Introducción
Las más importantes innovaciones que se han hecho al control interno en las últimas décadas han sido fruto de COSO y de la Ley Sabarnes – Oxley (estados Unidos).
COSO aportó una estructura conceptual integrada muy sólida, se ha convertido en el principal estándar de referencia en el mundo. Junto con COCO se les reconoce como los Criterios Confiables de Control (Suitable Control Criterio).
Para COSO el control interno es un sistema, ubicado en el más alto nivel organizacional, con direccionamiento estratégico y una clara precisión que combina objetivos, componentes y niveles. Es una herramienta extremadamente útil para el diseño, la implementación, el mejoramiento y evaluación del control interno.
La Ley Sabarnes – Oxley se trata de una norma para el mercado de valores de los Estados Unidos, su oportunidad y calidad conceptual le han permitido ser acogida como uno de los principales direccionadores del control interno en el mundo. Recoge la estructura conceptual de COSO, le añade dos elementos nuevos: la auditoría el control interno y la perspectiva organizacional de COSO.
Diferencia tres grandes niveles de control interno y sus respectivos responsables, lo cual se puede observar en el siguiente cuadro:
No es fácil analizar los contenidos que sobre el control interno ofrece la ley SOX. Una aproximación puede hacerse a partir de los textos que sobre el particular contiene:
1) Reportes de Auditoría: Informativos, exactos e independientes. Aplica de manera particular al reporte de auditoría del control interno.
a) Informativo: Hace referencia al contenido que se espera tenga dicho informe. Sin lugar a dudas, no podrá limitarse a expresar una opinión limpia, con salvedades o negación de opinión. La sección 101 establece esta característica, deberá leerse en el contexto de la sección 103 que señala el contenido de tal información (descripción del alcance de las pruebas, hallazgos del auditor, evaluación de los registros contables y una descripción de las debilidades materiales en los controles internos).
b) Exacto: Debe leerse en el contexto de la documentación requerida para respaldar la auditoría del control interno, a partir de un criterio confiable de control particularmente COSO.
c) Independiente: No es otra cosa que una reiteración de las fuertes exigencias que hace esta ley a los auditores con relación con su independencia.
2) Estructura y Procedimientos de Control: Debe entenderse como el equivalente del sistema de control interno a que hace referencia COSO, incorpora un elemento adicional: su ubicación en el máximo nivel de toma de decisiones de los emisores por encima del comité de auditoría.
Como parte de los estándares de auditoría, se incluyen requerimientos para las firmas registradas de contaduría relacionados con: conservación de papeles de trabajo; Provisión de revisión concurrente o de un segundo socio; descripción del alcance de las pruebas que el auditor realiza respecto de la estructura y procedimientos de control interno.
El foco de atención se encuentra en las pruebas que realiza el auditor respecto de la estructura y procedimientos de control interno, requeridos por la sección 404-B de la Ley SOX. Adicional a la descripción del alcance de las pruebas, el auditor debe presentar:
a) Los hallazgos que encontró al aplicar tales pruebas.
b) Una evaluación respecto de si tales estructuras y procedimientos de control interno:
• Incluyen registros que reflejan exacta y razonablemente las transacciones y las disposiciones de los activos.
• Proveen seguridad razonable de que las transacciones están registradas para permitir la preparación de estados financieros de acuerdo con las NIF (Normas de Información Financiera).
c) Una descripción de las debilidades materiales en tales controles internos.
En términos prácticos, el estudio y evaluación sirvan como base para determinar la extensión y oportunidad de los procedimientos de auditoría, la auditoría del control interno que incorpora esta ley va, considerablemente, mucho más allá, dado que se trata de emitir un reporte de auditoría (informativo, exacto e independiente) que contenga una atestación hecha de acuerdo con los estándares para contratos de atestación emitidos o adoptados.
3) Controles Internos Contables: En el contexto de la responsabilidad corporativa, cada comité debe establecer procedimientos para la recepción, retención y tratamiento de los reclamos recibidos por el emisor respecto de asuntos relacionados con contabilidad, controles internos contables o auditoría.
Ello hace parte del entendimiento de que los procesos relacionados con contabilidad, control interno y auditoría, están directamente a cargo de los comités de auditoría.
4) Responsabilidades de los Ejecutivos: Referidos a los controles internos y las responsabilidades que respecto de éstos tienen los ejecutivos que firman, esto es, certifican respecto de los mismos ya sea en los reportes anuales o trimestrales o en otros que se presentan a la SEC.
En el contexto de la responsabilidad corporativa por los reportes financieros, los ejecutivos que firman tienen responsabilidades específicas en relación con los controles internos. Certifican que:
a) Han revisado el reporte relacionado con el control interno.
b) Con base en su conocimiento, el reporte no contiene ninguna declaración falsa de un hecho material o la omisión d declarar un hecho material necesario.
c) Con base en su conocimiento, los estados financieros, presentan razonablemente en todos los aspectos materiales la condición financiera y los resultados de las operaciones del emisor en y para los periodos que se presentan en el reporte.
Consecuencia de lo anterior es que los ejecutivos que firman (certifican) son responsables por establecer y mantener los controles internos:
a) Tienen que diseñar los controles internos para asegurar que la información material relacionada con el emisor y sus subsidiarias consolidadas es conocida por tales ejecutivos y por otros al interior de la entidad, particularmente en el período para el cual se están presentando tales estados.
b) Han evaluado la efectividad de los controles internos del emisor para los 90 días anteriores al reporte.
Adicional a lo anterior, los ejecutivos que firman (certifican) tienen la obligación de revelar a los auditores y a comité de auditoría:
a) Todas las deficiencias significativas en el diseño o en la operación de los controles internos, que pudieran afectar de manera adversa la capacidad del emisor para registrar, procesar, resumir y reportar datos financieros, así como cualesquiera debilidades materiales en los controles internos que han identificado para los auditores del emisor.
b) Cualquier fraude, sea o no material, que implique a la administración o a otros empleados que tengan un rol significante en los controles internos del emisor.
Igualmente, los ejecutivos que firman (certifican) deben señalar en el reporte si existieron o no cambios importantes en los controles internos o en otros factores que pudieran afectar de manera adversa los controles internos, posteriores a la fecha de la evaluación que realizaron, incluyendo cualesquiera acciones correctivas en relación con las deficiencias significantes y las debilidades materiales.
5) Auditorias del Control Interno: Se refiere al conjunto que posiblemente más interés ha despertado dado que corresponde a la innovación más importante que hace la Ley SOX al control interno: la auditoria del control interno y la infraestructura (condiciones) necesaria para la misma, esto es, la valoración de los controles internos realizada por la administración y la obligación de ésta de hacer una declaración explícita (aserción) respecto de la misma.
Desde el punto de vista legal, el conjunto (reporte sobre el control interno) y conlleva:
a) Señalar la responsabilidad de la administración por establecer una estructura y unos procedimientos de control interno, que sean adecuados, para el proceso de presentación de reportes financieros.
b) Contener una valoración, para el final del año fiscal más reciente del emisor, sobre la efectividad de la estructura y de los procedimientos de control del emisor en relación con el proceso de presentación de reportes financieros.
Tal conjunto debe someterse a atestación, bajo estándares de atestación emitidos o adoptados, a cargo de la firma registrada de contaduría pública. De manera explícita señala que tal atestación no constituye un contrato diferente al de auditoría de los estados financieros.
Sin lugar a dudas, ello hace parte de los esfuerzos mundiales por precisar (y ampliar) el alcance de la auditoría independiente. Está, tradicionalmente comprendía solamente la auditoría de estados financieros. Ahora, comprende tres elementos estrechamente relacionados: auditoría de estados financieros, auditoría de control interno y auditoría de cumplimiento. Ello constituye un fortalecimiento de la auditoría independiente, asociado con las fuertes exigencias de independencia para tales auditores.
Debe resaltarse como ello gira alrededor del proceso de presentación de reportes financieros, una precisión muy importante para evitar caer en los dominios de otras auditorías para las cuales no se reconoce la experiencia de los contadores públicos: las auditorias de calidad (a partir de los estándares ISO 9000) y las auditorias de las operaciones (según estándares de ingeniería).
6) Comité de Auditoría y control Interno: Relación existente entre el comité de auditoría y el control interno, y particularmente en relación con el experto financiero.
La educción y experiencia en controles contables internos constituye uno de los aspectos que se deben considerar respecto del experto financiero del comité de auditoría.
La denominación “experto financiero” ha causado bastantes sorpresas pero cada vez gana más adeptos. Se trata de una persona que tiene educación y experiencia como contador público o auditor o como ejecutivo financiero principal, contralor o ejecutivo principal d contabilidad de un emisor, o derivada de una posición que conlleva el desempeño de funciones principales. Dicha educación y experiencia implica:
a) Un entendimiento de las NIF´s y estados financieros.
b) Experiencia en la preparación o auditoria de estados financieros de emisores generalmente comparables y la aplicación de las NIF´s en vinculación con la contabilidad de estimados, causaciones y reservas.
c) Experiencia en control interno contable.
d) Un entendimiento de las funciones del comité de auditoría.