En la auditoría financiera de empresas públicas en los Estados Unidos, la evaluación de riesgos descendente SOX 404 (TDRA, por sus siglas en inglés) es una evaluación de riesgos financieros realizada para cumplir con la Sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX 404). Según SOX 404, la gerencia debe probar sus controles internos ; una TDRA se utiliza para determinar el alcance de dicha prueba. También es utilizada por el auditor externo para emitir una opinión formal sobre los controles internos de la empresa. Sin embargo, como resultado de la aprobación de la Norma de Auditoría N.º 5, que la SEC ha aprobado desde entonces, los auditores externos ya no están obligados a proporcionar una opinión sobre la evaluación de la gerencia de sus propios controles internos.
La Norma de Auditoría N.º 5 del PCAOB (Versión 2007-005 "Una auditoría del control interno sobre la presentación de informes financieros que se integra con una auditoría de estados financieros") [1] y la guía interpretativa de la SEC (Versión 33-8810/34-55929) "Informe de la gerencia sobre el control interno sobre la presentación de informes financieros" incluyen una guía detallada sobre cómo realizar la TDRA. [2] [3] Esta guía es aplicable para las evaluaciones de 2007 para empresas con cierre de ejercicio fiscal el 31 de diciembre . La publicación del PCAOB reemplazó la Norma de Auditoría N.º 2 del PCAOB existente, mientras que la guía de la SEC es la primera guía detallada específicamente para la gerencia. El PCAOB reorganizó las normas de auditoría a partir del 31 de diciembre de 2017, con la guía SOX relevante ahora incluida en AS2201: Una auditoría del control interno sobre la presentación de informes financieros que se integra con una auditoría de estados financieros . [4]
El lenguaje utilizado por el presidente de la SEC al anunciar la nueva guía fue muy directo: "El Congreso nunca tuvo la intención de que el proceso 404 se volviera inflexible, oneroso y derrochador. El objetivo de la Sección 404 es proporcionar información significativa a los inversores sobre la eficacia de los sistemas de control interno de una empresa, sin crear cargas de cumplimiento innecesarias ni desperdiciar los recursos de los accionistas ". [5] Basándose en la guía de 2007, la SEC y el PCAOB ordenaron una reducción significativa de los costos asociados con el cumplimiento de SOX 404, centrando los esfuerzos en las áreas de mayor riesgo y reduciendo los esfuerzos en las áreas de menor riesgo.
La TDRA es un marco jerárquico que implica la aplicación de factores de riesgo específicos para determinar el alcance y la evidencia requerida en la evaluación del control interno. Tanto la guía del PCAOB como la de la SEC contienen marcos similares. En cada paso, se utilizan factores de riesgo cualitativos o cuantitativos para enfocar el alcance de la evaluación SOX404 y determinar la evidencia requerida. Los pasos clave incluyen:
La administración debe documentar cómo ha interpretado y aplicado su TDRA para determinar el alcance de los controles probados. Además, la suficiencia de la evidencia requerida (es decir, el momento, la naturaleza y el alcance de las pruebas de control) se basa en la TDRA de la administración (y del auditor). Como tal, la TDRA tiene implicancias significativas en términos de costos de cumplimiento para SOX404.
La guía se basa en principios, lo que proporciona una flexibilidad significativa en el enfoque de TDRA. Hay dos pasos principales: 1) Determinar el alcance de los controles que se incluirán en las pruebas; y 2) Determinar la naturaleza, el momento y el alcance de los procedimientos de prueba que se realizarán.
El principio clave de la SEC relacionado con el establecimiento del alcance de los controles para las pruebas puede enunciarse de la siguiente manera: "Concéntrese en los controles que aborden adecuadamente el riesgo de inexactitud material". Esto implica los siguientes pasos:
Según la guía de la norma AS 5 del PCAOB, el auditor debe determinar si una cuenta es "significativa" o no (es decir, sí o no), basándose en una serie de factores de riesgo relacionados con la probabilidad de error en los estados financieros y la magnitud (valor en dólares) de la cuenta. Las cuentas y revelaciones significativas están dentro del alcance de la evaluación, por lo que la administración generalmente incluye esta información en su documentación y generalmente realiza este análisis para que el auditor la revise. Esta documentación puede denominarse en la práctica "análisis de cuentas significativas". Las cuentas con saldos grandes generalmente se presumen significativas (es decir, dentro del alcance) y requieren algún tipo de prueba.
La nueva orientación de la SEC incluye el concepto de clasificar también cada cuenta significativa en función del "riesgo de inexactitud" (bajo, medio o alto), basándose en factores similares utilizados para determinar la importancia. La clasificación del riesgo de inexactitud es un factor clave utilizado para determinar la naturaleza, el momento y el alcance de la evidencia que se debe obtener. A medida que aumenta el riesgo, aumenta la suficiencia esperada de la evidencia de prueba acumulada para los controles relacionados con las cuentas significativas (consulte la sección a continuación sobre las decisiones sobre pruebas y evidencia).
Tanto el riesgo de significancia como el de incorrección son conceptos de riesgo inherentes, lo que significa que las conclusiones respecto de qué cuentas están dentro del alcance se determinan antes de considerar la eficacia de los controles.
Los objetivos ayudan a establecer el contexto y los límites en los que se lleva a cabo la evaluación de riesgos. El Marco Integrado de Control Interno COSO , una norma de control interno ampliamente utilizada para el cumplimiento de la SOX, establece: "Una condición previa para la evaluación de riesgos es el establecimiento de objetivos..." y "La evaluación de riesgos es la identificación y el análisis de los riesgos relevantes para el logro de los objetivos". La guía SOX establece varios niveles jerárquicos en los que se puede realizar la evaluación de riesgos, como entidad, cuenta, afirmación, proceso y clase de transacción. Los objetivos, riesgos y controles se pueden analizar en cada uno de estos niveles. El concepto de una evaluación de riesgos de arriba hacia abajo significa considerar primero los niveles superiores del marco, para filtrar de la consideración la mayor parte posible de la actividad de evaluación de nivel inferior.
Existen muchos enfoques para la evaluación de riesgos de arriba hacia abajo. La gerencia puede documentar explícitamente los objetivos de control o utilizar textos y otras referencias para garantizar que la documentación de la declaración de riesgos y de la declaración de control esté completa. Existen dos niveles principales en los que se definen los objetivos (y también los controles): nivel de entidad y nivel de afirmación .
Un ejemplo de un objetivo de control a nivel de entidad es: "Los empleados conocen el Código de Conducta de la Compañía". El Marco COSO 1992-1994 define cada uno de los cinco componentes del control interno (es decir, Entorno de Control, Evaluación de Riesgos, Información y Comunicación, Monitoreo y Actividades de Control). Las sugerencias de evaluación se incluyen al final de los capítulos clave de COSO y en el volumen "Herramientas de Evaluación"; estas pueden modificarse para convertirse en declaraciones de objetivos.
Un ejemplo de un objetivo de control a nivel de aseveración es "Los ingresos se reconocen sólo tras el cumplimiento de una obligación de desempeño". En la mayoría de los libros de texto de auditoría financiera se encuentran listas de objetivos de control a nivel de aseveración. También se encuentran excelentes ejemplos en la Declaración sobre Normas de Auditoría N.º 110 (SAS 110) [6] del AICPA para el proceso de inventario. La SAS 106 incluye la guía más reciente sobre aseveraciones en los estados financieros. [7]
Los objetivos de control pueden organizarse dentro de procesos, para ayudar a organizar la documentación, la propiedad y el enfoque TDRA. Los procesos financieros típicos incluyen gastos y cuentas por pagar (de compra a pago), nómina, ingresos y cuentas por cobrar (de pedido a cobro), activos de capital, etc. Así es como la mayoría de los libros de texto de auditoría organizan los objetivos de control. Los procesos también pueden clasificarse en función de los riesgos.
En 2013, COSO publicó una guía revisada que entró en vigor para las empresas con fecha de cierre de ejercicio posterior al 15 de diciembre de 2014. Básicamente, esto exige que las declaraciones de control se refieran a 17 "principios" bajo los cinco "componentes" de COSO. Hay aproximadamente 80 "puntos de enfoque" que se pueden evaluar específicamente en relación con los controles de la empresa, para formar una conclusión sobre los 17 principios (es decir, cada principio tiene varios puntos de enfoque relevantes). La mayoría de los principios y puntos de enfoque se relacionan con los controles a nivel de entidad. A junio de 2013, los enfoques utilizados en la práctica se encontraban en las primeras etapas de desarrollo. [8] Un enfoque sería agregar los principios y puntos de enfoque como criterios dentro de una base de datos y hacer referencia a cada uno de ellos a los controles relevantes que los abordan.
Una definición de riesgo es cualquier cosa que pueda interferir con el logro de un objetivo. Una declaración de riesgo es una expresión de "lo que puede salir mal". Según la guía de 2007 (es decir, la guía interpretativa de la SEC y la norma AS5 del PCAOB), aquellos riesgos que inherentemente tienen una probabilidad "razonablemente posible" de causar un error material en el saldo de la cuenta o la divulgación son los riesgos de inexactitud material ("MMR"). Tenga en cuenta que se trata de una ligera modificación del lenguaje de probabilidad "más que remota" de la norma AS2 del PCAOB, destinada a limitar el alcance a menos riesgos materiales más críticos y controles relacionados.
Un ejemplo de una declaración de riesgo correspondiente al objetivo de control del nivel de afirmación anterior podría ser: "El riesgo de que se reconozcan ingresos antes de la entrega de productos y servicios". Tenga en cuenta que esto se lee de manera muy similar al objetivo de control, solo que se enuncia en forma negativa.
La gerencia desarrolla una lista de MMR, vinculada a las cuentas específicas y/o los objetivos de control desarrollados anteriormente. MMR puede identificarse al hacer la pregunta: "¿Qué puede salir mal en relación con la cuenta, la afirmación o el objetivo?". MMR puede surgir dentro de la función contable (por ejemplo, con respecto a estimaciones, juicios y decisiones de política) o en el entorno interno y externo (por ejemplo, departamentos corporativos que alimentan al departamento de contabilidad con información, variables económicas y del mercado de valores, etc.). Las interfaces de comunicación, los cambios (de personas, procesos o sistemas), la vulnerabilidad al fraude, la anulación de los controles por parte de la gerencia, la estructura de incentivos, las transacciones complejas y el grado de juicio o intervención humana involucrado en el procesamiento son otros temas de alto riesgo.
En general, la gerencia considera cuestiones como: ¿Qué es realmente difícil de hacer bien? ¿Qué problemas contables hemos tenido en el pasado? ¿Qué ha cambiado? ¿Quién podría ser capaz o estar motivado para cometer fraude o información financiera fraudulenta? Como un alto porcentaje de fraudes financieros históricamente han involucrado la sobreestimación de ingresos, dichas cuentas generalmente merecen una atención adicional. La Declaración sobre Normas de Auditoría N.° 109 del AICPA (SAS 109) [9] también proporciona una guía útil sobre la evaluación del riesgo financiero .
Según las directrices de 2007, las empresas deben realizar una evaluación del riesgo de fraude y evaluar los controles relacionados. Esto normalmente implica identificar escenarios en los que podrían producirse robos o pérdidas y determinar si los procedimientos de control existentes gestionan eficazmente el riesgo hasta un nivel aceptable. [10] El riesgo de que la alta dirección pueda pasar por alto importantes controles financieros para manipular los informes financieros también es un área clave en la que se centra la evaluación del riesgo de fraude. [11]
En la práctica, muchas empresas combinan las declaraciones de objetivos y riesgos al describir la MMR. Estas declaraciones de MMR sirven como objetivo, centrando los esfuerzos en identificar controles de mitigación .
Para cada MMR, la administración determina qué control (o controles) abordan el riesgo de manera "suficiente" y "precisa" (PCAOB AS#5) o "eficaz" (SEC Guidance) suficiente para mitigarlo. La palabra "mitigar" en este contexto significa que el control (o controles) reduce la probabilidad de error material presentada por el MMR a una probabilidad "remota". Este nivel de seguridad es necesario porque una debilidad material debe revelarse si existe una posibilidad "razonablemente posible" o "probable" de una declaración errónea material de una cuenta significativa. Aunque múltiples controles pueden tener incidencia en el riesgo, solo aquellos que lo abordan según la definición anterior se incluyen en la evaluación. En la práctica, estos se denominan controles "dentro del alcance" o "clave" que requieren prueba.
La Guía de la SEC define los términos de probabilidad de la siguiente manera, según FAS5 Contabilidad para pasivos contingentes :
El criterio suele ser la mejor guía para seleccionar los controles más importantes en relación con un riesgo particular para la prueba. La norma AS5 de la PCAOB introduce un marco de tres niveles que describe los controles a nivel de entidad con distintos niveles de precisión (directo, de seguimiento e indirecto). En la práctica, la precisión de los controles por tipo de control, en orden de mayor a menor precisión, puede interpretarse como:
Cada vez es más difícil argumentar que la confianza en los controles es razonable para lograr objetivos a nivel de aserción a medida que se avanza por este continuo desde el más preciso al menos, y a medida que aumenta el riesgo. Una combinación de los controles de tipo 3 a 6 anteriores puede ayudar a reducir la cantidad de controles de tipo 1 y 2 (a nivel de transacción) que requieren evaluación para riesgos particulares, especialmente en procesos de menor riesgo y con gran intensidad de transacciones.
De acuerdo con las directrices de 2007, parece aceptable confiar mucho más que en el pasado en los controles de fin de período (es decir, revisión de asientos contables y conciliaciones de cuentas) y en los controles de revisión de la administración, abordando eficazmente muchos de los riesgos de inexactitud material y permitiendo: a) la eliminación de un número significativo de controles transaccionales del alcance de las pruebas del año anterior; o b) la reducción de la evidencia relacionada obtenida. El número de controles a nivel de transacción puede reducirse significativamente, en particular para las cuentas de menor riesgo.
El principio clave de la SEC en relación con las decisiones sobre la evidencia se puede resumir de la siguiente manera: "Alinear la naturaleza, el momento y el alcance de los procedimientos de evaluación con aquellas áreas que plantean los mayores riesgos para la información financiera confiable". La SEC ha indicado que la suficiencia de la evidencia requerida para respaldar la evaluación de MMR específico debe basarse en dos factores: a) Riesgo de inexactitud de elementos financieros ("Riesgo de inexactitud") y b) Riesgo de falla de control. Estos dos conceptos juntos (los riesgos relacionados con la cuenta o la divulgación y los riesgos relacionados con el control) se denominan "riesgo de control interno sobre la información financiera" o riesgo "ICFR". Se incluyó un diagrama en la guía (que se muestra en esta sección) para ilustrar este concepto; es el único diagrama de este tipo, lo que indica el énfasis que le da la SEC. El riesgo ICFR debe asociarse con los controles dentro del alcance identificados anteriormente y puede ser parte de ese análisis. Esto implica los siguientes pasos:
La administración asignó una clasificación de riesgo de inexactitud (alta, media o baja) para cada cuenta y revelación significativa como parte de la evaluación del alcance anterior. La clasificación baja, media o alta evaluada también debe estar asociada con las declaraciones de riesgo y las declaraciones de control relacionadas con la cuenta. Una forma de lograr esto es incluir la clasificación dentro de la documentación de declaraciones de riesgo y control de la empresa. Muchas empresas utilizan bases de datos para este propósito, creando campos de datos dentro de su documentación de riesgo y control para capturar esta información.
El CFR se aplica a nivel de control individual, en función de factores incluidos en la guía relacionados con la complejidad del procesamiento, la naturaleza manual o automatizada del control, el criterio involucrado, etc. La gerencia se pregunta fundamentalmente: "¿Qué tan difícil es ejecutar este control correctamente todas y cada una de las veces?"
Una vez definidos el riesgo de error contable y el riesgo de incumplimiento, la administración puede llegar a una conclusión sobre el riesgo de ICFR (bajo, medio o alto) para el control. El ICFR es el concepto de riesgo clave que se utiliza en las decisiones sobre evidencia.
La calificación ICFR se captura para cada declaración de control. Las empresas más grandes suelen tener cientos de cuentas importantes, declaraciones de riesgo y declaraciones de control. Estas tienen una relación de "muchos a muchos", lo que significa que los riesgos pueden aplicarse a múltiples cuentas y los controles pueden aplicarse a múltiples riesgos.
La guía proporciona flexibilidad en cuanto al momento, la naturaleza y el alcance de la evidencia en función de la interacción del riesgo de inexactitud y el riesgo de falla de control (en conjunto, el riesgo ICFR). Estos dos factores deben utilizarse para actualizar la "Guía de muestreo y evidencia" que utilizan la mayoría de las empresas. A medida que aumentan estos dos factores de riesgo, aumenta la suficiencia de la evidencia necesaria para abordar cada MMR.
La administración tiene una flexibilidad significativa respecto de las siguientes consideraciones sobre pruebas y evidencias, en el contexto del riesgo ICFR relacionado con un control determinado:
Los factores generalizados que también afectan las consideraciones de evidencia anteriores incluyen:
La dirección tiene una gran discreción a la hora de decidir quién realiza las pruebas. La guía de la SEC indica que la objetividad de la persona que prueba un control determinado debe aumentar proporcionalmente al riesgo ICFR relacionado con ese control. Por lo tanto, técnicas como la autoevaluación son adecuadas para áreas de menor riesgo, mientras que los auditores internos (o su equivalente) generalmente deben probar las áreas de mayor riesgo. Una técnica intermedia en la práctica es el "control de calidad", en el que el gerente A prueba el trabajo del gerente B, y viceversa.
La capacidad de los auditores externos para confiar en las pruebas de la dirección sigue una lógica similar. La confianza es proporcional a la competencia y objetividad de la persona de la dirección que realizó las pruebas, también en el contexto del riesgo. Para las áreas de mayor riesgo, como el entorno de control y el proceso de presentación de informes de fin de período, los auditores internos o los equipos de cumplimiento son probablemente las mejores opciones para realizar las pruebas, si se espera un grado significativo de confianza por parte del auditor externo. La capacidad del auditor externo para confiar en la evaluación de la dirección es un factor de costo importante en el cumplimiento.
Existen diversas oportunidades específicas para lograr que la evaluación SOX 404 sea lo más eficiente posible. [13] [14] Algunas son de naturaleza más a largo plazo (como la centralización y automatización del procesamiento), mientras que otras pueden implementarse fácilmente. La interacción frecuente entre la gerencia y el auditor externo es esencial para determinar qué estrategias de eficiencia serán efectivas en las circunstancias particulares de cada empresa y en qué medida es adecuada la reducción del alcance del control.
Centralizar: el uso de un modelo de servicio compartido en áreas de riesgo clave permite tratar varias ubicaciones como una sola para fines de prueba. Los modelos de servicio compartido se utilizan normalmente para procesos de nóminas y cuentas por pagar, pero se pueden aplicar a muchos tipos de procesamiento de transacciones. Según una encuesta reciente de Finance Executives International, las empresas descentralizadas tenían costos de cumplimiento de SOX considerablemente más altos que las empresas centralizadas. [15]
Automatizar y realizar evaluaciones comparativas: los controles de aplicaciones de TI totalmente automatizados clave tienen requisitos de tamaño de muestra mínimos (normalmente uno, en lugar de hasta 30 para los controles manuales) y es posible que no sea necesario probarlos directamente en absoluto según el concepto de evaluación comparativa. La evaluación comparativa permite excluir de las pruebas los controles de aplicaciones de TI totalmente automatizados si ciertos controles de gestión de cambios de TI son eficaces. Por ejemplo, muchas empresas dependen en gran medida de interfaces manuales entre sistemas, con hojas de cálculo creadas para descargar y cargar asientos de diario manuales. Algunas empresas procesan miles de esos asientos cada mes. Al automatizar los asientos de diario manuales, se pueden reducir drásticamente los costos de mano de obra y de evaluación SOX. Además, se mejora la fiabilidad de los estados financieros.
Revisar el enfoque y la documentación de las pruebas: Muchas empresas o firmas de auditoría externa intentaron por error imponer marcos genéricos sobre procesos únicos a nivel de transacción o en diferentes ubicaciones. Por ejemplo, la mayoría de los elementos del marco COSO representan controles indirectos a nivel de entidad, que deben probarse por separado de los procesos transaccionales. Además, los controles de seguridad de TI (un subconjunto de ITGC) y los controles de servicios compartidos pueden ubicarse en una documentación de procesos separada, lo que permite una asignación más eficiente de la responsabilidad de las pruebas y elimina la redundancia entre ubicaciones. Probar los asientos clave y las conciliaciones de cuentas como esfuerzos separados permite brindar mayor eficiencia y concentración a estos controles críticos.
Depender de los controles directos a nivel de entidad: la guía hace hincapié en la identificación de los controles directos a nivel de entidad, en particular el proceso de cierre del período y determinados controles de seguimiento, que son lo suficientemente precisos como para eliminar del alcance los controles a nivel de aserción (transaccionales). La clave es determinar qué combinación de controles a nivel de entidad y a nivel de aserción abordan una MMR particular.
Minimizar las pruebas de seguimiento: la nueva guía ofrece más flexibilidad a la dirección para ampliar la fecha de entrada en vigor de las pruebas realizadas durante los períodos intermedios de mitad de año hasta la fecha de cierre del ejercicio. Solo los controles de mayor riesgo probablemente requerirán pruebas de seguimiento según la nueva guía. La norma AS5 del PCAOB indica que los procedimientos de consulta, en relación con si se produjeron cambios en el proceso de control entre el período intermedio y el de cierre del ejercicio, pueden ser suficientes en muchos casos para limitar las pruebas de seguimiento.
Revisar el alcance de las ubicaciones o unidades de negocios evaluadas: Esta es un área compleja que requiere un juicio y un análisis sustanciales. La guía de 2007 se centró en MMR específicos, en lugar de la magnitud en dólares, para determinar el alcance y la suficiencia de la evidencia que se debe obtener en las unidades descentralizadas. La interpretación (común en la guía anterior a 2007) de que una unidad o un grupo de unidades era material y, por lo tanto, una gran cantidad de controles en múltiples procesos requieren pruebas independientemente del riesgo, ha sido reemplazada. Cuando los saldos de las cuentas de unidades individuales o grupos de unidades similares son una parte material del saldo de la cuenta consolidada, la administración debe considerar cuidadosamente si puede existir MMR en una unidad en particular. Luego, se deben realizar pruebas centradas solo en los controles relacionados con el MMR. También se deben considerar los controles de monitoreo, como las reuniones de revisión de desempeño detalladas con paquetes de informes sólidos, para limitar las pruebas específicas de las transacciones.
Pruebas de control general de TI (ITGC): las ITGC no están incluidas en la definición de controles a nivel de entidad según la guía de la SEC o la PCAOB. Por lo tanto, las pruebas de ITGC deben realizarse en la medida en que aborden MMR específicos. Por naturaleza, las ITGC permiten a la gerencia confiar en controles de aplicaciones completamente automatizados (es decir, aquellos que funcionan sin intervención humana) y controles dependientes de TI (es decir, aquellos que involucran la revisión de informes generados automáticamente). Las pruebas de ITGC enfocadas son necesarias para respaldar los objetivos de control o las afirmaciones de que los controles completamente automatizados no se han modificado sin autorización y que los informes de control generados son precisos y completos. Por lo tanto, las áreas de enfoque clave de ITGC que probablemente sean críticas incluyen: procedimientos de gestión de cambios aplicados a implementaciones de sistemas financieros específicos durante el período; procedimientos de gestión de cambios suficientes para respaldar una estrategia de evaluación comparativa; y monitoreo periódico de la seguridad de la aplicación, incluida la separación de funciones.
El PCAOB emite periódicamente "Alertas de Práctica de Auditoría del Personal" (SAPA, por sus siglas en inglés) que "destacan circunstancias nuevas, emergentes o dignas de mención que pueden afectar la forma en que los auditores realizan auditorías de conformidad con los requisitos existentes de las normas...". En el documento SAPA #11 Consideraciones para las auditorías del control interno sobre la información financiera (24 de octubre de 2013), el PCAOB analizó cuestiones importantes de la práctica de auditoría relacionadas con la evaluación del ICFR. Entre ellas se incluyen las siguientes:
La norma SAPA #11 puede traducirse en más trabajo para los equipos de gestión, a los que los auditores pueden exigirles que conserven pruebas de que estos informes y consultas eran precisos y completos. Además, es posible que se les pida a los equipos de gestión que conserven pruebas adicionales de la investigación cuando los montos de los informes de control de detección contengan transacciones o tendencias fuera de los rangos de tolerancia predefinidos.