Temas de Auditoría Externa

 ACERCA DEL CENTER FOR AUDIT QUALITY (CAQ) [1] [2]

El Center for Audit Quality (CAQ) es una organización autónoma de política pública dedicada a mejorar la confianza de los inversores y la confianza pública en los mercados mundiales de capitales. El CAQ fomenta el desempeño de alta calidad por los auditores de empresas públicas; convoca y colabora con otras partes interesadas para avanzar en la discusión de temas críticos que requieren acción e intervención; y aboga por políticas y normas que promuevan la objetividad, efectividad y capacidad de respuesta de los auditores de las empresas públicas a las condiciones dinámicas del mercado. Con sede en Washington, DC, el CAQ está afiliado al Instituto Americano de Contadores Públicos (AICPA).

Tenga en cuenta que esta publicación tiene es para información general y no debe considerarse como definitiva o que incluye todos los temas que todos los interesados pudieran desear. Como todos los demás temas del CAQ, éste no es un tema autorizado a nivel profesional, y se insta a los lectores a consultar las normas y documentos relevantes similares. Si se requiere asesoramiento legal u otra asistencia experta, se deben buscar los servicios de un profesional competente. El CAQ no hace representaciones, garantiza ni ofrece garantías sobre, y no asume ninguna responsabilidad por el contenido o la aplicación del material incluido en este documento. El CAQ renuncia expresamente a toda responsabilidad por los daños que surjan por el uso, la referencia o la dependencia sobre este material. Esta publicación no representa una posición oficial del CAQ, su junta directiva o sus miembros.

ÍNDICE DEL CONTENIDO

• INTRODUCCIÓN
• CONCEPTOS CLAVE SOBRE EL ICFR (Internal Control over Financial Reporting)
  • CONTROL INTERNO
  • CONTROL INTERNO PARA EL REPORTE FINANCIERO
  • GARANTÍA RAZONABLE
  • EL AMBIENTE DE CONTROL
  • ACTIVIDADES DE CONTROL
    5. SEGREGACIÓN DE FUNCIONES
    5. CONTROLES SOBRE TECNOLOGÏA DE LA INFORMACIÓN (TI)
    5. CONTROLES A NIVEL DE LA ENTIDAD Y DE LOS PROCESOS
    5. CONTROLES PREVENTIVOS Y DE DETECCIÓN
  • IMPLEMENTACIÓN DEL ICFR EN LA EMPRESA
  • DEFICIENCIAS DEL ICFR
• FUNCIONES Y RESPONSABILIDADES DEL ICFR
  • GERENCIA
  • RESPONSABILIDAD DE LA GERENCIA SOBRE LA EFICACIA DEL ICFR
  • AUDITORES INDEPENDIENTES
  • COMITÉS DE AUDITORÍA
• QUÉ SIGNIFICA EL ICFR PARA LAS EMPRESAS, LOS INVERSORES Y LOS MERCADOS?

INTRODUCCIÓN

La elaboración de información financiera confiable es una responsabilidad clave de la administración de cada empresa pública[3]. La capacidad de administrar eficazmente el negocio de la compañía requiere acceso a información oportuna y precisa que informa la toma de decisiones. Además, los inversores deben poder confiar en los informes financieros de una empresa si ésta desea recaudar capital en los mercados públicos de valores.

La capacidad de la gerencia para cumplir con sus responsabilidades sobre la publicación de informes financieros depende en parte del diseño y la efectividad operativa de los controles y salvaguardas que ha implementado sobre los informes contables y financieros. Sin dichos controles, sería extremadamente difícil para la mayoría de las organizaciones empresariales, especialmente aquellas con numerosas ubicaciones, operaciones y procesos, preparar informes financieros oportunos y confiables para la administración, los inversores, los prestamistas y otros usuarios. Si bien ningún sistema de control práctico puede asegurar absolutamente que los informes financieros nunca contendrán errores materiales, un sistema efectivo de control interno sobre los informes financieros (ICFR) puede reducir sustancialmente el riesgo de dichos errores en los estados financieros de una empresa.

El Congreso de USA codificó el requisito de que las empresas públicas tengan controles contables internos en la Ley de Prácticas Corruptas en el Extranjero de 1977 (FCPA). Esta ley federal exige que las empresas públicas establezcan y mantengan un sistema de controles contables internos suficientes para proporcionar una seguridad razonable de que las transacciones se registran según sea necesario para permitir la preparación de los estados financieros de acuerdo con los principios contables generalmente aceptados (PCGA). La Ley Sarbanes-Oxley de 2002 (SOX) agregó un requisito, aplicable a la mayoría de las compañías públicas, de que la gerencia debe evaluar anualmente la efectividad del ICFR de la compañía e informar al público sobre los resultados de esa evaluación. SOX también mejoró la responsabilidad de supervisión del Comité de Auditoría relacionada con el ICFR y requiere que la mayoría de las grandes empresas públicas contraten a su auditor independiente para auditar la efectividad del ICFR de la compañía.

El CAQ ha preparado esta guía para proporcionar al público una visión general sobre el ICFR. Esta guía explica qué es el ICFR de una empresa pública y describe la responsabilidad de la gerencia para implementar un ICFR efectivo. También discute las responsabilidades del Comité de Auditoría para supervisar el ICFR y las del auditor independiente para auditar la efectividad del ICFR de la compañía.

La FCPA exige que las empresas públicas "diseñen y mantengan" un sistema de controles contables internos suficiente para proporcionar una seguridad razonable de que[4]:

v Las transacciones se ejecutan de acuerdo con la autorización general o específica de la gerencia;

v Las transacciones se registren, según sea necesario, (1) para permitir la preparación de estados financieros de conformidad con los PCGA o de cualquier otro criterio aplicable a dichos estados, y (2) para preservar su responsabilidad por los activos;

v El acceso a los activos es permitido solo de acuerdo con la autorización general o específica de la gerencia; y     

v La responsabilidad registrada sobre los activos se compara con los activos existentes a intervalos razonables, y se toman las medidas apropiadas con respecto a cualquier diferencia.

CONCEPTOS CLAVE SOBRE EL ICFR

CONTROL INTERNO

El ICFR es un elemento del concepto más amplio de lo que es control interno. Este último está definido por el Committee on Sponsoring Organizations (COSO) de la Treadway Commission, una iniciativa de varios grupos interesados en un control interno efectivo, que proporciona un marco para ayudar a las empresas a estructurar y evaluar controles que abordan una amplia gama de riesgos. Publicado en 1992 y actualizado en 2013, ese marco define el control interno como "un proceso, ejecutado por el consejo de administración, la administración y otro personal de una entidad, que es diseñado para proporcionar controles razonables que garantizan el logro de los objetivos de seguridad razonable de la empresa que se relacionan con las operaciones, los reportes y el cumplimiento[5].

CONTROL INTERNO PARA EL REPORTE FINANCIERO (ICFR)

El ICFR se refiere a los controles diseñados específicamente para abordar los riesgos relacionados con la información financiera. En términos simples, el ICFR de una empresa pública consiste en controles diseñados para proporcionar una seguridad razonable de que los estados financieros de la empresa son confiables y que están preparados de acuerdo con los PCGA.

Las declaraciones erróneas en un estado financiero pueden ocurrir, por ejemplo, debido a errores matemáticos, aplicación incorrecta de los PCGA o declaraciones erróneas intencionales (fraude). Un sistema del ICFR debería abordar estas posibilidades. El riesgo de informes financieros fraudulentos es una consideración clave en el diseño y operación del ICFR de la empresa pública. Por ejemplo, las expectativas del mercado sobre ingresos, ganancias u otros objetivos pueden crear presiones en la administración para cumplir con esas metas. Un ICFR efectivo proporciona una seguridad razonable de que los registros corporativos no se expresan incorrectamente a propósito en respuesta a esas presiones. Por lo tanto, el ICFR debe diseñarse e implementarse teniendo en cuenta el riesgo de fraude y debe ser adaptado a las circunstancias particulares de la empresa.

La información financiera a menudo requiere una toma de decisiones sofisticada y la aplicación de un juicio informado. Los siguientes tres elementos, por ejemplo, requieren que la gerencia haga juicios con respecto a los supuestos y a la probabilidad de eventos futuros:

v Áreas de contabilidad tales como la relacionada con la estimación de las provisiones para pérdidas sobre cuentas por cobrar y otros activos,

v La valoración de activos no líquidos, y

v La determinación de si los activos intangibles están deteriorados.

En esas áreas de los informes financieros, generalmente hay una gama de posibilidades aceptables de reporte y no un solo resultado "correcto" para medir y registrar. Los controles no pueden eliminar la necesidad de juicio o eliminar las variaciones en la presentación de informes inherentes a situaciones en las que es posible un rango de juicios aceptables. Sin embargo, los controles pueden diseñarse e implementarse para abordar el proceso mediante el cual se realizan los juicios contables y, por lo tanto, para proporcionar una seguridad razonable de que los informes financieros se presentan de acuerdo con los PCGA.

1. Entorno de Control: El ambiente de control es el conjunto de normas, procesos y estructuras que proporcionan la base para llevar a cabo el control interno en toda la organización. La junta directiva y la alta gerencia marcan las pautas a nivel superior (establish the tone-at-the-tope) con respecto a la importancia del control interno, incluidas las normas de conducta esperadas. La gerencia refuerza las expectativas en los distintos niveles de la organización. El ambiente de control comprende la integridad y los valores éticos de la organización; los parámetros que permiten a la junta directiva llevar a cabo sus responsabilidades de supervisión de gobierno; la estructura organizacional y la asignación de autoridad y de responsabilidad; el proceso para atraer, desarrollar y retener a individuos competentes; y el rigor en torno a las medidas de desempeño, los incentivos y las recompensas para impulsar la responsabilidad por el desempeño. El ambiente de control resultante tiene un impacto generalizado en el sistema general de control interno.

2. Evaluación de Riesgos: Cada entidad enfrenta una variedad de riesgos de fuentes externas e internas. El riesgo se define como la posibilidad de que un evento ocurrirá y afectará adversamente el logro de los objetivos. La evaluación de riesgos implica un proceso dinámico y repetido para identificar y evaluar los riesgos que amenazan el logro de los objetivos. Los riesgos para el logro de estos objetivos a través de toda la entidad se consideran en relación con las tolerancias de riesgo establecidas. Por tanto, la evaluación de los riesgos forma la base para determinar cómo se gestionarán esos riesgos.

Una condición previa para la evaluación de los riesgos es el establecimiento de objetivos, vinculados a diferentes niveles de la entidad. La gerencia especifica los objetivos dentro de las categorías relacionadas con las operaciones, la presentación de informes y el cumplimiento con suficiente claridad para poder identificar y analizar los riesgos sobre esos objetivos. La gerencia también considera la idoneidad de los objetivos para la entidad. La evaluación de riesgos también requiere que la gerencia considere el impacto de posibles cambios en el ambiente externo y dentro de su propio modelo de negocios que pueden hacer que el control interno sea ineficaz.

3. Actividades de Control: Las actividades de control son las acciones establecidas a través de políticas y procedimientos que ayudan a garantizar que las directivas de la gerencia se lleven a cabo para mitigar los riesgos que amenazan el logro de los objetivos. Las actividades de control se llevan a cabo en todos los niveles de la entidad, en diversas etapas dentro de los procesos comerciales y sobre el ambiente tecnológico. Pueden ser de naturaleza preventiva o de detección y pueden abarcar una variedad de actividades manuales y automatizadas, como autorizaciones y aprobaciones, verificaciones, conciliaciones y revisiones del desarrollo de las actividades del negocio. La segregación de funciones generalmente se integra en la selección y en el desarrollo de actividades de control. Cuando la segregación de funciones no es práctica, la gerencia selecciona y desarrolla actividades de control alternativas.

4. Información y Comunicación: La información es necesaria para que la entidad asigne responsabilidades de control interno que apoyan el logro de los objetivos. La gerencia obtiene o genera y utiliza información relevante y de calidad proveniente de fuentes internas y externas para apoyar el funcionamiento de otros componentes del control interno. La comunicación es el proceso continuo y repetido para proporcionar, compartir y obtener la información necesaria. La comunicación interna es el medio por el cual la información se difunde en toda la organización, fluyendo hacia arriba, hacia abajo y en toda la entidad. Permite al personal recibir un mensaje claro de la alta gerencia de que las responsabilidades de control deben tomarse en serio. La comunicación externa es doble: permite la comunicación de información externa relevante que ingresa a la entidad y proporciona información a terceros externos en respuesta a los requisitos y expectativas.

5. Actividades de Monitoreo: Las evaluaciones continuas y las evaluaciones separadas o alguna combinación de ambas se aplican para determinar si cada uno de los cinco componentes del control interno, incluidos los controles para ejecutar los principios dentro de cada componente, está presente y funcionando. Las evaluaciones continuas, integradas en los procesos de negocios en los diferentes niveles de la entidad, proporcionan información oportuna. Las evaluaciones separadas, realizadas periódicamente, variarán en alcance y frecuencia dependiendo de la evaluación de los riesgos, la efectividad de las evaluaciones en curso y otras consideraciones de gestión. Los hallazgos se evalúan en función de los criterios establecidos por los reguladores, los organismos o la administración de normas aplicables y la junta directiva, y las deficiencias se comunican a la gerencia y a la junta directiva según corresponda.

Ningún sistema del ICFR puede proporcionar una garantía absoluta de que los estados financieros están libres de errores. Los sistemas de control interno son operados por individuos, y los individuos cometen errores. Además, si bien mantener un sistema del ICFR que brinde una seguridad razonable con respecto a la confiabilidad de la información financiera es un requisito legal para la mayoría de las empresas públicas, las consideraciones de costos pueden afectar el diseño de los sistemas de control. Por esas razones, es imposible crear un sistema de control que evite o detecte, de manera oportuna, todas las posibles declaraciones erróneas. Además, la mala conducta intencional, como el fraude, la colusión o la anulación de la gestión, pueden evitar que los controles funcionen según lo previsto, independientemente de qué tan bien están diseñados.

En consecuencia, los sistemas de control pueden proporcionar una seguridad razonable, pero no absoluta, de que los estados financieros son confiables y que están preparados de acuerdo con los PCGA. Lo que es razonable depende de los hechos y circunstancias de cada situación particular. Las leyes de valores definen la seguridad razonable como el grado de seguridad que satisfaría a los funcionarios prudentes en la conducción de sus propios asuntos.

EL AMBIENTE DE CONTROL

Un componente clave del ICFR es el ambiente de control: las normas, procesos, estructuras y valores dentro de la organización. Los controles diseñados para elaborar informes financieros confiables tienen más probabilidades de tener éxito si la cultura de la empresa, incluidas las pautas a nivel superior (tone-at-the-tope) establecidas por la alta gerencia, refleja la importancia de la integridad y los valores éticos y un compromiso con la información financiera confiable.

Algunos indicadores de un ambiente de control positivo incluyen:

v Declaraciones y acciones del consejo de administración y de la alta dirección que demuestran soporte para controles eficaces,

v Emisión y aplicación de un código de conducta corporativa adecuada, y

v Programas de entrenamiento que enseñen a los empleados a identificar y tratar las cuestiones éticas.

Las reglas de la US Securities and Exchange Commission (SEC o la Comisión) definen el ICFR como "un proceso diseñado por, o bajo la supervisión del ejecutivo principal de la entidad y de los oficiales financieros principales del registrante, o personas que desempeñan funciones similares, y ejecutado por la junta directiva del registrante, la gerencia y otro personal, para proporcionar una seguridad razonable con respecto a la confiabilidad de la información financiera y la preparación de estados financieros para propósitos externos de acuerdo con los PCGA, e incluye las políticas y procedimientos que:

(1) Corresponden al mantenimiento de registros que en detalle razonable reflejan con suficiente precisión las transacciones y disposiciones de los activos de la solicitante de registro;  

(2) Suministran seguridad razonable de que las transacciones se registran cuando es necesario para permitir la preparación de estados financieros de acuerdo con los PCGA, y que los ingresos y los gastos del solicitante de registro se realizan solamente de acuerdo con autorizaciones de la gerencia y los directores del solicitante de registro; y  

(3) Suministran seguridad razonable sobre la prevención o detección oportuna de la adquisición, uso o disposición de los bienes del solicitante de registro que podrían tener un efecto significativo sobre los estados financieros“.

ACTIVIDADES DE CONTROL

Las actividades de control, que son las acciones específicas establecidas por medio de políticas y procedimientos diseñados para mitigar el riesgo de reporte sobre la información financiera, son otros componentes claves del ICFR. Las actividades de control son tan variadas como las actividades de negocios de las empresas públicas. Los siguientes conceptos son útiles para comprender las actividades de control:

1. La segregación de funciones,

2. Los controles generales sobre Tecnología de la Información (TI),  

3. Los controles a nivel de procesos y a nivel de la entidad, y     

4. Los controles preventivos y de detección.

Segregación de funciones

Uno de los componentes básicos del control interno es la segregación de funciones. Este concepto implica asignar la responsabilidad de diferentes partes de un proceso a diferentes personas para que ninguna persona pueda controlar elementos del proceso que pueden ser conflictivos. La importancia de la segregación de funciones se debe en parte al hecho de que la colusión entre dos individuos es menos probable que la mala conducta de un solo individuo. La segregación también refleja una menor probabilidad de que dos personas cometan el mismo error relacionado con la contabilización de una transacción.

Un buen ejemplo de segregación de funciones es asignar la responsabilidad del acceso físico a una sala de suministros a una persona diferente de la persona responsable de mantener los registros del inventario de suministros.

Controles generales sobre TI

El uso de TI por parte de una empresa afecta la manera en que se procesa, almacena y comunica la información relevante para la información financiera y, por lo tanto, afecta la manera en que se diseña e implementa un sistema de control interno relevante para la información financiera. Cada componente del control interno puede involucrar cierto grado de automatización. La comprensión del control interno relevante para la información financiera implica comprender el uso de TI por parte de la compañía para cada componente. El uso que hace la compañía de aplicaciones de TI y de otros aspectos en el ambiente de TI puede generar riesgos derivados del uso de esas herramientas tecnológicas.

Estos riesgos varían en función de la medida en la que una empresa confía en TI para respaldar los procesos en su sistema de información, para mantener la integridad y precisión de los datos y la información subyacentes, y para respaldar la confiabilidad de los controles y informes generados por los sistemas automatizados. Los controles generales sobre TI generalmente se implementan para abordar los riesgos derivados de esas herramientas.

Los controles generales de TI generalmente incluyen controles sobre la seguridad de la información, el desarrollo de aplicaciones y el mantenimiento y las operaciones de los sistemas. Como parte de los procedimientos de evaluación de riesgos, los auditores externos identifican y evalúan los riesgos derivados de TI, incluyendo ciertos riesgos de ciberseguridad que enfrenta la entidad. Los controles relevantes, incluidos los controles generales de TI, se identifican para abordar esos riesgos. Los controles generales de TI se relacionan con las aplicaciones e infraestructuras que son relevantes para el ICFR, incluidos ciertos controles de ciberseguridad[7].

Además de los controles desarrollados internamente, la gerencia debe tener en cuenta los controles relevantes existentes en una organización de servicios que afecten al ICFR^a. Las empresas a menudo contratan ciertos servicios importantes para sus actividades de negocios con ciertas organizaciones de servicios. Los servicios proporcionados por tales organizaciones se hacen relevantes en el contexto de la auditoría del ICFR cuando esos servicios y los controles sobre ellos afectan al sistema de información de la compañía, incluidos los procesos comerciales relacionados, relevantes para la información financiera. La gerencia debe obtener una comprensión de la naturaleza y la importancia de los servicios prestados por la organización de servicios y evaluar el efecto de dichos servicios en el marco del control interno de la empresa.

Si una entidad determina que una organización de servicios es relevante para su información financiera, puede desarrollar e implementar sus propios controles sobre los servicios proporcionados por esa organización.

Alternativamente, la organización de servicios puede contratar a un auditor independiente para que informe sobre la descripción y el diseño de sus controles (Informe Tipo 1) o sobre la descripción y el diseño de sus controles y su efectividad operativa (Informe Tipo 2). La entidad puede utilizar dicho informe para determinar si se han diseñado e implementado controles apropiados en la organización de servicios para mitigar los riesgos relevantes^b.

^b La Sección AS 2601 proporciona requisitos de auditoría relacionados con el uso por una entidad de una organización de servicios. La información original en inglés puede obtenerse en https://bit.ly/3bLZaQk

Controles a nivel de entidad y de proceso

Los controles a nivel de entidad están diseñados para proporcionar una seguridad razonable de que los objetivos relacionados con la empresa en su conjunto se cumplen. Ciertos controles a nivel de entidad tienen un efecto generalizado en el sistema de control interno de la compañía. La supervisión del Comité de Auditoría de los informes financieros y la revisión de un director financiero de las diferencias entre el presupuesto mensual de la compañía y los gastos reales son ejemplos de controles a nivel de entidad.

Otros controles operan a nivel de proceso, transacción o aplicación. Esos controles pertenecen a una sola actividad, como puede ser la que se diseña para exigir que los recibos de entrega coincidan con las facturas del proveedor antes de que se autorice el pago a un proveedor.

El IPE sustenta tanto el procesamiento de la información financiera como la operación de ciertos controles internos. El componente de Información y Comunicación de COSO ofrece procedimientos sugeridos para abordar la precisión e integridad de dicha información. Estos procedimientos generalmente incluyen la consideración de los datos de origen, la lógica del informe y los parámetros definidos por el usuario que se utilizan para elaborar informes. •

En términos generales, los controles se dividen en dos categorías: controles preventivos y controles de detección. Los controles preventivos están destinados a prevenir la ocurrencia de una actividad que no es consistente con los objetivos de control. Esos controles pueden ser manuales o automatizados. Siguen algunos ejemplos:

v Separación de la aprobación y del pago: El requisito de que un empleado que esté autorizado para iniciar un pago a un proveedor no esté también autorizado a firmar los cheques de pago a los proveedores sería un control preventivo. Entre otras cosas, dicho control está diseñado para reducir el riesgo de pagos no autorizados.     

v Límites de acceso a los sistemas de TI: El control del acceso a los programas de software relacionados con las funciones de contabilidad o de pagos mediante el uso de contraseñas y códigos de acceso es otro tipo de control preventivo. Limitar a las personas que pueden cambiar los programas de TI reduce el riesgo de transacciones no autorizadas. El acceso de los usuarios a los sistemas de TI debe otorgarse a un nivel acorde con las responsabilidades del trabajo, teniendo en cuenta una segregación de funciones adecuada y el activo monitoreo de las transacciones.     

v Controles automatizados: Los controles automatizados incluyen algunos como los que se relacionan con los controles de procesamiento y los cálculos, autorizaciones y aprobaciones automatizadas.     

Los controles de detección están destinados a identificar representaciones erróneas o actividades no autorizadas después de que hayan ocurrido para que las correcciones se puedan hacer de manera oportuna. Siguen dos ejemplos:

v Conciliaciones: La comparación independientemente de dos conjuntos de registros que se relacionan con la misma transacción y el análisis de cualquier diferencia es un control de detección. La conciliación del saldo de la cuenta de efectivo en los libros de la compañía con los registros bancarios podría identificar si los pagos registrados por la compañía no fueron recibidos por el banco, o si los retiros informados por el banco no fueron contabilizados por la compañía.     

v Controles de revisión de gestión (MRCs): Estos controles generalmente implican la comparación de los montos registrados en los estados financieros con los montos esperados e investigar diferencias significativas con respecto a las expectativas. Dichas revisiones de gestión pueden incluir: (1) una comparación mensual de los resultados reales con los resultados previstos o presupuestados; (2) comparación de otros índices o tendencias, como los márgenes de ganancia bruta y los gastos como un porcentaje de las ventas; o (3) revisiones periódicas del balance. Examinar las desviaciones inesperadas puede descubrir errores o cambios imprevistos en las actividades d negocios de la compañía. Cuando se confía en los MRC como parte de la evaluación del ICFR, es importante considerar si el control aborda adecuadamente los riesgos evaluados de incorrección material con la cuenta o la revelación significativa[8].

Muchos MRC son controles a nivel de entidad que varían en naturaleza y precisión. Un control a nivel de entidad puede operar con un nivel de precisión adecuado para prevenir o detectar incorrecciones de manera oportuna por sí mismo[9][10], o puede operar en combinación con otros controles. Los factores que pueden afectar el nivel de precisión de un control a nivel de entidad y que deben considerarse al evaluar la efectividad de dichos controles incluyen: (1) el objetivo de la revisión, (2) el nivel de agregación de la información sujeta a revisión, (3) consistencia del desempeño, (4) correlación con aseveraciones relevantes, (5) previsibilidad de las expectativas y (6) criterios para la investigación[11].

Los MRC pueden depender de otros controles, como los de los procesos para ingresar datos (to populate), actualizar y mantener la precisión, integridad y validez de la información utilizada en el MRC, de modo que la información subyacente sea lo suficientemente confiable para su propósito.

Debilidad material: Bajo el ICFR, una debilidad material es una deficiencia, o una combinación de deficiencias y, por tanto, existe una posibilidad razonable de que una representación errónea de los estados financieros anuales o intermedios de la compañía no se evite o no se detecte oportunamente.

Deficiencia significativa: Una deficiencia significativa es una deficiencia, o una combinación de deficiencias en el ICFR que es menos grave que una debilidad material, pero sí lo suficientemente importante como para atraer la atención de los responsables por la supervisión sobre los informes financieros de la compañía.

Deficiencia: Existe una deficiencia en el ICFR cuando el diseño u operación de un control no permite a la gerencia o a los empleados, en el curso normal de sus funciones asignadas, prevenir o detectar oportunamente presentaciones y/o revelaciones erróneas o desviadas.

El diseño, la ejecución y la evaluación de los controles deben adaptarse a los riesgos de reporte de la empresa. Estos riesgos pueden estar influenciados por el tamaño de la empresa. El diseño y el mantenimiento de un ICFR efectivo se hacen más desafiantes a medida que aumenta el tamaño de la empresa y el alcance de sus actividades. Al mismo tiempo, las compañías más pequeñas pueden enfrentar desafíos como resultado de limitaciones en los recursos calificados.

El riesgo de que la administración descuide o haga caso omiso de los controles puede ser mayor en una empresa más pequeña en la que los funcionarios tienen una participación más directa en las operaciones y en el registro de las transacciones. Además, una empresa pequeña puede no tener suficiente personal para implementar apropiadamente la segregación de funciones en todos los procesos. No obstante eso, las empresas públicas más pequeñas están obligadas a implementar un sistema de control que brinde una seguridad razonable de que los estados financieros se preparan de acuerdo con los PCGA y que no contienen errores significativos.

DEFICIENCIAS DEL ICFR

Existe una deficiencia en el ICFR si el diseño o la operación de un control no permiten a la gerencia o a los empleados, en el curso normal de realización de sus tareas asignadas, prevenir o detectar inexactitudes oportunamente. Cuando se detectan deficiencias en el diseño o en la operación de un control, la gerencia necesita evaluar qué tan serio puede ser el impacto en la integridad de los procesos de información financiera de la compañía. Las deficiencias más graves se clasifican como deficiencias significativas o debilidades importantes.

La determinación de si una deficiencia en el ICFR representa una debilidad material depende de:

1. La probabilidad de que se produzca una inexactitud como resultado de la deficiencia;
2. Si la magnitud de la incorrección potencial que razonablemente puede haber ocurrido o podría ocurrir en el futuro como resultado de la deficiencia, fue o podría ser material en relación con los estados financieros; y
3. Si los controles de la gerencia en el curso ordinario de los negocios hubieran evitado o detectado oportunamente una incorrección o presentación errónea si se hubiera convertido en material.

A los fines de la presentación de informes de la SEC, si existe una sola debilidad material en el ICFR, entonces éste no es efectivo, independientemente de la efectividad del resto de los controles. Una debilidad material significa que existe una posibilidad razonable de que los controles de la compañía no evitan o detectan una incorrección material (individualmente o en conjunto) de los estados financieros intermedios o anuales de la compañía de manera oportuna.

Es importante comprender que una debilidad material en el ICFR no necesariamente significa que los estados financieros de la compañía están incorrectamente representados; por el contrario, ello significa que existe una posibilidad razonable de que los controles de la compañía no habrían evitado o detectado una inexactitud importante de manera oportuna.

FUNCIONES Y RESPONSABILIDADES DEL ICFR

GERENCIA

La gerencia de la compañía es responsable por el diseño, la implementación y el monitoreo del ICFR. Si bien las estructuras de gestión varían, en muchas empresas, el gerente (o director) financiero principal (el gerente de finanzas o el contralor) y su personal tienen la responsabilidad diaria sobre el ICFR.

La Sección 404(a) de SOX exige (con ciertas excepciones) a los principales ejecutivos y ejecutivos financieros de todas las compañías públicas que evalúen anualmente la efectividad del ICFR. La SEC ha publicado una guía que establece: "La gerencia es responsable de mantener un sistema de ICFR que proporcione una seguridad razonable con respecto a la confiabilidad de la información financiera y la preparación de estados financieros para propósitos externos de acuerdo con los principios de contabilidad generalmente aceptados". Además, la guía de la SEC establece: “La gerencia es responsable de mantener el material probatorio, incluida la documentación, para proporcionar un apoyo razonable para su evaluación. Esta evidencia también permitirá que un tercero, como el auditor externo de la compañía, considere el trabajo realizado por la gerencia[12].

Al realizar su evaluación, la gerencia debe determinar si ha implementado controles que aborden adecuadamente el riesgo de que una incorrección o inexactitud material en los estados financieros de la compañía no sería evitada o detectada de manera oportuna y si esos controles están operando efectivamente. La SEC ha recomendado que la evaluación de la administración del ICFR adopte un enfoque de arriba hacia abajo basándose en el riesgo. Con base en ese enfoque, la gerencia examina primero los controles a nivel de entidad y luego las cuentas y los procesos significativos y, finalmente, las actividades de control. Si bien la evaluación de la gerencia debe cubrir el ICFR de la compañía en su conjunto, debe dedicar la mayor atención a las áreas que presentan el mayor riesgo para la información financiera confiable[13].

Desde una perspectiva práctica, el ICFR es implementado por ejecutivos y empleados en toda la compañía, y es importante que los más competentes y mejor entrenados participen en el diseño y en la supervisión del ICFR. En todos los niveles de la empresa, los gerentes deben ser responsables de la operación efectiva de los controles en sus áreas. Cada proceso de negocios, como las ventas y las compras, la publicidad y la fabricación, debe estar sujeto a controles diseñados para proporcionar una seguridad razonable de que el proceso funciona de manera efectiva y de que los registros reflejan con precisión las transacciones individuales. Los gerentes de las unidades de negocios también son responsables de inculcar en sus empleados una comprensión y respeto de los controles relacionados con las actividades de la unidad. Un colapso del control en un proceso o actividad podría resultar en información errónea significativa no detectada, independientemente de la efectividad del resto del sistema de control interno.

INFORME DE GESTIÓN SOBRE LA EFICACIA DEL ICFR

La Sección 404(a) de SOX también requiere (con algunas excepciones) que todas las compañías públicas evalúen anualmente la efectividad del ICFR e informen los resultados. Se requiere que la gerencia, en sus informes trimestrales, exprese su responsabilidad de establecer y mantener el ICFR y divulgue cualquier cambio en el ICFR que haya afectado materialmente, o que sea razonablemente probable que afecte materialmente al ICFR de la compañía[14]. La disciplina de realizar una evaluación del ICFR junto con el requisito de informar los resultados en una presentación pública, ofrece a los inversores una mayor confianza en la confiabilidad de los estados financieros.

AUDITORES INDEPENDIENTES

La Sección 404(b) de SOX requiere que la mayoría de las grandes empresas públicas obtengan un informe del auditor independiente sobre la efectividad del ICFR. Bajo AS 2201, la auditoría del ICFR y la auditoría financiera están integradas; es decir, ambas auditorías se realizan como un proceso único que se refuerza mutuamente. Al igual que la evaluación de la gerencia, la auditoría del ICFR debe seguir un enfoque descendente basado en el riesgo que tome en cuenta todo el sistema del ICFR, pero que centre una mayor atención en los controles sobre las áreas de información financiera más susceptibles a errores importantes.

Debido a las preocupaciones por el costo de una auditoría del ICFR para las compañías con recursos más limitados, las autoridades han eximido a las compañías públicas más pequeñas, y a ciertas compañías públicas nuevas, del requisito de que el auditor independiente exprese una opinión sobre la efectividad del ICFR. Sin embargo, incluso en una auditoría de estados financieros, solo se requiere que el auditor, como parte de la evaluación del riesgo de auditoría, comprenda cada componente del ICFR de la empresa, lo que incluye la evaluación del diseño de controles que son relevantes para la auditoría, y determinar si los controles se han implementado. Si bien no se requiere que el auditor pruebe la efectividad operativa de los controles internos, se le exige que comunique por escrito a la gerencia y al Comité de Auditoría, las debilidades materiales o las deficiencias significativas en los controles que lleguen a su atención.

COMITÉS DE AUDITORÍA

El consejo de administración (la junta directiva) tiene la responsabilidad general por supervisar todas las actividades de la compañía, incluida la preparación de los estados financieros y el diseño y operación de los controles. La supervisión del ICFR a menudo se delega al Comité de Auditoría, que tiene la responsabilidad específica de supervisar la información financiera bajo SOX.

Las actividades del Comité de Auditoría generalmente incluyen:

v Revisión de la evaluación de los riesgos en la información financiera,

v Revisión de las respuestas que se esperan de la gerencia sobre los riesgos en la información financiera,     

v Discusión con la gerencia sobre las deficiencias de control[15] y su impacto potencial sobre la información financiera, y     

v Evaluación de la calidad de la información financiera y de las revelaciones relacionadas.     

Se espera que los funcionarios de la administración responsables por el ICFR mantengan al Comité de Auditoría informado sobre la operación y la efectividad de los controles. Si la compañía tiene un personal de auditoría interna, su trabajo a menudo incluye controles de prueba e informar al Comité de Auditoría sobre sus hallazgos en relación con el ICFR.

Bajo SOX, el Comité de Auditoría también es responsable de contratar y supervisar las actividades del auditor independiente. Las comunicaciones del auditor con el Comité de Auditoría son una fuente importante de información relacionada con el ICFR de la empresa. Las normas de auditoría de la PCAOB requieren que el auditor comunique al Comité de Auditoría, entre otras cosas, una visión general de la estrategia de auditoría, que generalmente incluye una discusión sobre el ICFR basada en el trabajo de planificación de auditoría por parte del auditor[16].

En general, las grandes compañías públicas que presentan informes anuales ante la SEC deben incluir en su informe anual una opinión de los auditores de la compañía sobre la efectividad del ICFR de la compañía. Sin embargo, a ciertas empresas se les exonera de ese requisito:

Compañías de Inversión: Los fondos mutuales y otros tipos de compañías de inversión que son esencialmente agrupadores de valores (pool of securities). Dichos fondos no se involucran por sí mismos en ninguna actividad comercial[17].

Declarantes Non-Accelerated: Éstas son empresas que: (1) presentan informes ante la SEC y (2) tienen valores públicos por cantidades fluctuantes en cuanto a su disponibilidad en el mercado (es decir, valores disponibles para la oferta pública) de menos de US$75 millones. No están sujetas a los mismos requisitos de declaración que las declarantes más grandes (Accelerated)[18] [19].

Compañías de Crecimiento Emergente (Emerging-Growth Companies - EGC): Durante los cinco años posteriores a su primera venta pública registrada de acciones ordinarias, una empresa que tiene ingresos anuales totales de menos de $1.000 millones es una empresa de crecimiento emergente[20]. Dicha empresa pierde el estatus de EGC si se convierte en una Declarante Accelerated (generalmente esto requiere una flotación pública global agregada de al menos US$700 millones) o si emite más de US$1.000 millones de deuda no convertible en un período de tres años.

La confianza de los inversores y el funcionamiento eficiente de nuestros mercados de capitales dependen de informes financieros confiables de las empresas públicas. Un amplio conjunto de pruebas demuestra cómo las disposiciones de SOX, incluida la Sección 404, han fortalecido los mercados de capitales de EE.UU y la fiabilidad de la información financiera[21].  Por ejemplo:

v Un estudio en una edición de 2017 de Auditing: A Journal of Practice & Theory concluyó que la Sección 404(b) de SOX proporciona “un sistema de alerta temprana” para el fraude de la compañía[22].

v Un estudio de 2014 del período de siete años comprendido entre 2007 y 2013 reveló que las empresas sujetas a 404(b) experimentaron recompensas de valoración más altas y calificaciones crediticias más altas (lo que resulta en costos generales de deuda más bajos)[23].

v Un estudio de 2013 de Government Accountability Office encontró que el 80% de todas las compañías consideraban que la certificación de auditores bajo la Sección 404(b) era beneficiosa para la calidad de los controles de la compañía[24]. El riesgo de debilidad material puede ser mayor entre las compañías más pequeñas. La auditoría independiente del ICFR ayuda a aclarar los problemas antes de que conduzcan a debilidades materiales y a reformulaciones financieras, y las empresas que no están obligadas a cumplir con 404(b) experimentan problemas de información financiera a una tasa mayor[25]. Por lo tanto, los inversores se benefician de la disciplina y el rigor inculcado por los requisitos para mantener y tener una evaluación independiente del ICFR.

v Un estudio de 2009 analizó las reemisiones reveladas por dos tipos de emisores SOX 404 (los que tuvieron una auditoría del ICFR y los que no la hicieron)[26]. El estudio encontró que las compañías que revelaron que su ICFR era efectivo y que no hacían una auditoría externa del ICFR bajo 404(b) tenían una tasa de reemisión del 46% más alta que las compañías que revelaron que su ICFR era efectivo y que sí hacían una auditoría del ICFR.

El enfoque renovado sobre el ICFR puede haber provocado una disminución en el número y la gravedad de las emisiones de estados financieros reestructurados desde que el requerimiento SOX-ICFR entró en vigencia en 2004. La cantidad de reemisiones por declarantes accelerated disminuyó significativamente desde 2005 y ha mantenido una tasa baja en años recientes[27].
MÁS RECURSOS SOBRE EL ICFR