Los procesos de evaluación de riesgos de la administración y los auditores son críticos para las decisiones relativas a la información financiera y la eficacia del control interno sobre la información financiera (CIIF). En consecuencia, nos preocupan los casos en los que la administración y los auditores parecen demasiado centrados en la información y los riesgos que impactan directamente los informes financieros, mientras ignoran cuestiones más amplias a nivel de entidad que también pueden afectar los informes financieros y los controles internos. Un enfoque tan estrecho es perjudicial para los inversores, ya que puede dar lugar a que riesgos materiales para el negocio no se aborden ni se divulguen, disminuyendo así la calidad de la información financiera.
Los problemas que también pueden afectar los informes financieros y los controles internos a menudo se presentan como incidentes aislados en un emisor; por ejemplo, una filtración de datos en un sistema que no forma parte del SCIIF, un hallazgo regulatorio repetido relacionado con informes no financieros clasificado como de menor riesgo, un error en los estados financieros determinado como una re-expresión de revisión ( es decir , “pequeña r”), o un incumplimiento del límite de riesgo de contraparte. Algunas gerencias y ciertos auditores pueden estar inadvertidamente sesgados hacia la evaluación de cada uno de estos incidentes individualmente o racionalizar para descartar evidencia potencialmente disconforme, y concluir que estos asuntos, individualmente o en conjunto, no alcanzan el nivel de divulgación de la gerencia o requisitos de comunicación del auditor.
Esta declaración analiza la obligación de la administración de (1) adoptar un enfoque holístico al evaluar la información sobre el negocio y evitar el posible sesgo hacia la evaluación de los problemas como incidentes aislados, con el fin de identificar oportunamente los riesgos, incluidos los riesgos a nivel de entidad; (2) diseñar procesos y controles que respondan a los riesgos identificados; e (3) identificar eficazmente la información que los emisores deben comunicar a los inversores. También discutimos las responsabilidades de los auditores como guardianes para responsabilizar a la administración por el interés público.
Evaluación de riesgos
Consideraciones de gestión
Las condiciones económicas cambiantes pueden tener un impacto significativo y repentino en el negocio de un emisor, lo que podría cambiar los riesgos o crear otros nuevos. Por lo tanto, para ser efectivos, los procesos de evaluación de riesgos deben considerar de manera integral y continua los objetivos, estrategias y riesgos comerciales relacionados de los emisores; evaluar información contradictoria; y desplegar recursos de gestión adecuados para responder a esos riesgos. Por ejemplo, el proceso de evaluación de riesgos de la administración puede considerar observaciones de los reguladores, informes de analistas e informes de vendedores en corto. También se requiere que la gerencia proporcione a los auditores información completa relacionada con ciertas comunicaciones de las agencias reguladoras.
La administración debe estar alerta a riesgos comerciales nuevos o cambiantes para identificar cambios que podrían afectar significativamente su sistema de control interno, y diseñar e implementar respuestas que respalden la capacidad de los emisores para revelar información de manera adecuada en sus presentaciones periódicas. Los riesgos comerciales, como la pérdida de financiación de una empresa, las concentraciones de clientes o el deterioro de las condiciones que afectan a la industria de la empresa, podrían afectar la capacidad de los emisores para liquidar sus obligaciones a su vencimiento y afectar los riesgos de que no se identifiquen errores materiales en los estados financieros. en forma oportuna. Asimismo, los riesgos relacionados con los cambios en la tecnología podrían afectar la eficacia de los controles en torno al procesamiento de las transacciones.
Consideraciones del auditor
La evaluación de riesgos constituye la base del proceso de auditoría. La falta de escepticismo profesional, incluida la consideración objetiva de información contradictoria, en este proceso crítico podría dar lugar a que un auditor no identifique o evalúe los riesgos de manera adecuada, lo que podría afectar la eficacia de la auditoría. Al identificar riesgos de incorrección material y diseñar respuestas de auditoría apropiadas, los auditores deben permanecer alerta a posibles cambios en los objetivos, estrategias y riesgos comerciales de los emisores. Los auditores deben considerar el posible impacto de las declaraciones públicas de un emisor con respecto a cambios en su estrategia, composición de la junta directiva u otros asuntos de gobernanza, y si dichas declaraciones contradicen la evaluación de la administración de su entorno de control.
Los auditores también deben evaluar la coherencia de la información revelada por los emisores en las presentaciones periódicas y los juicios hechos por la administración a lo largo del proceso de presentación de informes financieros en comparación con la información obtenida durante la realización de la auditoría. Si existen inconsistencias materiales, los auditores deben determinar si esas revelaciones indican un riesgo comercial potencial nuevo o en evolución que podría afectar materialmente los estados financieros o la efectividad del CIIF.
Controles a nivel de entidad
La gerencia debe evaluar si los emisores han implementado procesos y controles que puedan prevenir o detectar oportunamente una incorrección material en los estados financieros. Si bien el objetivo de información financiera de un emisor puede estar separado de sus objetivos operativos o de cumplimiento, el sistema de control interno de un emisor debe ser dinámico y expandirse más allá de un enfoque singular en el CIIF.
Al evaluar las deficiencias de control identificadas fuera del objetivo de información financiera de un emisor, la administración y los auditores deben considerar la causa raíz de la deficiencia y si afecta las conclusiones del CIIF del emisor. Por ejemplo, las causas fundamentales detrás de los hallazgos de un regulador relacionados con la gobernanza y los controles a nivel empresarial, si bien no están directamente relacionados con las actividades de control de la información financiera, podrían tener un impacto en las conclusiones del SCIIF de la administración debido a su impacto en los componentes de evaluación y monitoreo de riesgos del SCIIF. . En lugar de optar por una evaluación sesgada de deficiencias a nivel de proceso definidas de manera estricta, el análisis agregado de la administración y los auditores debe considerar la causa raíz de las deficiencias de control individuales, para determinar si dichas deficiencias indican una deficiencia más amplia y generalizada en la entidad. nivel. Alentamos a los auditores a evitar posibles sesgos hacia la racionalización y eliminar la evidencia disconforme y, en su lugar, aplicar criterios objetivos, al evaluar si las evaluaciones insuficientes de deficiencias por parte de la gerencia constituyen evidencia de actividades de monitoreo ineficaces.
Además, al evaluar la gravedad de las deficiencias de control identificadas como resultado de una incorrección, la administración y los auditores deben considerar no sólo la incorrección real, sino también la magnitud de la incorrección potencial (es decir, el llamado “factor podría”). La evaluación del “factor podría” incluye evaluar la población total de transacciones o montos expuestos a la deficiencia en las cuentas o clases de transacciones impactadas. En particular, cuando la causa raíz es un proceso inadecuado de evaluación de riesgos a nivel de entidad, el “factor podría” puede extenderse a una población más amplia de posibles errores más allá de los errores identificados.
Obligaciones de informar
La comunicación clara y transparente en beneficio de los inversores es fundamental. Las obligaciones de información financiera de la gerencia incluyen revelaciones sobre sus evaluaciones anuales del ICFR, descripciones de debilidades materiales identificadas y, trimestralmente, cambios que han afectado materialmente, o que es razonablemente probable que afecten materialmente, el ICFR de un emisor. Además, se requiere que la administración proporcione una discusión en sus presentaciones sobre los factores materiales que hacen que una inversión en el registrante sea especulativa o riesgosa. La gerencia puede identificar estos factores para su divulgación como parte de sus procedimientos de evaluación de riesgos, que incluyen una evaluación de toda la información disponible, incluida la información contradictoria. En algunos casos, los riesgos comerciales también pueden afectar las revelaciones de los estados financieros cuando los riesgos e incertidumbres podrían afectar significativamente los montos reportados en los estados financieros en el corto plazo.
Los auditores protegen a los inversores y promueven el interés público mediante la preparación de informes de auditoría informativos, precisos e independientes. Por lo tanto, el informe del auditor es un medio fundamental de comunicación con los inversores, y los auditores deben considerar los diferentes mecanismos dentro del informe del auditor para comunicarse con los inversores. En una auditoría integrada, la obligación de informar del auditor incluye expresar una opinión adversa sobre el CIIF del emisor si existen deficiencias que, individualmente o en combinación, resultan en una o más debilidades materiales, incluidas aquellas que resultan de deficiencias de control a nivel de entidad. Si, a través del proceso de evaluación de riesgos del auditor, se determina que un riesgo comercial representa un riesgo de incorrección material en los estados financieros que se analiza con el comité de auditoría, estos asuntos pueden cumplir con la definición de un asunto crítico de auditoría y requerir comunicación a los inversores dentro del informe del auditor. Aunque no es obligatorio, recordamos a los auditores que pueden utilizar un “párrafo de énfasis” para resaltar cualquier asunto relacionado con los estados financieros y las revelaciones, que podrían incluir asuntos relacionados con los objetivos, estrategias y riesgos comerciales relacionados de un emisor, como se discutió anteriormente.
Conclusión
Hay un acuerdo básico en nuestros mercados de capital: los inversores pueden decidir qué riesgos desean asumir, mientras que las empresas que recaudan dinero del público tienen la obligación de compartir información con los inversores sobre una base regular. La presentación de informes oportunos y transparentes por parte de la administración y los informes informativos, precisos e independientes de los auditores son componentes críticos del sistema que ayudan a las empresas a cumplir su parte del trato: su compromiso de proporcionar información financiera de alta calidad e información sobre la efectividad de su SCIIF. a los inversores. Cuando los riesgos comerciales cambian, un proceso de evaluación de riesgos sólido e iterativo y controles sólidos a nivel de entidad y proceso son esenciales para la presentación de informes financieros transparentes y de alta calidad. Los auditores, en su función de guardianes públicos, sirven como control independiente del desempeño de la administración en estas funciones críticas y deben comunicarse de manera transparente con los inversionistas de acuerdo con los estándares de la PCAOB.