Saltar al contenido

El PCAOB ve preocupaciones persistentes sobre las auditorías y la ciberseguridad

El reciente ciclo de inspección de 2016 de la Junta de Supervisión de la Contabilidad de las Empresas Públicas (PCAOB) ha generado un informe lleno de preocupaciones persistentes que incluyen las deficiencias de auditoría que se observan con frecuencia, la evolución del área de riesgo de la ciberseguridad y la independencia de los auditores.

Las tres deficiencias que se observan con más frecuencia son la evaluación y la respuesta a los riesgos de declaraciones erróneas importantes, la auditoría del control interno de la presentación de informes financieros y la auditoría de las estimaciones contables.

El PCAOB ve preocupaciones persistentes sobre las auditorías y la ciberseguridad
El PCAOB ve preocupaciones persistentes sobre las auditorías y la ciberseguridad

Desafíos y riesgos

Los inspectores examinaron más de 780 auditorías de emisores en 2016 y el control de calidad de más de 190 empresas. Se centraron en las esferas que con mayor frecuencia presentan desafíos y una buena dosis de riesgo, como la de las declaraciones erróneas importantes en los estados financieros y las deficiencias recurrentes dentro de las empresas y entre ellas.

Según el informe, un número importante de auditorías que se inspeccionaron fueron auditorías multinacionales realizadas por auditores ubicados en los Estados Unidos e internacionalmente.

Menos comunes que las tres áreas de deficiencia más frecuentes -pero aún así notables- fueron las áreas de auditoría afectadas por riesgos económicos, las auditorías multinacionales y el control de calidad.

Tecnología de la información/seguridad cibernética

Según el informe, la mayoría de los instrumentos de auditoría de programas informáticos se están utilizando para procedimientos de auditoría sustantivos. Algunas empresas han desarrollado sus propios instrumentos o han personalizado los que adquirieron. Algunos instrumentos se utilizan también para la evaluación de los riesgos.

Las empresas que han tenido lo que el informe denomina “un incidente de seguridad cibernética”, cuyos informes fueron inspeccionados en 2016, aparentemente no estaban asociadas con el riesgo de errores materiales en los estados financieros -incluida la divulgación de información- o con deficiencias materiales en el control interno.

No obstante, los inspectores creen que la seguridad cibernética es “un área de riesgo en evolución” que necesita un escrutinio continuo, según el informe. Una consideración clave es si los riesgos de la seguridad cibernética podrían aumentar el riesgo de errores materiales y si las empresas deberían cambiar su proceso de auditoría. Ello podría incluir el ensayo de los controles generales de su sistema de tecnología de la información.

Independencia del auditor

Los inspectores siguen encontrando problemas con los auditores que no cumplen las normas y reglamentos del PCAOB y de la Comisión de Valores y Bolsa (SEC) que exigen la independencia de los clientes durante el período de auditoría y de contratación profesional.

Las infracciones de cumplimiento incluyen:

  • La aplicación incorrecta por parte de los auditores de la Regla 2-01(d) de la Regulación S-X de la SEC y la conclusión errónea de que la falta de independencia no ha perjudicado la independencia de la empresa.
  • Comunicación inadecuada al comité de auditoría sobre el alcance de la consultoría fiscal y el efecto potencial de esos servicios en la independencia de la empresa.
  • Acuerdos entre el cliente y el auditor en los que el cliente acepta indemnizar al auditor por la responsabilidad o los gastos derivados del contrato.
  • Servicios no permitidos que no sean de auditoría que se presten durante el período de auditoría, incluidas las tareas de contabilidad y gestión, pero antes de la contratación del auditor.
  • Los auditores que no informaron al comité de auditoría sobre la independencia.

Además, los inspectores encontraron casos en los que los auditores no tenían reservas para ser examinadores de calidad de contratación porque habían sido socios de contratación durante cualquiera de las dos auditorías antes de la auditoría que se está examinando actualmente.

Entonces, ¿cuál es el resultado? Más diligencia debida.

Las empresas deben evaluar su proceso de control de calidad y su eficacia, y los análisis de “causa raíz” de las deficiencias pueden ayudar a remediar los problemas sistémicos, según el informe.

De hecho, varias empresas están trabajando en la elaboración de análisis de las causas fundamentales y han cuestionado sus evaluaciones previas de las causas de las deficiencias de las auditorías.

“Las empresas deben evaluar si los auditores tienen una comprensión suficiente de las normas del PCAOB en estas áreas de deficiencias recurrentes, si la dirección del equipo de contratación está proporcionando una supervisión apropiada del trabajo de auditoría realizado por el personal menos experimentado, y si [los revisores de calidad de la contratación] han evaluado los juicios significativos realizados por el equipo de auditoría y las conclusiones relacionadas a las que se ha llegado para formar la conclusión general de la auditoría y preparar el informe”, afirma el informe.