciones entre el auditor independiente y la compañía, incluyendo los individuos en roles
de vigilancia de la información financiera de la compañía, que razonablemente se pueda
pensar que influyan en la independencia.

10
https://pcaobus.org//Rules/Pages/Section_3.aspx#rule3526

36 WWW.AUDITOOL.ORG
La compañía y el auditor deben comprometerse en un diálogo activo con relación a
cualquier relación o servicio revelado que pueda afectar la objetividad y la independencia
del auditor.

No se asegura la independencia del auditor, cuando se pueden presentar problemas como:

Intereses financieros
Honorarios contingentes y comisiones
Relaciones de empleo con la Junta de directores o administración de la compañía
Relaciones de negocio
Relaciones familiares y personales entre un miembro del equipo que realiza el trabajo
y un administrador, directivo o determinados empleados del cliente.
Relación de trabajo reciente con un cliente.
Honorarios impagados y honorarios contingentes, entendiendo estos como
retribuciones calculadas sobre una base predeterminada.
Ciertas políticas de remuneración y evaluación en la firma de auditoría.
Regalos e invitaciones.
Litigios en curso o amenazas de demandas.

Los Servicios prohibidos determinados por la SEC, especificados en la Sección 201 de la

Ley SOX, Servicios fuera del alcance de la práctica de los auditores, argumentando que es
ilegal que una firma de Contabilidad pública registrada realice para cualquier emisor, al
mismo tiempo que desarrolla una auditoría, cualquier servicio que no sea de auditoría, son:

Teneduría de libros u otros servicios relacionados con registros de contabilidad o

estados financieros del cliente de auditoría
Diseño e implementación de sistemas de información financiera
Servicios de tasación o valuación, opiniones imparciales, o reportes de contribución
en especie
Servicios actuariales
Tercerización de auditoría interna
Funciones de administración
Recursos humanos

37 WWW.AUDITOOL.ORG
 Servicios de corredor-distribuidor, asesoría en inversión, o banca de inversión
Servicios legales
Servicios de experto

El Comité de Auditoría también debe evaluar el desempeño del auditor por lo menos
anualmente, con el fin de determinar aspectos positivos y aspectos a mejorar, y decidir si
el auditor continúa para el siguiente período. Los criterios para evaluar al auditor
independiente varían de acuerdo a la compañía; sin embargo, los criterios más comunes
son:

þ Competencia técnica
þ Conocimiento de la industria
þ Frecuencia y calidad de las comunicaciones
þ Independencia, objetividad, y escepticismo profesional
þ El nivel de respaldo proporcionado al comité de auditoría en el cumplimiento de sus
responsabilidades.
þ Información acerca de las características de la firma de auditoría

2.7 Procedimientos para líneas de reporte o denuncia anónima

El Comité de Auditoría debe implementar líneas de reporte o denuncia anónima para recibir
problemas de ética y problemas de cumplimiento detectados en la compañía, ya sea de
fuentes internas o externas. Las denuncias deben ser investigadas, categorizadas y
analizadas por las partes correspondientes en la compañía para la implementación de las
acciones necesarias, evitando que se vuelvan a presentar en el futuro.

Del mismo modo, el Comité de Auditoría debe revisar periódicamente el progreso de las
acciones dadas a las denuncias recibidas, con el fin de corroborar la corrección de cada
situación. Los canales o líneas de reporte o denuncia anónima pueden ser especificados
en el Código de Ética de la compañía, o mediante publicaciones o comunicados en el sitio
web o por correo electrónico, para que todos los empleados, funcionarios, clientes,
proveedores y demás partes los conozcan.

38 WWW.AUDITOOL.ORG
 Líneas de reporte o denuncia anónima:
þ Establecimiento de una línea telefónica o un correo electrónico para la recepción
de denuncias, administrados por un tercero independiente.
þ Se debe proteger la identidad del denunciante para evitar cualquier retaliación por
el reporte que está dando.
þ Las denuncias deben ser categorizadas y dirigidas a las partes pertinentes.

La Sección 806 de la Ley SOX, Protección para empleados de compañías públicas

registradas que indican evidencia de fraude, se refiere a la protección especial para los
denunciantes anónimos de conductas ilícitas e irregulares que se presenten en la
compañía. En ningún caso, podrán ser perseguidas las denuncias formuladas por este tipo
de incumplimientos. Se debe otorgar una protección especial a los denunciantes,
asegurando que ningún funcionario, empleado o contratista pueda tomar represarías contra
el denunciante.

En caso que el denunciante sea discriminado o agredido, podrá presentar una queja ante
la Secretaria de Trabajo o una acción de ley, lo que le asegurara la reincorporación a su
empleo, pago del monto atrasado con intereses, y compensación por daños y perjuicios.

39 WWW.AUDITOOL.ORG
 3. Marco Integrado de Control Interno de COSO

El control interno sobre el reporte financiero es vital para el registro adecuado de las
transacciones y la preparación de reportes financieros confiables y veraces; este control
incluye a todas las personas de la organización. Como lo mencionábamos anteriormente,
el Comité de Auditoría y la Junta Directiva tienen la responsabilidad de supervisar la
efectividad del Sistema de Control Interno; pero es responsabilidad de la Administración
diseñar, establecer y mantener una estructura adecuada de control interno. Para determinar
la efectividad de dicha estructura, la Administración debe evaluar periódicamente los
controles internos y procedimientos, y reportar cualquier debilidad o falla significativa.

La Sección 404 de la Ley SOX, “Evaluación de la gerencia de los controles internos”, una
de las más discutidas de la ley, requiere que cada compañía presente un informe de control
interno, dentro del informe anual que debe ser entregado. De la misma manera, el auditor
debe revisar el reporte de las evaluaciones hechas a la estructura de control interno. Para
este trabajo el auditor se basa en los criterios y metodologías propuestas por COSO, con
el fin de detectar las deficiencias que se pueden llegar a presentar, ya sea en el diseño de
los controles o durante la evaluación de su efectividad.

Declaración de la dirección y Administración sobre su responsabilidad por establecer

y mantener una estructura adecuada de control interno.

Descripción de la evaluación que realiza la Administración para determinar la

efectividad de control interno.

Informe de la Auditoría externa, sobre la revisión de los reportes de las evaluaciones

realizadas por la Administración al control interno.

El CEO y el CFO deben:

- Asumir la responsabilidad de la eficacia del Control Interno sobre el
Reporte Financiero - ICFR.
- Evaluar periódicamente la eficiencia del ICFR.
- Tener la suficiente evidencia de cada evaluación realizada al ICFR.
- Presentar un informe anual sobre los resultados de las evaluaciones
hechas al ICFR.
- Revelar al Comité de auditoría y a los auditores externos las deficiencias
significativas identificadas durante las evaluaciones realizadas al ICFR.
- Declarar que el auditor también ha emitido un informe sobre el ICFR.
40 WWW.AUDITOOL.ORG
El Comité de organizaciones patrocinadoras
CONTROL INTERNO
de la Comisión Treadway - COSO, ha
publicado 2 versiones del Marco Integrado
de Control Interno, el cual ha sido aceptado Fiabilidad de la
Información
alrededor del mundo y se ha convertido en un Financiera
marco líder en diseño, implementación y
conducción de control interno y evaluación de
su efectividad. En su última versión del 2013,
COSO tiene en cuenta los grandes cambios
Eficacia y
Cumplimiento
de la industria y las nuevas tecnologías, Eficiencia de
de leyes y
las
Normas
presenta un Marco que le permite a las operaciones

empresas desarrollar y mantener un Sistema

de Control Interno efectivo y eficiente, que las
ayuda en el proceso de adaptación a los cambios, cumplimiento de sus objetivos, mitigación
de los riesgos a un nivel aceptable, en la toma de decisiones y a mantener un mejor
gobierno corporativo.

Cuando se habla de un Sistema de Control Interno Efectivo, se refiere a un sistema

integrado y dinámico que pueda proporcionar un grado de seguridad razonable en cuanto
a la consecución de los objetivos de la compañía en relación a: la eficacia y eficiencia de
las operaciones, fiabilidad de la información financiera y el cumplimento de leyes y
normas aplicables. 11

El Marco Integrado de Control Interno abarca cada una de las áreas de la compañía,
determinando cinco componentes relacionados entre sí: Entorno de control, Evaluación del
riesgo, Sistemas de información y comunicación, Actividades de control y Supervisión del
sistema de control. A partir de los componentes, presenta un enfoque basado en principios
que proporcionan flexibilidad y se pueden aplicar a nivel de entidad, a nivel operativo y a
nivel funcional.

11
COSO. (2013). Internal Control—Integrated Framework," Executive Summary, USA, May 2013,
www.coso.org/documents/990025P_Executive_Summary_final_may20_e.pdf.

41 WWW.AUDITOOL.ORG
La implementación del Marco Integrado de Control Interno le brinda a las compañías
beneficios como:

þ Un método para identificar y analizar los riesgos, desarrollar y gestionar respuestas

adecuadas a dichos riesgos dentro de unos niveles aceptables y con un mayor
enfoque sobre las medidas antifraude.
þ Oportunidad para ampliar el alcance de control interno más allá de la información
financiera, a otras formas de presentación de la información, operaciones y objetivos
de cumplimiento.
þ Oportunidad para eliminar controles ineficientes, redundantes o inefectivos.
þ Brinda una mayor confianza en la supervisión efectuada por el consejo sobre los
sistemas de control interno.
þ Mayor confianza respecto al cumplimiento de los objetivos de la entidad.

3.1 Componentes y principios del Marco Integrado de Control Interno

El Marco Integrado de Control Interno COSO 2013, está compuesto por los cinco
componentes establecidos en el Marco anterior (1992), 17 principios y puntos de enfoque
que presentan las características fundamentales de cada componente. A partir de los cinco
componentes, se puede abordar y analizar la realidad de la compañía obteniendo un
diagnóstico organizacional en cuanto a estructura, procesos, sistemas, procedimientos y
recursos humanos. Es indispensable que los componentes y principios estén presentes y
en funcionamiento para alcanzar los objetivos especificados.

Previo al diseño e implementación del sistema de control interno, la Administración y la Alta

dirección deben establecer los objetivos del negocio, con el fin de controlar y mitigar de
manera adecuada los riesgos que afectan a dichos objetivos. El Marco Integrado de Control
Interno establece tres categorías de objetivos que permiten a las organizaciones centrarse
en diferentes aspectos del control interno. Estas son:

þ Objetivos operativos
þ Objetivos de información/Reporting
þ Objetivos de cumplimiento

42 WWW.AUDITOOL.ORG
La relación que existe entre los objetivos de la compañía, los componentes y la estructura
organizacional es representada en forma de cubo mágico12 que permite su interacción.

La parte superior del cubo, presenta

Estructura del Marco Integrado de Control las tres categorías de los objetivos de
Interno de COSO control interno. Los objetivos
Operativos se relacionan con el
S
IVO cumplimiento de la misión y visión de
T
JE
OB la compañía. Hacen referencia a la
efectividad y eficiencia de las
operaciones, incluidos sus objetivos
de rendimiento financiero y
operacional, y la protección de sus
activos frente a posibles pérdidas. Por
l
na
a n RA
cio

lo tanto, estos objetivos constituyen la

rg TU
iza
eo C

base para la evaluación del riesgo en

n c RU
ca EST

relación a la protección de los activos

COMPONENTES de la entidad, y la selección y
Al

desarrollo de los controles necesarios

para mitigar dichos riesgos.

Los objetivos de información – reporte se refieren a la preparación de informes para uso de

la organización y los accionistas, teniendo en cuenta la veracidad, oportunidad y
transparencia. Estos reportes, relacionan la información financiera y no financiera interna y
externa. Además, estos objetivos responden a los requerimientos de la SEC y de la Ley
SOX, que como lo mencionábamos anteriormente, solicitan que la Administración realice
una evaluación anual de la efectividad de los Controles Internos, específicamente sobre el
Reporte Financiero (ICFR). Los objetivos de cumplimiento, están relacionados con el
cumplimiento y respeto de las leyes y regulaciones aplicables. Una vez definidos los
objetivos, se procede al diseño e implementación del Sistema de Control Interno.

12
https://www.coso.org/Pages/default.aspx

43 WWW.AUDITOOL.ORG
 El lado derecho del cubo, aborda la estructura de la compañía descendentemente, desde
la entidad, la división y la unidad operativa hasta las funciones. La cara frontal del cubo,
tiene cinco niveles donde están los componentes. En el lado izquierdo, que no es visible en
el cubo del Marco, están los 17 Principios en apoyo de los cinco componentes, que permiten
evaluar la efectividad del Sistema de Control Interno. Finalmente, se establecen Puntos de
Enfoque, que presentan las características importantes de cada principio.

El siguiente cuadro presenta la estructura general del Marco Integrado de Control Interno y
la relación entre componentes, principios y puntos de enfoque:

MARCO INTEGRADO DE CONTROL INTERNO COSO

ENTORNO DE CONTROL
1. La organización demuestra compromiso con la integridad y los valores éticos.
þ Establece el tono de la gerencia, Junta Directiva. La Alta Gerencia y el personal Supervisor,
están comprometidos con los valores y principios éticos reforzándolo en sus actuaciones.
þ Establece estándares de conducta. Las expectativas de la Junta Directiva y la Alta Dirección
con respecto a la integridad y los valores éticos, son definidos en los estándares de conducta
de la entidad y entendidos en todos los niveles de la organización y, por los proveedores de
servicio externos y socios de negocios.
þ Evalúa la adherencia a estándares de conducta. Los Procesos están en su lugar para
evaluar el desempeño de los individuos y equipos en relación a los estándares de conducta
esperados de la entidad.
þ Aborda y decide sobre desviaciones en forma oportuna. Las desviaciones de los estándares
de conducta esperados de la entidad son, identificadas y corregidas oportuna y
adecuadamente.
2. El consejo de administración demuestra independencia de la dirección y ejerce la
supervisión del desempeño del sistema de control interno.
þ Establece las responsabilidades de supervisión de la dirección. La Junta Directiva identifica
y acepta su responsabilidad de supervisión con respecto a establecer requerimientos y
expectativas.
þ Aplica experiencia relevante. La Junta directiva define, mantiene y periódicamente evalúa
las habilidades y experiencia necesaria entre sus miembros para que puedan hacer
preguntas de sondeo de la Alta Dirección y tomar medidas proporcionales.

44 WWW.AUDITOOL.ORG
þ Conserva o delega responsabilidades de supervisión.
þ Opera de manera independiente. La Junta Directiva tiene suficientes miembros, quienes son
independientes de la Administración y objetivos en evaluaciones y toma de decisiones.
þ Brinda supervisión sobre el Sistema de Control Interno. La Junta Directiva conserva la
responsabilidad de supervisión del diseño, implementación y conducción del Control Interno
de la Administración:
ü Entorno de Control—Estableciendo integridad y valores éticos, estructuras de
supervisión, autoridad y responsabilidad, expectativas de competencia, y rendición de
cuentas a la Junta.
ü Evaluación de Riesgos—Monitorear las evaluaciones de riesgo de la administración
para el cumplimiento de los objetivos, incluyendo el impacto potencial de los cambios
significativos, fraude, y la evasión del control interno por parte de la administración.
ü Actividades de Control—Proveer supervisión a la Alta Dirección en el desarrollo y
cumplimiento de las actividades de control.
ü Información y Comunicación—Analizar y discutir la información relacionada al
cumplimiento de los objetivos de la entidad.
ü Actividades de Supervisión— Evaluar y supervisar la naturaleza y alcance de las
actividades de monitoreo y la evaluación y remediación de la administración de las
deficiencias.
3. La dirección estable con la supervisión del consejo, las estructuras, líneas de reporte
y los niveles de autoridad y responsabilidad apropiados para la consecución de los
objetivos.
þ Considera todas las estructuras de la entidad. La Administración y la Junta Directiva,
considera las estructuras múltiples utilizadas (incluyendo unidades operativas, entidades
legales, distribución geográfica, y proveedores de servicios externos) para apoyar la
consecución de los objetivos.
þ Establece líneas de reporte. La Administración diseña y evalúa las líneas de reporte para
cada estructura de la entidad, para permitir la ejecución de autoridades y responsabilidades
y, el flujo de información para gestionar las actividades de la entidad.
þ Define, asigna y delimita autoridades y responsabilidades. La Administración y la Junta
Directiva delegan autoridad, definen responsabilidades, y utilizan procesos y tecnologías
adecuadas para asignar responsabilidad, segregar funciones según sea necesario en
varios niveles de la organización:

45 WWW.AUDITOOL.ORG
 ü Junta directiva— Conservar autoridad sobre las decisiones significativas y revisar las
evaluaciones de la administración y limitaciones de autoridades y responsabilidades.
ü Alta Dirección—Establece instrucciones, guías, y control habilitando a la administración
y a otro personal para entender y llevar a cabo sus responsabilidades de control interno.
ü Administración—Guía y facilita la ejecución de las instrucciones de la Alta Dirección
dentro de la entidad y sus sub-unidades.
ü Personal—Entiende los estándares de conducta de la entidad, riesgos evaluados para
los objetivos, y las actividades de control relacionadas a sus respectivos niveles de la
entidad, la información esperada y los flujos de comunicación, y las actividades de
monitoreo relevantes para el cumplimiento de los objetivos.
ü Proveedores de servicios externos—Cumple con la definición de la administración del
alcance de autoridad y la responsabilidad para todos los que no sean empleados
comprometidos.
4. La organización demuestra compromiso para atraer, desarrollar y retener a
profesionales competentes, en alineación con los objetivos de la organización.
þ Establece políticas y prácticas. Las políticas y prácticas reflejan las expectativas de
competencia necesarias para apoyar el cumplimiento de los objetivos.
þ Evalúa la competencia y direcciona deficiencias. La Junta Directiva y la Administración
evalúan la competencia a través de la organización y en los proveedores de servicios
externos de acuerdo a las políticas y prácticas establecidas, y actúa cuando es necesario
direccionando las deficiencias.
þ Atrae, desarrolla y retiene profesionales. La organización provee la orientación y la
capacitación necesaria para atraer, desarrollar y retener personal suficiente y competente,
y a su vez, proveedores de servicios externos para apoyar el cumplimiento de los objetivos.
þ Planea y se prepara para sucesiones. La Alta Dirección y la Junta Directiva, desarrollan
planes de contingencia para la asignación de responsabilidad importante para control
interno.
5. La organización define las responsabilidades de las personas a nivel de control
interno para la consecución de los objetivos.
þ Hace cumplir la responsabilidad a través de estructuras, autoridades y responsabilidades.
La Administración y la Junta Directiva, establecen los mecanismos para comunicar y
mantener profesionales responsables, para el desempeño de las responsabilidades de
control interno a través de la organización, e implementan acciones correctivas cuando es
necesario.

46 WWW.AUDITOOL.ORG
þ Establece medidas de desempeño, incentivos y premios. La Administración y la Junta
Directiva, establecen medidas de desempeño, incentivos, y otros premios apropiados para
las responsabilidades en todos los niveles de la entidad, reflejando dimensiones de
desempeño apropiadas y estándares de conducta esperados, y considerando el
cumplimiento de objetivos a corto y largo plazo.
þ Evalúa medidas de desempeño, incentivos y premios para la relevancia en curso. La
Administración y la Junta Directiva, alinean incentivos y premios con el cumplimiento de las
responsabilidades de control interno para la consecución de los objetivos.
þ Considera presiones excesivas. La administración y la Junta Directiva, evalúan y ajustan
las presiones asociadas con el cumplimiento de los objetivos, así como ellos asignan
responsabilidades, desarrollan medidas de desempeño y evalúan el mismo.
þ Evalúa desempeño y premios o disciplina a los individuos. La Administración y la Junta
Directiva, evalúan el desempeño de las responsabilidades de control interno, incluyendo la
adherencia a los estándares de conducta y los niveles de competencia esperados, y
proporciona premios o ejerce acciones disciplinarias cuando es apropiado.
Evaluación de riesgos
6. La organización define los objetivos con suficiente claridad para permitir la
identificación y evaluación de los riesgos relacionados.
Objetivos Operativos:
v Refleja las elecciones de la administración.
v Considera la tolerancia al riesgo.
v Incluye las metas de desempeño operativo y financiero.
v Constituye una base para confiar los recursos.
Objetivos de Reporte Financiero Externo:
v Cumple con los estándares contables aplicables.
v Considera la materialidad.
v Refleja las actividades de la entidad.
Objetivos de Reporte no Financiero Externo:
v Cumple con los estándares y marcos externos establecidos.
v Considera los niveles de precisión requeridos.
v Refleja las actividades de la entidad.
Objetivos de Reporte interno:
v Refleja las elecciones de la administración.
v Considera el nivel requerido de precisión.

47 WWW.AUDITOOL.ORG
v Refleja las actividades de la entidad.
Objetivos de Cumplimiento:
v Refleja las leyes y regulaciones externas.
v Considera la tolerancia al riesgo.
7. La organización identifica los riesgos para la consecución de sus objetivos en todos
los niveles de la entidad y los analiza como base sobre la cual determinar cómo se
deben gestionar.
þ Incluye la entidad, sucursales, divisiones, unidad operativa y niveles funcionales. La
organización identifica y evalúa los riesgos a nivel de la entidad, sucursales, divisiones,
unidad operativa y niveles funcionales relevantes para la consecución de los objetivos.
þ Evalúa la consideración de factores externos e internos en la identificación de los riesgos
que puedan afectar a los objetivos.
þ Envuelve niveles apropiados de administración. La dirección evalúa si existen mecanismos
adecuados para la identificación y análisis de riesgos.
þ Analiza la relevancia potencial de los riesgos identificados y entiende la tolerancia al riesgo
de la organización.
þ Determina la respuesta a los riesgos. La evaluación de riesgos incluye la consideración de
cómo el riesgo debería ser gestionado y si aceptar, evitar, reducir o compartir el riesgo.
8. La organización considera la probabilidad de fraude al evaluar los riesgos para la
consecución de los objetivos.
þ Considera varios tipos de fraude: La evaluación del fraude considera el Reporting
fraudulento, posible pérdida de activos y corrupción.
þ La evaluación del riesgo de fraude evalúa incentivos y presiones.
þ La evaluación del riesgo de fraude tiene en consideración el riesgo de fraude por
adquisiciones no autorizadas, uso o enajenación de activos, alteración de los registros de
información, u otros actos inapropiados.
þ La evaluación del riesgo de fraude considera cómo la dirección u otros empleados
participan en acciones inapropiadas o las justifican.
9. La organización identifica y evalúa los cambios que podrían afectar
significativamente al sistema de control interno.
þ Evalúa cambios en el ambiente externo. El proceso de identificación de riesgos considera
cambios en el ambiente regulatorio, económico y físico, en los cuales la entidad opera.
þ Evalúa cambios en el modelo de negocios. La organización considera impactos potenciales
de las nuevas líneas del negocio, composiciones alteradas dramáticamente de las líneas

48 WWW.AUDITOOL.ORG
 existentes de negocios, operaciones de negocios adquiridas o de liquidación en el sistema
de control interno, rápido crecimiento, el cambio de dependencia en geografías extranjeras
y nuevas tecnologías.
þ Evalúa cambios en liderazgo. La organización considera cambios en la administración y en
las respectivas actitudes y filosofías en el sistema de control interno.
Actividades de control
10. La organización define y desarrolla actividades de control que contribuyen a la
mitigación de los riesgos hasta niveles aceptables para la consecución de los
objetivos.
þ Se integra con la evaluación de riesgos. Las actividades de control ayudan a asegurar que
las respuestas a los riesgos que direccionan y mitigan los riesgos son llevadas a cabo.
þ Considera factores específicos de la entidad. La administración considera cómo el
ambiente, la complejidad, la naturaleza y el alcance de sus operaciones, así como las
características específicas de la organización, afectan la selección y desarrollo de las
actividades de control.
þ Determina la importancia de los procesos del negocio. La administración determina cuál
importancia, de los procesos del negocio, requiere las actividades de control.
þ Evalúa una mezcla de tipos de actividades de control. Las actividades de control incluyen
un rango y una variedad de controles que pueden incluir un equilibrio de enfoques para
mitigar los riesgos, teniendo en cuenta controles manuales y automatizados, y controles
preventivos y de detección.
þ Considera en qué nivel las actividades son aplicadas. La administración considera las
actividades de control en varios niveles de la entidad.
þ Direcciona la segregación de funciones. La administración segrega funciones
incompatibles, donde dicha segregación no es práctica, la administración selecciona y
desarrolla actividades de control alternativas.
11. La organización define y desarrolla actividades de control a nivel de entidad sobre
la tecnología para apoyar la consecución de los objetivos.
þ Determina la dependencia entre el uso de la tecnología en los procesos del negocio y los
controles generales de Tecnología: La dirección entiende y determina la dependencia y la
vinculación entre los procesos de negocios, las actividades de control automatizadas y los
Controles Generales de tecnología.

49 WWW.AUDITOOL.ORG
þ Establece actividades de control para la infraestructura tecnológica relevante: La Dirección
selecciona y desarrolla actividades de control diseñadas e implementadas para ayudar a
asegurar la completitud, precisión y disponibilidad de la tecnología.
þ Establece las actividades de control para la administración de procesos relevantes de
seguridad: La dirección selecciona y desarrolla actividades de control diseñadas e
implementadas para restringir los derechos de acceso, con el fin de proteger los activos de
la organización de amenazas externas.
þ Establece actividades de control relevantes para los procesos de adquisición, desarrollo y
mantenimiento de la tecnología: La dirección selecciona y desarrolla actividades de control
sobre la adquisición, desarrollo y mantenimiento de la tecnología y su infraestructura.
12. La organización despliega las actividades de control a través de políticas que
establecen las líneas generales del control interno y procedimientos que llevan
dichas políticas.
þ Establece políticas y procedimientos para apoyar el despliegue de las directivas de la
administración: La administración establece actividades de control que están construidas
dentro de los procesos del negocio, y las actividades del día a día de los empleados a través
de políticas, estableciendo lo que se espera y los procedimientos relevantes especificando
acciones.
þ Establece responsabilidad y rendición de cuentas para ejecutar las políticas y
procedimientos: La administración establece la responsabilidad y rendición de cuentas para
las actividades de control con la administración (u otro personal asignado) de la unidad de
negocios o función en el cual los riesgos relevantes residen.
þ Funciona oportunamente: El personal responsable desarrolla las actividades de control
oportunamente como es definido en las políticas y procedimientos.
þ Toma acciones correctivas: El personal responsable investiga y actúa sobre temas
identificados como resultado de la ejecución de actividades de control.
þ Trabaja con personal competente: Personal competente con la suficiente autoridad,
desarrolla actividades de control con diligencia y continúa atención.
þ Reevalúa políticas y procedimientos: La administración revisa periódicamente las
actividades de control para determinar su continua relevancia, y las actualiza cuando es
necesario.

50 WWW.AUDITOOL.ORG
 Información y comunicación
13. La organización obtiene, genera y utiliza información relevante y de calidad para
apoyar el funcionamiento del control interno.
þ Identifica los requerimientos de información: Un proceso esta desarrollado para identificar
la información requerida y esperada para apoyar el funcionamiento de los otros
componentes de control interno y el cumplimiento de los objetivos de la entidad.
þ Captura fuentes internas y externas de información: Los sistemas de información capturan
fuentes internas y externas de información.
þ Procesa datos relevantes dentro de la información: Los sistemas de información procesan
información y transforman datos relevantes en información.
þ Mantiene la calidad a través de procesamiento: Los sistemas de información producen
información que es oportuna, actual, precisa, completa, accesible, protegida, verificable y
retenida. La información es revisada para evaluar su relevancia en el soporte de los
componentes de control interno.
þ Considera costos y beneficios: La naturaleza, la cantidad y la precisión de la información
comunicada es acorde y apoya el cumplimiento de los objetivos.
14. La organización comunica la información internamente, incluidos los objetivos y
responsabilidades que son necesarios para apoyar el funcionamiento del sistema
de control interno.
þ Comunica la información de control interno: Un proceso está en lugar para comunicar la
información requerida, para permitir que todo el personal entienda y lleve a cabo sus
responsabilidades de control interno.
þ Se comunica con la Junta directiva: Existe comunicación entre la administración y la Junta
Directiva, por lo tanto, ambas partes tienen la información necesaria para cumplir con sus
roles respecto a los objetivos de la entidad.
þ Proporciona líneas de comunicación separadas: Separa canales de comunicación, como
líneas directas de denuncia de irregularidades, las cuales están en su lugar y sirven como
mecanismos a prueba de fallos para permitir la comunicación anónima o confidencial
cuando los canales normales son inoperantes o ineficientes.
þ Selecciona métodos de comunicación relevantes: Los métodos de comunicación
consideran tiempo, público y la naturaleza de la información.

51 WWW.AUDITOOL.ORG
15. La organización se comunica con los grupos de interés externos sobre los aspectos
clave que afectan al funcionamiento del control interno.
þ Se comunica con grupos de interés externos: Los procesos están en lugar para comunicar
información relevante y oportuna a grupos de interés externos incluyendo accionistas,
socios, propietarios, reguladores, clientes, y analistas financieros y demás partes externas.
þ Permite comunicaciones de entrada: Canales de comunicación abiertos permiten los
aportes de clientes, consumidores, proveedores, auditores externos, reguladores, analistas
financieros, entre otros, proporcionando a la administración y Junta Directiva información
relevante.
þ Se comunica con la Junta Directiva: La información relevante resultante de evaluaciones
conducidas por partes externas es comunicada a la Junta directiva.
þ Proporciona líneas de comunicación separadas: Separa canales de comunicación, como
líneas directas de denuncia de irregularidades, las cuales están en su lugar y sirven como
mecanismos a prueba de fallas para permitir la comunicación anónima o confidencial
cuando los canales normales son inoperantes o ineficientes.
þ Selecciona métodos de comunicación relevantes: Los métodos de comunicación
consideran el tiempo, público, y la naturaleza de la comunicación y los requerimientos y
expectativas legales, regulatorias y fiduciarias.
Actividades de supervisión – monitoreo
16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o
independientes para determinar si los componentes del sistema de control interno
están presentes y en funcionamiento.
þ Considera una combinación de evaluaciones continuas e independientes: La
administración incluye un balance de evaluaciones continuas e independientes.
þ Considera Tasa de cambio: La administración considera la tasa de cambio en el negocio y
los procesos del negocio cuando selecciona y desarrolla evaluaciones continuas e
independientes.
þ Establece un punto de referencia para el entendimiento: El diseño y el estado actual del
sistema de control interno, son usados para establecer un punto de referencia para las
evaluaciones continuas e independientes.
þ Uso de personal capacitado: Lo evaluadores que desarrollan evaluaciones continuas e
independientes tienen suficiente conocimiento para entender lo que está siendo evaluado.
þ Se integra con los procesos del negocio: Las evaluaciones continuas son construidas
dentro de los procesos del negocio y se ajustan a las condiciones cambiantes.

52 WWW.AUDITOOL.ORG
þ Ajusta el alcance y la frecuencia: La administración cambia el alcance y la frecuencia de las
evaluaciones independientes dependiendo el riesgo.
þ Evalúa objetivamente: Las evaluaciones independientes son desarrolladas periódicamente
para proporcionar una retroalimentación objetiva.
17. La organización evalúa y comunica las deficiencias de control interno de forma
oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la
alta dirección y el consejo, según corresponda.
þ Evalúa resultados: La administración y la Junta Directiva, según corresponda, evalúa los
resultados de las evaluaciones continuas e independientes.
þ Comunica deficiencias: Las deficiencias son comunicadas a las partes responsables para
tomar las acciones correctivas y a la Alta Dirección y la Junta directiva, según corresponda.
þ Supervisa acciones correctivas: La administración monitorea si las deficiencias son
corregidas oportunamente.

3.2 Implementación del Marco Integrado de Control Interno

Para la implementación del Marco Integrado de Control Interno, la compañía debe tener en
cuenta aspectos como:

Implementación del Marco Integrado de Control Interno

1. Establecer el equipo de trabajo. Las directivas y la administración deben trabajar en
equipo para lograr implementar y mantener un sistema de control interno efectivo y
actualizado.
2. Definir el Plan de trabajo. Para esto, deben establecer un plan de trabajo que les
permita estar atentos al logro de los objetivos y el progreso.
3. Evaluación del sistema de control interno actual establecido en la compañía, para
determinar las acciones necesarias para implementar el Marco Integrado de Control
Interno de COSO.
4. Definir los cinco componentes, principios, y los puntos de enfoque del Marco Integrado
de Control Interno, de acuerdo a los objetivos establecidos en la compañía.

53 WWW.AUDITOOL.ORG
 5. Definición y diseño de controles:
Ø Controles automáticos
Ø Controles semiautomáticos
Ø Controles manuales
Ø Controles preventivos
Ø Controles de detección
Ø Controles correctivos

3.3 Evaluación del Sistema de Control Interno

Los objetivos, niveles de organización, componentes y principios del cubo están

interconectados y son interdependientes. Si alguno de los 17 Principios relevantes no está
adecuadamente diseñado o no funciona correctamente, es decir “presente” y “funcionando”,
todo el componente asociado no puede estar presente y funcionando. Además, el Marco
define una “deficiencia importante” cuando la compañía no puede concluir que un Principio
relevante está presente y funcionando.

Cuando esto sucede, la administración no puede llegar a la conclusión de que ha cumplido

con los requisitos de un sistema efectivo de control interno, que es similar a una “deficiencia
material”, según lo definido por la SEC y PCAOB.

La evaluación del sistema de control interno se desarrolla teniendo en cuenta:

Evaluación del Sistema de Control Interno
1. Comprender y definir el sistema de control interno
2. Determinar un equipo de trabajo para conducir la evaluación: organización de un
equipo de trabajo con pericia y experiencia no solo en temas contables,
administrativos y de auditoría, sino en áreas como tecnología, informática y demás
áreas relacionadas con el procesamiento de datos.
3. Evaluar el control interno a nivel de la entidad: determinar y evaluar los sistemas de
control interno que se han implementado en la organización. La evaluación se realiza
a partir de los cinco componentes del sistema de control.

54 WWW.AUDITOOL.ORG
 4. Comprender y evaluar el control interno a nivel de procesos, transacciones o
aplicaciones: los procesos de la organización se desarrollan en tres áreas: comercial,
productivo y administrativo. Es importante conocer con claridad todos los procesos
desarrollados en estas áreas, para determinar los controles adecuados a ser
aplicados, y asegurar la consecución de los objetivos. Además, es necesario conocer
todas las actividades y procesos relacionados con las transacciones desde que
nacen hasta su registro en los estados financieros. Una vez identificadas las
transacciones importantes a evaluar se analizan los siguientes aspectos:
ü Errores de importancia
ü Tamaño y composición
ü Alto volumen de transacciones
ü Complejidad de transacciones
ü Naturaleza de la cuenta
5. Evaluar la efectividad del sistema: La evaluación de la efectividad del sistema de
control interno debe ser un proceso detallado, en el cual la administración debe
seguir los siguientes pasos:
ü Documentar y adquirir el mayor entendimiento posible de los componentes
de control interno que son relevantes en el proceso de reporte financiero.
Este paso necesita de la evaluación de los cinco componentes del Marco
Integrado de Control Interno COSO y debe cubrir todos los controles
involucrados en el proceso de reporte financiero, el cual se puede tomar por
diferentes categorías tales como cartera, activos fijos, facturación,
obligaciones financieras, etc.
ü Seleccionar un criterio de control apropiado apto para la labor desarrollada.
Para poder valorar el control interno, la administración debe seleccionar los
criterios a partir de los cuales se puede medir la efectividad del control.
ü Evaluar la efectividad del diseño del control. La administración debe valorar
el diseño del control interno con el objetivo de establecer las debilidades del
sistema de control y los riesgos asociados a dichas debilidades, para luego
implementar medidas correctivas apropiadas.
ü Evaluar la efectividad operativa de los controles.

55 WWW.AUDITOOL.ORG
 Ø Valoración de la efectividad del control interno sobre el reporte financiero
durante la ejecución del proceso de reporte, desde la causa de la
transacción, pasando por la aprobación de ésta, su registro y, finalmente,
la presentación de las cifras en los estados financieros.
Ø Revisión de diagramas de flujo de los controles internos.
Ø Aplicación de pruebas a los controles por medio de la indagación.
observación y análisis.
Ø Detección de las debilidades y los riesgos potenciales asociados.
Ø Definición de actividades de control que mitiguen los riesgos.
Ø Plan de seguimiento para la corrección de las debilidades.
ü Reportar. La administración debe reportar sus hallazgos y conclusiones,
respecto a la efectividad del control interno sobre el reporte financiero, y el
proceso de reporte al auditor independiente.

Evaluación del Sistema de Control Interno

Evaluación de cada
Deficiencias
Componente
•Los 5 •Los Puntos de
componentes •Los 17 principios enfoque estan •Deficiencias
estan Presentes estan Presentes Presentes y identificadas en
y Funcionando y Funcionando Funcionando el sistemea de
Evaluación de cada
Control Interno
Evaluación General
Principio

56 WWW.AUDITOOL.ORG
 Evaluación de Componentes
Presente? Funciona Explicac
Entorno de Control (S/N) ndo? ión/Con
(S/N) clusión
1. Demuestra compromiso con la Integridad y
los valores éticos—La organización
demuestra un compromiso con la integridad y
los valores éticos.
2. Ejerce responsabilidad de supervisión—La
Junta directiva demuestra independencia de la
administración y ejerce la supervisión del
desarrollo y desempeño del Control Interno.
3. Establece estructura, autoridad y
responsabilidad—La Administración
establece, con la supervisión de la Dirección,
estructuras, líneas de reporte, niveles
apropiados de autoridad, y responsabilidad
para la consecución de los objetivos.
4. Demuestra compromiso para la
competencia—La organización demuestra
compromiso para atraer, desarrollar y retener
a profesionales competentes en alineación con
los objetivos.
5. Hace cumplir con la responsabilidad—La
organización mantiene individuos relevantes
en las responsabilidades de su control interno
para la consecución de los objetivos.
Evaluación del Riesgo
6. Especifica objetivos relevantes—La
organización define los objetivos con suficiente
claridad para permitir la identificación y
evaluación de los riesgos relacionados a los
objetivos.

57 WWW.AUDITOOL.ORG
 7. Identifica y analiza los riesgos—La
organización identifica los riesgos para la
consecución de sus objetivos, a través de la
entidad y analiza los riesgos como base para
determinar cómo se deben gestionar los
riesgos.
8. Evalúa el riesgo de fraude—La organización
considera la probabilidad de fraude al evaluar
los riesgos para la consecución de los
objetivos.
9. Identifica y analiza cambios importantes—
La organización identifica y evalúa cambios
que podrían impactar significativamente al
sistema de control interno.
Actividades de Control
10 Selecciona y desarrolla actividades de
. Control—La organización selecciona y
desarrolla actividades de control que
contribuyen a la mitigación de riesgos hasta
niveles aceptables para la consecución de los
objetivos.
11 Selecciona y desarrolla controles generales
. sobre Tecnología—La organización
selecciona y desarrolla actividades de control
general sobre la tecnología para apoyar el
cumplimiento de los objetivos.
12 Se implementa a través de políticas y
. procedimientos – La organización despliega
actividades de control a través de políticas que
establecen lo que es esperado, y los
procedimientos que ponen las políticas en
acción.

58 WWW.AUDITOOL.ORG
 Información y Comunicación
13 Usa información Relevante – La
organización obtiene, genera, y usa
información relevante de calidad para apoyar
el funcionamiento de control interno.
14 Comunica Internamente – La organización
comunica internamente la información,
incluyendo objetivos y responsabilidades para
el control interno, necesarias para apoyar el
funcionamiento del sistema de control interno.
15 Comunica externamente – La organización
se comunica con los grupos de interés
externos en relación a los aspectos que
afectan el funcionamiento del control interno.
Actividades de monitoreo y supervisión
16 Conduce evaluaciones continuas y/o
independientes – La organización selecciona,
desarrolla y lleva a cabo evaluaciones
continuas y/o independientes para determinar
si los componentes del sistema de control
interno están presentes y funcionando.
17 Evalúa y comunica deficiencias – La
organización evalúa y comunica las
deficiencias de control interno de forma
oportuna a las partes responsables de aplicar
medidas correctivas, incluyendo la alta
dirección y el consejo, según corresponda.

59 WWW.AUDITOOL.ORG
3.3.1 Control Interno sobre la información financiera

El objetivo de la auditoría de control interno sobre la información financiera, es expresar

una opinión sobre las afirmaciones hechas por la dirección, con respecto al control interno
acerca de la información financiera. Para esto, el auditor debe planear y llevar a cabo la
auditoría para obtener una seguridad razonable respecto a si la compañía mantuvo un
control interno efectivo, sin debilidades o deficiencias significativas.

Existencia y Derechos y Presentación

Integridad Valuación
Ocurrencia Obligaciones y Revelación

3.4 Auditoría del Sistema de Control Interno

El objetivo de la auditoría del Sistema de Control Interno, es expresar una opinión sobre las
declaraciones hechas por la Dirección respecto al control interno de la compañía. Para
formar dicha opinión, el auditor debe planear y desarrollar su auditoría para obtener la
suficiente evidencia sobre si la compañía llevó a cabo un control interno efectivo sobre la
información financiera presentada en los informes por la dirección.

A partir de sus observaciones y procedimientos, el auditor puede obtener una seguridad

razonable de que no existen deficiencias significativas, y conocer el estado de madurez de
los controles establecidos. El siguiente cuadro presenta el modelo de madurez para evaluar
el sistema de control interno:

Modelo de madurez del Sistema de Control Interno

La compañía no reconoce la necesidad de un sistema de control
No existente interno, por lo tanto, este no hace parte ni de su misión ni de su visión.
Existe un riesgo alto de deficiencias significativas.
La estructura del control no está definida y los controles se ejecutan
Inicial ocasionalmente. No hay políticas ni procedimientos formales, por lo
que hay mayor probabilidad de errores y costos adicionales.

60 WWW.AUDITOOL.ORG
 La estructura del control no está definida, pero hay controles que han
Repetible
sido eficientes y hay supervisión de la gerencia.
La estructura de control está documentada, estandarizada e
integrada a los procesos de la compañía. Existe conciencia en los
Definido
empleados y las directivas sobre la importancia de los controles
internos, pero hace falta una supervisión continua sobre los mismos.
El sistema de control interno es evaluado y monitoreado
Dirigido constantemente. Las directivas y los empelados conocen claramente
su responsabilidad sobre los procesos y los controles internos.
A partir de la evaluación realizada al sistema de control interno, se
Optimizado implementan acciones correctivas o de mejora. Los controles se
actualizan automáticamente.

61 WWW.AUDITOOL.ORG
 4. Gobierno Corporativo

Como lo hemos mencionado anteriormente, la crisis económica y financiera en diferentes

países, generó la necesidad tanto de ordenamientos jurídicos como reorganizaciones
internas para regular las actuaciones de las compañías en los diferentes sectores de la
industria. En este sentido, la Ley SOX ha buscado fortalecer la responsabilidad individual y
corporativa a través de estrictos requerimientos como auditorías financieras,
establecimiento de un código de ética para todos los funcionarios de la compañía, e
implementación de buenas prácticas y controles internos.

Además, la Ley SOX determina sanciones para fraudes corporativos (Específicamente, la

sección 603, el título VIII, Título IX y la Sección 1106) y define normas y requerimientos
para incrementar la independencia de las firmas de auditoría, y responsabilidades en las
empresas para la Junta Directiva, los comités y la actuación individual de los ejecutivos. Es
así como surge la necesidad de fortalecer el Gobierno Corporativo y, por ende, los órganos
de control y dirección de las empresas; definiendo reglas claras e incrementando el nivel
de transparencia y rendición de cuentas frente a los accionistas. Este fortalecimiento
promueve el buen comportamiento de los empleados, busca estabilidad financiera y la
integridad de los negocios.

Ley SOX

SEC PCAOB

Supervisión de las compañías que cotizan en la NYSE y

NASDAQ, y a las Firmas de Contabilidad Pública

Accionistas -
Junta Directiva Administración
Propiedad

Comité de
Auditoría

62 WWW.AUDITOOL.ORG
El Gobierno Corporativo es definido
por La Organización para la Gobierno Corporativo
Cooperación y el Desarrollo
Económico – OCDE13, como un
elemento clave para mejorar la
eficiencia económica y el

Re n
crecimiento, así como la confianza

a
Accionistas-

dic
nci
de los inversionistas. El Gobierno Propiedad

ión
are
nsp

de
Corporativo implica una serie de

C
Tra

uen
relaciones entre la Junta Directiva, Otras partes

tas
interesadas
la administración y los accionistas -
Propiedad, y el resto de grupos de
interés. Por lo que debe existir un Junta Administración
Directiva
trabajo en equipo y una buena
comunicación entre estas partes
para lograr el éxito de la compañía, Comunicación
el cumplimiento de los objetivos y
un desarrollo sostenible.

Para conservar el equilibrio dentro de la estructura del gobierno corporativo, es

indispensable que cada uno de los actores conozca sus responsabilidades con los demás.
Sin embargo, es muy común que este equilibrio no se esté presentando debido a
situaciones como una mala comunicación, implementación de controles débiles y el flujo de
información mínimo. Por ejemplo, la Junta Directiva no conoce cuáles son las expectativas
e intereses de los accionistas y éstos a su vez no conocen la gestión que realiza la Junta.
En este caso, el sistema de Gobierno Corporativo no funcionará adecuadamente hasta que
los accionistas no se posesionen de sus responsabilidades como propietarios y ejerciten
lazos activos con la Junta Directiva.

13
http://www.oecd.org/centrodemexico/publicaciones/

63 WWW.AUDITOOL.ORG
La OCDE publicó los principios de Gobierno Corporativo como respuesta a la necesidad de
normas o directrices en el ámbito de Gobierno Corporativo de los países miembros y no
miembros de la OCDE. Los principios proporcionan una orientación y buenas prácticas
para las empresas y sus grupos de interés, con el fin de fortalecer la estructura de Gobierno
Corporativo y, a su vez, garantizar sistemas financieros sanos y contribuir al desarrollo de
una cultura de valores, fundamentados en la confianza e integridad.

Principios de Gobierno Corporativo

1. Garantizar la base de un Marco eficaz para el Gobierno Corporativo
2. Amparar y facilitar los derechos de los accionistas y funciones clave en el Ámbito
de la Propiedad
3. Garantizar un trato equitativo a todos los accionistas, incluidos los minoritarios y
los extranjeros
4. Reconocer los derechos de las partes interesadas establecidos por ley o a través
de acuerdos mutuos, y fomentar la cooperación activa entre sociedades y las
partes interesadas
5. Garantizar la revelación oportuna y precisa de todas las cuestiones materiales
relativas a la sociedad, incluida la situación financiera, los resultados, la titularidad
y el gobierno de la empresa
6. Garantizar la orientación estratégica de la empresa, el control efectivo de la
dirección ejecutiva por parte de la gerencia y la responsabilidad de este frente a
la empresa y los accionistas

La implementación de los principios del Gobierno Corporativo contribuye a:

þ Establecer procesos y estructuras para la toma de decisiones más claras.
þ Una mayor transparencia.
þ Continuidad en el liderazgo de la compañía.
þ Establecer controles más estrictos sobre los riesgos.
þ Administración de los conflictos de interés y la auto-contratación.
þ Mejora de las prácticas sociales y ambientales.
þ Mejor desempeño económico.
þ Aumento de la competitividad.
þ Cumplimiento normativo.
þ Fortalecimiento de la comunicación entre los grupos de interés.
þ Atraer a los inversionistas.

64 WWW.AUDITOOL.ORG
 5. Código de Ética y Conducta, y mejores prácticas

Las compañías registradas ante la SEC, NYSE, NASDAQ y PCAOB deben implementar un
código de ética o de conducta para empleados, funcionarios y directores, que disuada el
comportamiento equivocado y promueva una conducta ética y honesta dentro de la
compañía. El código de Ética y Conducta, debe comprender situaciones como conflictos de
interés, cumplimiento de leyes, reglas y regulaciones aplicables, cumplimiento de las
políticas y procedimientos de la empresa, responsabilidad, presentación de reportes
completos, razonables, exactos, comprensibles y oportunos, entre otros elementos.

Asimismo, la Ley SOX en la Sección 406, hace referencia al establecimiento de un Código

de ética y Conducta para los altos ejecutivos financieros de la empresa, el cual debe ser
adoptado y firmado por los funcionarios. El código de ética y Conducta, debe ser divulgado,
y debe seguir las normas y procedimientos establecidos por la SEC. En el informe anual
que se debe presentar ante la Comisión, se debe determinar si el emisor ha adoptado o no,
el código de ética.

La implementación del Código de Ética y Conducta eleva la visibilidad de la ética y la

convierte en una práctica óptima, sobre todo cuando se aplica adecuadamente, creando
precedentes y dando ejemplo para todo el personal de la compañía. Una fuerte cultura ética
se relaciona con el éxito organizacional, atrae a los empleados más calificados y minimiza
el costo de rotación y de nuevos entrenamientos de empleados, lo que da como resultado
una mayor productividad y una rentabilidad más alta.

Uno de los temas relevantes en el Código de Ética y Conducta es el conflicto de intereses,

en la Sección 402, Cláusulas de conflictos de interés incrementados, la Ley SOX define que
es ilegal para cualquier emisor extender o mantener crédito, hacer arreglos para la
extensión de crédito, o renovar una extensión, en la forma de un préstamo personal o para
cualquier director o funcionario ejecutivo. Otras situaciones que pueden generar conflicto
de intereses, son:
§ Mantener con familiares intereses financieros o participaciones accionarias en
compañías de la competencia, proveedores o clientes.
§ Prestación de servicios a compañías de la competencia.

65 WWW.AUDITOOL.ORG
El Código de Ética o de Conducta, debe ser comunicado a todos los empleados de la
empresa y publicado en los sitios web de cada compañía. Cada empleado debe conocerlo,
entenderlo, fírmalo y aplicarlo para el desarrollo de sus actividades dentro de la compañía.

Aspectos relevantes del Código de Ética:

þ Definición de valores y principios: respeto, integridad, calidad, comportamiento
profesional, objetividad, competencia, confidencialidad, privacidad y protección de
datos.
þ Manejo de conflictos de interés.
þ Manejo de la información confidencial.
þ Cumplimiento de leyes, reglas y regulaciones.
þ Protección y uso adecuado de los activos de la compañía.
þ Líneas de reporte de comportamientos ilegales o no éticos dentro de la compañía.
þ Sanciones claras por el incumplimiento del Código de Ética.
þ Regalos y favores, sobornos y comisiones
þ Comportamiento adecuado y relaciones con clientes, proveedores, competidores
y empleados de la compañía.
þ Exenciones claras y justificadas.

66 WWW.AUDITOOL.ORG
 6. La Ley SOX y los Sistemas de Información de las compañías

Uno de los objetivos de la Ley SOX es proteger a los inversionistas mejorando la precisión
y confiabilidad de los informes financieros, esto solo se logra a través de la implementación
de controles adecuados que puedan garantizar la seguridad de la información. Por lo
general, las compañías manejan toda su información mediante Sistemas de Información, a
través de los cuales se registran y procesan las transacciones, para generar los informes;
es decir que gran parte de esta responsabilidad recae en el área de Tecnología de la
Información - TI.

Por consiguiente, es importante que las compañías comprendan que la Ley SOX genera un
impacto en las políticas de gestión de la información definidas, por lo que estas deben ser
ajustadas y mejoradas con el fin de cumplir con los requerimientos de la Ley. En primer
lugar, la sección 302 de la ley SOX, “Responsabilidad de la compañía por los informes
financieros”, define que cada compañía es responsable de sus estados financieros y que
debe presentar informes periódicos a la SEC, donde los funcionarios financieros certifiquen
que la información de cada reporte anual o bimestral ha sido revisada, que no contiene
información errónea u omite material relevante y, que presenta razonablemente la situación
financiera y los resultados de las operaciones del emisor en los períodos presentados. Por
lo tanto, sobre los funcionarios financieros recae la responsabilidad penal en caso de una
posible irregularidad o fraude.

Ante esto, la Ley SOX impone penas y sanciones, específicamente en la sección 802,
“Responsabilidad penal por alteración de documentos”, donde se sanciona a las personas
que obstruyan las investigaciones de fraudes, destruyendo o alterando documentos; y en
la sección 906, “Responsabilidad de la compañía por los informes financieros”, donde se
enfatiza la responsabilidad de los empleados de garantizar la precisión de los reportes.

Para cumplir con los requerimientos de la Ley SOX, el área de TI debe determinar si los
controles de monitoreo, los controles generales y los controles de aplicación existen,
funcionan y soportan los objetivos de cumplimiento. Para esto el área de TI debe:

67 WWW.AUDITOOL.ORG
ü Entender el Sistema de Control Interno y el proceso de reporte financiero de la
compañía.
ü Estructurar los servicios y procesos de TI que apoyan al control interno y al reporte
financiero para generar los estados financieros.
ü Identificar los riesgos asociados a los servicios y procesos de TI.
ü Diseñar, implementar y evaluar controles para mitigar los riesgos identificados.
ü Documentar y evaluar periódicamente la efectividad de los controles implementados.
ü Implementar las mejoras y cambios necesarios a los controles para garantizar su
efectividad.

6.1 Seguridad de la Información

Teniendo en cuenta que mucha de la información financiera de las empresas reside en sus
bases de datos, sistemas de información y servidores, es indispensable hablar de la
Seguridad de la Información. La Seguridad de la Información hace referencia a la
protección de la confidencialidad, integridad y disponibilidad de la información. En este
sentido, es importante que se establezcan tanto controles físicos como del sistema para
asegurar que los datos sean protegidos de una forma costo-efectiva, debido a que la
información es vulnerable a daños, destrucción, alteración, o robo por parte de personal no
autorizado.

Es mantener la
Confidencialidad

Integridad

Disponibilidad

Impide la divulgación exactitud de la Acceso oportuno a la

de la información a información, evitando información por parte
usuarios no la manipulación y de los usuarios
autorizados. alteración de la misma autorizados.
sin los debidos
permisos.

68 WWW.AUDITOOL.ORG
Considerando los cambios acelerados de la tecnología y las nuevas modalidades de robo
de la información, las compañías deben estar preparadas para proteger su información y
garantizar la continuidad de sus actividades. Para esto se debe tener en cuenta:
A partir de esta información, el área de TI puede establecer su estructura de seguridad de
la información, definiendo roles y responsabilidades.

¿Quién tiene acceso a la información?

¿Qué pueden hacer con la información?

¿Por cuánto tiempo tienen acceso?

¿Quién tiene la autoridad para asignar accesos, cambiarlos o eliminarlos?

Dueños o
Custodios de la
propietarios de la Usuarios
información
información

Además, al entender la importancia que adquiere el área de TI, sobre todo con respecto a
la seguridad de la información, surge la necesidad en las compañías de establecer el rol
del Chief Information Security Officer – CISO (Director de Seguridad de la Información),
quien asume la responsabilidad de verificar que la información generada sea confiable,
íntegra y esté disponible en el momento en que se requiera. De esta manera, el CEO
(Director Ejecutivo) y el CFO (Director Financiero) se pueden apoyar en su trabajo, para
garantizar la transparencia de los reportes financieros, debido a que, como lo exige la Ley
SOX, deben certificar con su firma la veracidad de toda la información contenida en los
balances financieros en cada periodo fiscal de la compañía.

69 WWW.AUDITOOL.ORG
El siguiente cuadro presenta los controles básicos a diseñar e implementar para la
seguridad de la información:
Controles para la seguridad de la información
Identificación de los usuarios para darle acceso a la
información autorizada dentro del sistema, y permitirle usar la
información de acuerdo a sus funciones y responsabilidades
dentro de la compañía. Así mismo, este control permite
Controles de acceso y identificar y reportar los intentos de acceso no autorizados
autenticación para implementar los correctivos necesarios.
Los controles de acceso y de autenticación se implementan
por medio de huellas digitales, escaneos biométricos o claves
criptográficas; los cuales permiten tener un control de acceso
más preciso y facilitan la segregación de funciones.
Consiste en asignar las funciones y responsabilidades a los
empleados según los niveles jerárquicos de la compañía, con
Control de el fin de asegurar equilibrio entre las diferentes funciones y
segregación de supervisión de las responsabilidades de un nivel a otro, así
funciones como evitar errores, irregularidades o conflictos de interés que
representen un riesgo para la compañía y que incluso puedan
conllevar a fraude
Permite monitorear y controlar el uso de los recursos e
información del sistema de información de la compañía, a
Control de través de mecanismos de autenticación y autorización,
autorizaciones controles de acceso que se establecen de acuerdo a la
Segregación de funciones, reduciendo así, el riesgo de
acceso o modificación no autorizada de la información.
Hacen referencia al almacenamiento de la información por los
Controles sobre la
períodos pertinentes para el cumplimiento de la Ley SOX, y
retención de los datos
las reglas y normas de la SEC y de la PCAOB.
Permiten supervisar los procesos de transferencia y
Controles de interfase conversión de datos entre los diferentes equipos de cómputo
y conversión de la compañía, durante el manejo del Sistema de
Información.

70 WWW.AUDITOOL.ORG
 Consiste en el seguimiento que se realiza sobre un tema o
Controles de
problema en específico identificado a través de los demás
excepciones y
controles, con el fin de determinar si se ha dado la solución, y
correcciones
si ésta ha sido adecuada o no
Controles sobre la definición, adquisición, instalación,
Controles sobre la
configuración, integración y mantenimiento de la
infraestructura de TI
infraestructura de TI.
Controles sobre la adquisición, implementación, configuración
y mantenimiento efectivo del software del sistema operativo,
Controles sobre el
sistemas de administración de bases de datos, software de
software
antivirus, software de comunicaciones, software de seguridad
y utilidades.

6.2 Control Interno sobre el reporte financiero

Como se explicó anteriormente en el capítulo del Marco Integrado de Control Interno de

COSO, la sección 302 y 404 hacen énfasis en el establecimiento de una estructura o
mecanismo de control interno, que debe ser evaluada para determinar la efectividad de los
controles internos y de los procedimientos establecidos para elaborar reportes financieros.
Un adecuado sistema de control interno, debe garantizar la efectividad y eficiencia de las
operaciones, la confiabilidad de los reportes financieros y el cumplimiento de las leyes
y regulaciones.

Específicamente, el control interno sobre el reporte financiero debe proporcionar una

seguridad razonable con respecto a la fiabilidad de la información financiera y la
preparación de los estados financieros para propósitos externos, de conformidad con los
principios contables generalmente aceptados. Las compañías, usualmente tienen diversos
sistemas financieros para el registro, procesamiento y reporte de sus actividades.

Por lo tanto, para garantizar la seguridad de la información contable y financiera de la

compañía es necesario, en primer lugar, establecer la estructura de control interno, para lo
cual la Ley SOX recomienda la estructura de COSO para diseñar los controles a
implementar.

71 WWW.AUDITOOL.ORG
Antes de definir el sistema de control interno, es importante reconocer y hacer un
diagnóstico sobre el sistema de control interno actual que tenga la compañía, y el diseño y
efectividad de cada control.

Los controles internos comprenden las políticas, procedimientos, prácticas y estructuras

organizacionales implementadas en una compañía para reducir los riesgos asociados a sus
actividades, y proporcionar una seguridad razonable sobre el cumplimiento de los objetivos
de la compañía y leyes y regulaciones pertinentes. Los controles pueden ser manuales o
automáticos, y según su objetivo, pueden ser preventivos, de detección y correctivos.

A partir del diagnóstico se diseña la nueva estructura de control interno acorde a los
componentes, principios y enfoques proporcionados por el Marco de COSO. Entonces, una
vez han sido definidos los controles se procede a evaluar su efectividad y a monitorearlos
periódicamente, para determinar si han estado presentes y funcionando durante el período
financiero, e implementar acciones correctivas oportunas o de mejora.

- Control Automático
Identificación de la o manual
Evaluación de la Monitoreo del
necesidad del Objetivo del control Funcionamiento - Preventivo, de efectividad control
control detección o
correctivo

72 WWW.AUDITOOL.ORG
 Evaluación de la efectividad de los controles
La información en los sistemas de información está protegida contra accesos o
inadecuados o no autorizados.
Se garantiza la seguridad de los entornos de los sistemas operativos en general y o
de la gestión de redes.
Se asegura la integridad de los entornos de los sistemas de aplicaciones que o
manejan la información financiera, gerencial, de clientes y proveedores, a través de:
- Autorización de cada transacción: ingreso, validación, procesamiento y
reporte de datos.
- Identificación y autenticación de cada usuario.
- Aseguramiento de la disponibilidad de la información.
- Desarrollo de planes de continuidad del negocio y recuperación de
desastres.
- Manejo de backups – copias de respaldo.

6.3 Retención y almacenamiento de la información

Las compañías para el desarrollo de sus actividades y cumplimiento de las diferentes

normas y regulaciones, generan una cantidad considerable de información, la cual cumple
con un ciclo de vida desde su creación hasta su destrucción. Cada compañía define las
políticas y los procedimientos para la gestión de la información, estableciendo como será
generada la información, de qué manera se pondrá a disposición de los usuarios, dónde
será almacenada y por cuánto tiempo, y cuándo será destruida.

73 WWW.AUDITOOL.ORG
 Ciclo de vida de la información

Creación o
adquicisión

Disposición o
Destrucción
publicación

Retención y
almacenamient
o

Para el cumplimiento de los requerimientos de la Ley SOX, las compañías deben tener en
cuenta el ciclo de vida de la información, tal como se evidencia en las siguientes secciones:

þ De acuerdo a la sección 103 y a las normas de la PCAOB, las firmas de contabilidad

deben preparar y mantener por un período no menor a 7 años, papeles de trabajo de
auditoría y demás información relacionada a cualquier informe de auditoría, con el fin de
sustentar las conclusiones a las que se llegó en dicho informe. Por lo tanto, también las
compañías deben mantener esta información almacenada adecuadamente por el mismo
período.
þ La sección 403, requiere que las compañías que tengan un sitio WEB publiquen la
información pertinente para todos los accionistas. Por lo tanto, las compañías deberán
estar en capacidad de retener y manejar adecuadamente la documentación relacionada
con estos comunicados, incluyendo el comunicado en sí, su fecha de publicación, cuánto
tiempo estuvo publicado, y en qué parte del sitio web estuvo disponible.
þ Los reportes de control interno requeridos por la Sección 404 y las certificaciones
ejecutivas requeridas por la sección 302, son por sí mismos, registros y documentos que
deben ser adecuadamente retenidos y administrados. El procedimiento usado para
generar esos reportes, también produce en sí mismo una serie de información que las
empresas deben almacenar como registros y documentos, en pro de soportar las
conclusiones contenidas en los reportes y certificaciones presentadas.

74 WWW.AUDITOOL.ORG
þ La sección 301, requiere al comité de auditoría de la compañía, establecer
procedimientos para la recepción, retención y manejo de las quejas o denuncias
recibidas de empleados respecto a posibles malos manejos contables o de auditoría. A
los empleados se les debe respetar el derecho al anonimato, pero los registros de esas
quejas deben quedar almacenados.

De la misma manera, es fundamental determinar una copia de seguridad de la información

– Backup, para garantizar la integridad y seguridad de la información durante el tiempo
requerido de almacenamiento por las leyes y las normas. La compañía debe establecer una
política de backup enfocada a proteger la información ante cualquier probable incidente que
la pueda alterar o destruir.

Riesgos sobre la información de la compañía

El sistema de backup debe estar
o Virus
o Factores ambientales perjudiciales acompañado, obviamente, de unas buenas
o Desastres naturales políticas y procedimientos, que garanticen
o Daños físicos en los medios de
almacenamiento el nivel mínimo de riesgo de que haya
o Borrado o alteración de la información de pérdida de información, y que además, se
forma accidental o intencional.
estén invirtiendo adecuadamente los
o Accesos no autorizados a los sistemas de la
compañía para la destrucción o alteración recursos de backup en la información que
de la información. realmente es necesaria.

Dependiendo de la sensibilidad de la información que está siendo respaldada, se debe

contar con un mecanismo de encriptación para asegurar que el contenido de los backups
no va a caer en manos equivocadas. Junto a la política de backup, se debe desarrollar un
política para la Recuperación de Desastres naturales que determine los procedimientos
adecuados que se deben seguir para que, desde el punto de vista tecnológico, el negocio
tenga continuidad con la mayor prontitud posible, ya sea en el mismo lugar del desastre, o
preferiblemente en una sede alterna.

Al cumplir con todos estos requerimientos de la Ley SOX, se logra que la información
financiera de la compañía, base de los reportes financieros, permanezca disponible e
inalterada en todo momento, y por ende, aumentar la confianza de todas las partes
interesadas.

75 WWW.AUDITOOL.ORG
6.4 COBIT 5

Existen diferentes estándares y buenas prácticas relacionadas a la TI y Sistemas de

Información – SI; la Ley SOX recomienda el Marco de COBIT - Control Objectives for
Information and Related Technology (Objetivos de Control para la información y Tecnología
relacionada) de ISACA, el cual se ha convertido en un Marco de referencia global para la
gestión y el gobierno de TI en las compañías. COBIT permite evaluar la calidad de la
estructura de tecnología de información actual de la compañía, a través de un diagnóstico
que permite definir metas desde el punto de vista de seguridad y control para cada proceso.
El siguiente diagrama presenta los principios de COBIT14:

PRINCIPIOS DE COBIT 5

14
Diagrama de ISACA, COBIT 5, USA, 2012.

76 WWW.AUDITOOL.ORG
6.5 Auditoría del área del Sistemas

Cada compañía debe garantizar un control y administración adecuada de las TI, con el fin
de prevenir, detectar y/o corregir oportunamente cualquier falla o error que pueda conducir
a fraude. Llevar a cabo una auditoría sobre el área de sistemas permite fortalecer el entorno
informático de la entidad y garantizar la seguridad de la información.

La Auditoría de Sistema recolecta y evalúa la evidencia para determinar si los sistemas de

información y los recursos relacionados:

- Protegen adecuadamente los activos

- Mantienen la integridad y disponibilidad de los datos y del sistema
- Proveen información relevante y confiable
- Alcanzan las metas organizacionales
- Usan eficientemente los recursos
- Tienen controles internos que proveen una certeza razonable de que los objetivos de
negocio, operacionales y de control serán alcanzados y que los eventos no deseados
serán evitados o detectados y corregidos de forma oportuna

Las políticas de la compañía deben establecer claramente la función de auditoría de

sistemas y la responsabilidad de la dirección, debido a que se convierte en el soporte para
el CEO y CFO con respecto a la evaluación de la efectividad del control interno y la
presentación de sus informes ante la SEC.

Para el desarrollo de la auditoría de Sistemas, ISACA ha generado estándares15 y

directrices de auditoría globalmente aplicables que definen los requerimientos para la
auditoría. El siguiente cuadro presenta una visión general de los estándares.

15
http://www.books24x7.com/assetviewer.aspx?bkid=82871&destid=67#67

77 WWW.AUDITOOL.ORG
 Estándares de auditoría de Sistemas
General Desempeño
Los estándares generales se refieren a Se refieren a la realización de la asignación;
los principios guía bajo los cuales operan es decir, la planificación y supervisión,
los profesionales de aseguramiento de SI. alcance, riesgo y materialidad, movilización
Aplican a la conducta de todas las de recursos, gestión de supervisión y
asignaciones y se ocupan de la ética, asignaciones, evidencia de auditoría y
independencia, objetividad, y debido aseguramiento, y la puesta en práctica del
cuidado, de los profesionales de juicio profesional y debido cuidado
aseguramiento y auditoría de SI, así como 1201 - Planificación de la asignación
el conocimiento, competencia y habilidad. 1202 - Evaluación de riesgo en planificación
1001 - Estatuto de la función de auditoría 1203 - Desempeño y supervisión
1002 - Independencia organizacional 1204 - Materialidad
1003 - Independencia profesional 1205 – Evidencia
1004 - Expectativa razonable 1206 - Uso del trabajo de otros expertos
1005 - Debido cuidado profesional 1207 - Irregularidades y actos ilegales
1006 - Competencia
1007 - Afirmaciones
1008 – Criterios
Reportes
Se refieren a los tipos de reportes, medios de comunicación y a la información
comunicada
1401 - Reportes
1402 - Actividades de seguimiento

Fases de la Auditoría de Sistemas

Planificación de la
Ejecución Reporte de resultados
auditoría

78 WWW.AUDITOOL.ORG
 7. Reformas a la ley, resultados de su implementación y cambios en el futuro

La Ley SOX fue publicada en julio de 2002, y desde su aprobación, las compañías que
cotizan en las bolsas de valores NYSE y NASDAQ, han tenido que cambiar drásticamente
sus procesos de Gobierno Corporativo y su Sistema de Control Interno, para cumplir con
los requerimientos de la Ley, los cuales buscan proteger a los inversionistas y mejorar el
grado de precisión, veracidad, consistencia y credibilidad de la información contable y
financiera de las compañías. Además, la ley ha aumentado las responsabilidades
corporativas haciendo énfasis en la ética, y estableciendo sanciones para quienes cometan
fraude y actos corruptos.

La ley SOX no solo ha afectado a las compañías que cotizan en las bolsas de valores de
los Estados Unidos, sino también a los profesionales de contabilidad y auditoría, con la
creación de la PCAOB (estudiada anteriormente) que se ha encargado de supervisar las
firmas de contabilidad.

7.1 Resultados de la implementación de la Ley SOX

Los efectos de la Ley SOX han sido a nivel mundial, pues a partir de su aprobación, otros
países la han tomado como base para la aprobación de sus leyes y la regulación de las
compañías. Sin embargo, la Ley SOX ha generado un gran debate en los Estados Unidos
entre las compañías por los cambios que ha implicado su aplicación, generando posiciones
opuestas. Algunos creen que la Ley era innecesaria y demasiado costosa para
implementarla, pero otros piensan que las compañías están preparando estados financieros
más precisos y fiables, lo que ha aumentado la confianza de los inversionistas.

Una de las percepciones más comunes, ha sido que la ley ha generado un debilitamiento
en la competitividad de los mercados de capitales de los Estados Unidos, debido a que las
compañías deben asumir un gasto significativo para dar cumplimiento a las secciones de la
ley, lo que no incentiva a las compañías para cotizar en las bolsas americanas, y tal vez
causa un traslado a los mercados de valores de otros países con una normatividad más
flexible.

79 WWW.AUDITOOL.ORG
Como lo mencionábamos anteriormente, la sección 404 de la Ley SOX exige a las
compañías, analizar y documentar sus procesos de control interno, lo que significa que
deben crear manuales de proceso y actualizarlos periódicamente. En este punto, tanto la
compañía como sus auditores, deben evaluar los controles en el diseño y efectividad, lo
que representa un alto gasto, sobre todo para las pequeñas compañías que cotizan en el
mercado de valores. Esto sucede debido a que, para cumplir con todos los requerimientos
de la ley, las compañías deben actualizar sus sistemas de información, lo que implica
cambios significativos como el rediseño o reemplazo total de los controles que habían sido
diseñados antes de la aprobación de la ley. Sin embargo, aunque el desarrollo de las
auditorías durante el primer año genera un gran costo, este va disminuyendo a medida que
las compañías van cumpliendo con los requerimientos.

7.2 Cambios en la Ley SOX

La SEC estableció que sin importar el tamaño de la compañía pública, esta debe cumplir
con la implementación de un sistema efectivo de control interno. Sin embargo, a partir del
análisis y las solicitudes de las pequeñas compañías, en el 2004 la SEC estableció el
Comité Asesor de Compañías Publicas Pequeñas – ACSPC, y se realizó una separación
de las empresas de acuerdo a los montos de ingresos anuales, de la siguiente manera:

Ø Empresas con ingresos anuales superiores a 10 millones de dólares, pero menores a

250 millones de dólares.
Ø Empresas con ingresos anuales entre 125 y 250 millones de dólares.

El ACSPC generó unos informes donde su principal recomendación a la SEC era eximir a
las pequeñas compañías del cumplimiento de la sección 404, argumentando que los gastos
que debían asumir las pequeñas compañías eran extremadamente superiores al valor
originalmente previsto por la SEC para cumplir con los requerimiento de la Ley, aun
teniendo en cuenta que los precios de la auditoría externa han aumentado
significativamente y representan tan solo entre una cuarta y una tercera parte del total de
costos16.

16
https://www.sec.gov/info/smallbus/gbfor25_2006/acspc_shortlist.htm

80 WWW.AUDITOOL.ORG
Por tal motivo, se concedió a dichas compañías una exención permanente de la Sección
404(b) bajo la Ley Dodd-Frank de 2010 de Reforma de Wall Street y Protección al
Consumidor. Posteriormente, el Presidente Obama firmó en abril del 2012 la Ley JOBS -
Jumpstart Our Business Startups (Reactivar nuestra creación de empresas), la cual difiere
la entrada en vigor del cumplimiento de la Sección 404 para los primeros cinco años
después de una oferta pública inicial (OPI) para compañías que no excedan cierta
capitalización de mercado o ciertos umbrales de ingresos.

7.3 Beneficios de la Ley SOX y expectativas para el futuro

Es claro que la Ley SOX no puede evitar en un 100% que una compañía haga una
contabilidad fraudulenta, pero sí establece los controles para prevenirlo y detectarlo
oportunamente, y determinar la responsabilidad, debido a que hay una persona encargada
de firmar los informes y de garantizar que la información presentada a la firma auditora es
real y está completa. Por lo tanto, las sanciones recaen sobre los responsables del fraude,
cuando este se presenta.

Beneficios del cumplimiento de los requerimientos de la Ley SOX

ü Las compañías obtienen un ambiente de control fortalecido, lo que reduce los costos
de cumplimiento.
ü Consolidación de procesos financieros claves.
ü Eliminación de controles redundantes.
ü Automatización de procesos manuales.
ü Minimización de inconsistencias en los datos.
ü Eficacia y eficiencia de las operaciones de la compañía.
ü Cumplimiento de otras regulaciones.
ü Implementación de buenas prácticas.
ü Mejora en el desempeño de las firmas de auditoría.

81 WWW.AUDITOOL.ORG
Finalmente, con respecto a las expectativas para el futuro de la Ley SOX, es claro que se
pueden presentar varios cambios a partir de la administración del Presidente Trump, quien
busca que las empresas norteamericanas operen de manera menos restringida, a través
de reducciones reglamentarias. Y más aun teniendo en cuenta que el presidente de los
Estados Unidos anunció durante la campaña electoral su intención de demoler la ley Dodd-
Frank que busca regular el sistema bancario estadounidense, pero que según el presidente
norteamericano ha prohibido que los bancos presten dinero a los empresarios.

82 WWW.AUDITOOL.ORG
 REFERENCIAS

1. CAF. (2012). Gobierno corporativo en América latina.

http://www.oecd.org/daf/ca/secondmeetinglatinamericasoenetworkcafwhitepaperspani
sh.pdf
2. COSO. (2013). Control Interno – Marco Integrado. Marco y anexos.
3. COSO. (2013). Control Interno – Marco Integrado. Resumen Ejecutivo.
4. Deloitte. (2015).Guía de recursos para el comité de auditoría. Disponible en
https://www2.deloitte.com/co/es/pages/risk/articles/guia-de-recursos-para-el-comite-
de-auditoría.html
5. Espino G. Melquiades G. (2017). Fundamentos de la Ley Sarbanes Oxley. Instituto
Mexicano de Contadores Públicos.
6. Estándares y normas del AICPA
https://www.aicpa.org/Research/Standards/AuditAttest/Pages/SSAE.aspx
7. http://www.corporatecomplianceinsights.com/revenue-recognition-cybersecurity-
pcaob-inspection-reports-found-influencing-forces-companies-sox-compliance-efforts/
8. http://www.nasdaq.com/es
9. https://auditool.org/blog/auditoría-externa/1231-el-pcaob-auditor-de-auditores
10. https://global.theiia.org/translations/PublicDocuments/2017-April-TaT-Spanish.pdf
11. https://pcaobus.org/Standards/Auditing/Pages/default.aspx
12. https://www.nyse.com/index
13. https://www.sec.gov/about.shtml
14. ISACA. (2014). It control objectives for Sarbanes-Oxley: using COBIT 5 in the design
and implementation of internal controls over financial reporting, 3rd
edition. [Books24x7 version] Available
from http://common.books24x7.com/toc.aspx?bookid=82855.
15. Modelo de madurez del control interno.
http://www.iaicr.com/boletin/2014/articulos/Modelo_Madurez_JBadillo.pdf
16. PCAOB. (2017). Estatutos y reglas de la Junta Supervisora de las Compañías de
Contabilidad Pública – PCAOB. Disponible en
https://pcaobus.org/Rules/Documents/PCAOB-Rules.pdf
17. www.coso.org

83 WWW.AUDITOOL.ORG