Los procesos de evaluación de riesgos de la administración y los auditores son críticos para las decisiones relativas a la información financiera y la eficacia del control interno sobre la información financiera (CIIF). En consecuencia, nos preocupan los casos en los que la administración y los auditores parecen demasiado centrados en la información y los riesgos que impactan directamente los informes financieros, mientras ignoran cuestiones más amplias a nivel de entidad que también pueden afectar los informes financieros y los controles internos. [2] Un enfoque tan estrecho es perjudicial para los inversores, ya que puede dar lugar a que riesgos materiales para el negocio no se aborden ni se divulguen, disminuyendo así la calidad de la información financiera.
Los problemas que también pueden afectar los informes financieros y los controles internos a menudo se presentan como incidentes aislados en un emisor; por ejemplo, una filtración de datos en un sistema que no forma parte del SCIIF, un hallazgo regulatorio repetido relacionado con informes no financieros clasificado como de menor riesgo, un error en los estados financieros determinado como una re-expresión de revisión ( es decir , “pequeña r”), o un incumplimiento del límite de riesgo de contraparte. Algunas gerencias y ciertos auditores pueden estar inadvertidamente sesgados hacia la evaluación de cada uno de estos incidentes individualmente o racionalizar para descartar evidencia potencialmente disconforme, y concluir que estos asuntos, individualmente o en conjunto, no alcanzan el nivel de divulgación de la gerencia o requisitos de comunicación del auditor. [3]
Esta declaración analiza la obligación de la administración de (1) adoptar un enfoque holístico al evaluar la información sobre el negocio y evitar el posible sesgo hacia la evaluación de los problemas como incidentes aislados, con el fin de identificar oportunamente los riesgos, incluidos los riesgos a nivel de entidad; (2) diseñar procesos y controles que respondan a los riesgos identificados; e (3) identificar eficazmente la información que los emisores deben comunicar a los inversores. También discutimos las responsabilidades de los auditores como guardianes para responsabilizar a la administración por el interés público.