Evaluación de riesgos de arriba hacia abajo SOX 404 - SOX 404 top–down risk assessment

Parte de una serie sobre
Contabilidad
Costo histórico Poder adquisitivo constante Gestión Impuesto
Tipos principales Auditoría Presupuesto Costo Forense Financiero Fondo Gubernamental Gestión Social Impuesto
Conceptos clave Período contable Devengo Poder adquisitivo constante Entidad económica Valor razonable Preocupación continua Costo histórico Principio de congruencia Materialidad Reconocimiento de ingresos Unidad de cuenta
Cuentas seleccionadas Activos Dinero en efectivo Costo de los bienes vendidos Depreciación  / Amortización Capital Gastos Buena voluntad Pasivo Lucro Ingresos
Normas de contabilidad Principios generalmente aceptados Normas de auditoría generalmente aceptadas Convergencia normas internacionales de INFORMACION FINANCIERA Normas internacionales de auditoría Principios de contabilidad de gestión
Estados financieros Reporte anual Hoja de balance Flujo de fondos Capital Ingreso Discusión de gestión Notas a los Estados Financieros
Teneduría de libros Conciliación bancaria Débitos y créditos Sistema de Entrada doble FIFO y LIFO diario Libro mayor  / Libro mayor Cuentas T Balance de prueba
Revisión de cuentas Financiero Interno Firmas Informe
Personas y organizaciones Contadores Organizaciones contables Luca Pacioli
Desarrollo Historia Investigar Contabilidad positiva Sarbanes-Oxley
Mala conducta Creativo Gestión de ingresos Cuenta de error Hollywood Fuera de balance Dos juegos de libros
v t mi

En la auditoría financiera de empresas públicas en los Estados Unidos, la evaluación de riesgo de arriba hacia abajo SOX 404 (TDRA) es una evaluación de riesgo financiero realizada para cumplir con la Sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX 404). Bajo SOX 404, la gerencia debe probar sus controles internos ; se utiliza una TDRA para determinar el alcance de dichas pruebas. También es utilizado por el auditor externo para emitir una opinión formal sobre los controles internos de la empresa. Sin embargo, como resultado de la aprobación del Estándar de Auditoría No. 5, que la SEC ha aprobado desde entonces, los auditores externos ya no están obligados a emitir una opinión sobre la evaluación de la administración de sus propios controles internos.

La guía detallada sobre cómo realizar la TDRA se incluye con el Estándar de Auditoría No. 5 de la PCAOB (Versión 2007-005 "Una auditoría de control interno sobre los informes financieros que se integra con una auditoría de estados financieros") y la guía interpretativa de la SEC (Versión 33-8810 / 34-55929) "Informe de Gestión sobre Control Interno de la Información Financiera". Esta guía es aplicable para las evaluaciones de 2007 para empresas con fines de año fiscal 31/12. La publicación de la PCAOB reemplazó al Estándar de Auditoría N ° 2 de la PCAOB existente, mientras que la guía de la SEC es la primera guía detallada para la administración específicamente. La PCAOB reorganizó las normas de auditoría al 31 de diciembre de 2017, con la orientación SOX relevante ahora incluida en AS2201: Una auditoría de control interno sobre la información financiera que se integra con una auditoría de estados financieros .

El lenguaje utilizado por el presidente de la SEC al anunciar la nueva guía fue muy directo: "El Congreso nunca tuvo la intención de que el proceso 404 se volviera inflexible, oneroso y derrochador. El objetivo de la Sección 404 es proporcionar información significativa a los inversores sobre la eficacia de una sistemas de control interno de la empresa, sin crear cargas de cumplimiento innecesarias ni desperdiciar recursos para los accionistas ". Con base en la guía de 2007, SEC y PCAOB dirigieron una reducción significativa en los costos asociados con el cumplimiento de SOX 404, al concentrar los esfuerzos en áreas de mayor riesgo y reducir los esfuerzos en áreas de menor riesgo.

TDRA es un marco jerárquico que implica la aplicación de factores de riesgo específicos para determinar el alcance y la evidencia requerida en la evaluación del control interno. Tanto la guía de la PCAOB como la de la SEC contienen marcos similares. En cada paso, se utilizan factores de riesgo cualitativos o cuantitativos para enfocar el alcance del esfuerzo de evaluación SOX404 y determinar la evidencia requerida. Los pasos clave incluyen:

1. Identificar los elementos importantes de la información financiera (cuentas o divulgaciones).
2. Identificar los riesgos materiales de los estados financieros dentro de estas cuentas o revelaciones.
3. Determinar qué controles a nivel de entidad abordarían estos riesgos con suficiente precisión.
4. determinar qué controles a nivel de transacción abordarían estos riesgos en ausencia de controles precisos a nivel de entidad
5. determinar la naturaleza, extensión y oportunidad de la evidencia recopilada para completar la evaluación de los controles dentro del alcance

La gerencia debe documentar cómo ha interpretado y aplicado su TDRA para llegar al alcance de los controles probados. Además, la suficiencia de la evidencia requerida (es decir, el momento, la naturaleza y el alcance de las pruebas de control) se basa en la TDRA de la administración (y del auditor). Como tal, TDRA tiene implicaciones de costos de cumplimiento significativas para SOX404.

Método

La guía se basa en principios, lo que proporciona una flexibilidad significativa en el enfoque TDRA. Hay dos pasos principales: 1) Determinar el alcance de los controles para incluir en las pruebas; y 2) Determinar la naturaleza, oportunidad y alcance de los procedimientos de prueba a realizar.

Determinando el alcance

El principio clave de la SEC relacionado con el establecimiento del alcance de los controles para las pruebas puede establecerse de la siguiente manera: "Enfoque en los controles que abordan adecuadamente el riesgo de incorrección material". Esto implica los siguientes pasos:

Determinar la importancia y el riesgo de incorrección de los elementos de la información financiera (cuentas y divulgaciones).

Según la guía de la PCAOB AS 5, se requiere que el auditor determine si una cuenta es "significativa" o no (es decir, sí o no), con base en una serie de factores de riesgo relacionados con la probabilidad de error y magnitud del estado financiero (valor en dólares ) de la cuenta. Las cuentas y revelaciones importantes están dentro del alcance de la evaluación, por lo que la administración generalmente incluye esta información en su documentación y generalmente realiza este análisis para que el auditor lo revise. En la práctica, esta documentación puede denominarse "análisis de cuentas importantes". Por lo general, se presume que las cuentas con grandes saldos son significativas (es decir, que están dentro del alcance) y requieren algún tipo de prueba.

Una novedad bajo la guía de la SEC es el concepto de calificar también cada cuenta significativa por "riesgo de incorrección" (bajo, medio o alto), con base en factores similares utilizados para determinar la importancia. La clasificación del riesgo de incorrección es un factor clave que se utiliza para determinar la naturaleza, el momento y el alcance de la evidencia que se obtendrá. A medida que aumenta el riesgo, aumenta la suficiencia esperada de pruebas de pruebas acumuladas para los controles relacionados con cuentas importantes (consulte la sección siguiente sobre decisiones de pruebas y pruebas).

Tanto el riesgo de importancia como el de error son conceptos de riesgo inherentes, lo que significa que las conclusiones con respecto a qué cuentas están dentro del alcance se determinan antes de considerar la efectividad de los controles.

Identificar los objetivos de la información financiera.

Los objetivos ayudan a establecer el contexto y los límites en los que se realiza la evaluación de riesgos. El Marco Integrado de Control Interno COSO , un estándar de control interno ampliamente utilizado para el cumplimiento de SOX, establece: "Una condición previa para la evaluación de riesgos es el establecimiento de objetivos ..." y "La evaluación de riesgos es la identificación y análisis de los riesgos relevantes para el logro. de los objetivos ". La guía SOX establece varios niveles jerárquicos en los que puede ocurrir la evaluación de riesgos, como entidad, cuenta, afirmación, proceso y clase de transacción. Los objetivos, riesgos y controles pueden analizarse en cada uno de estos niveles. El concepto de una evaluación de riesgos de arriba hacia abajo significa considerar primero los niveles superiores del marco, para filtrar de la consideración la mayor parte posible de la actividad de evaluación de nivel inferior.

Hay muchos enfoques para la evaluación de riesgos de arriba hacia abajo. La gerencia puede documentar explícitamente los objetivos de control o utilizar textos y otras referencias para asegurarse de que la documentación de la declaración de riesgo y la declaración de control esté completa. Hay dos niveles primario en el que se definen los objetivos (y también controles): a nivel de entidad y afirmación nivel .

Un ejemplo de un objetivo de control a nivel de entidad es: "Los empleados conocen el Código de Conducta de la Compañía". El Marco COSO 1992/1994 define cada uno de los cinco componentes del control interno (es decir, entorno de control, evaluación de riesgos, información y comunicación, seguimiento y actividades de control). Las sugerencias de evaluación se incluyen al final de los capítulos clave de COSO y en el volumen "Herramientas de evaluación"; estos pueden modificarse en declaraciones objetivas.

Un ejemplo de un objetivo de control a nivel de aseveración es "Los ingresos se reconocen sólo cuando se satisface una obligación de desempeño". Las listas de objetivos de control a nivel de afirmación están disponibles en la mayoría de los libros de texto de auditoría financiera. También se encuentran disponibles excelentes ejemplos en la Declaración de AICPA sobre Normas de Auditoría No. 110 (SAS 110) para el proceso de inventario. SAS 106 incluye la guía más reciente sobre aseveraciones de estados financieros.

Los objetivos de control pueden organizarse dentro de los procesos, para ayudar a organizar la documentación, la propiedad y el enfoque TDRA. Los procesos financieros típicos incluyen gastos y cuentas por pagar (de compra a pago), nómina, ingresos y cuentas por cobrar (orden de cobro en efectivo), activos de capital, etc. Así es como la mayoría de los libros de texto de auditoría organizan los objetivos de control. Los procesos también se pueden clasificar por riesgo.

COSO emitió una guía revisada en 2013 efectiva para compañías con fechas de fin de año posteriores al 15 de diciembre de 2014. Esto esencialmente requiere que las declaraciones de control se hagan referencia a 17 "principios" debajo de los cinco "componentes" de COSO. Hay aproximadamente 80 "puntos de enfoque" que pueden evaluarse específicamente contra los controles de la empresa, para llegar a una conclusión sobre los 17 principios (es decir, cada principio tiene varios puntos de enfoque relevantes). La mayoría de los principios y puntos de enfoque se relacionan con los controles a nivel de entidad. En junio de 2013, los enfoques utilizados en la práctica se encontraban en las primeras etapas de desarrollo. Un enfoque sería agregar los principios y puntos de enfoque como criterios dentro de una base de datos y hacer referencia a cada uno de los controles relevantes que los abordan.

Identificar los riesgos materiales para el logro de los objetivos.

Una definición de riesgo es cualquier cosa que pueda interferir con el logro de un objetivo. Una declaración de riesgo es una expresión de "lo que puede salir mal". Según la guía de 2007 (es decir, la guía interpretativa de la SEC y la PCAOB AS5), aquellos riesgos que inherentemente tienen una probabilidad "razonablemente posible" de causar un error material en el saldo o revelación de la cuenta son los riesgos de incorrección material ("MMR"). Tenga en cuenta que esta es una pequeña enmienda al lenguaje de probabilidad "más que remota" de PCAOB AS2, con la intención de limitar el alcance a menos riesgos materiales más críticos y controles relacionados.

Un ejemplo de una declaración de riesgo correspondiente al objetivo de control del nivel de afirmación anterior podría ser: "El riesgo de que los ingresos se reconozcan antes de la entrega de productos y servicios". Tenga en cuenta que esto se lee de manera muy similar al objetivo de control, solo que se indica en forma negativa.

La gerencia desarrolla una lista de MMR, vinculada a las cuentas específicas y / o los objetivos de control desarrollados anteriormente. El MMR puede identificarse haciendo la pregunta: "¿Qué puede salir mal en relación con la cuenta, la afirmación o el objetivo?" La MMR puede surgir dentro de la función contable (por ejemplo, con respecto a estimaciones, juicios y decisiones de política) o el entorno interno y externo (por ejemplo, departamentos corporativos que alimentan la información del departamento de contabilidad, variables económicas y del mercado de valores, etc.) Interfaces de comunicación, cambios (personas, procesos o sistemas), la vulnerabilidad al fraude, la anulación de los controles por parte de la administración, la estructura de incentivos, las transacciones complejas y el grado de juicio o intervención humana involucrada en el procesamiento son otros temas de alto riesgo.

En general, la gerencia considera preguntas como: ¿Qué es realmente difícil de hacer bien? ¿Qué problemas contables hemos tenido en el pasado? ¿Que ha cambiado? ¿Quién podría ser capaz o estar motivado para cometer fraude o informes financieros fraudulentos? Dado que un alto porcentaje de los fraudes financieros históricamente han involucrado la exageración de los ingresos, estas cuentas generalmente merecen una atención adicional. La Declaración de AICPA sobre Normas de Auditoría No. 109 (SAS 109) también proporciona una guía útil con respecto a la evaluación de riesgos financieros.

Según la guía de 2007, las empresas deben realizar una evaluación del riesgo de fraude y evaluar los controles relacionados. Por lo general, esto implica identificar escenarios en los que podrían producirse robos o pérdidas y determinar si los procedimientos de control existentes gestionan eficazmente el riesgo a un nivel aceptable. El riesgo de que la alta dirección pueda invalidar controles financieros importantes para manipular la información financiera también es un área clave de enfoque en la evaluación del riesgo de fraude.

En la práctica, muchas empresas combinan las declaraciones de objetivos y riesgos al describir la MMR. Estas declaraciones de MMR sirven como un objetivo, centrando los esfuerzos para identificar los controles de mitigación .

Identificar los controles que abordan los riesgos de incorrección material (MMR)

Para cada MMR, la administración determina qué control (o controles) abordan el riesgo de manera "suficiente" y "precisa" (PCAOB AS # 5) o "efectivamente" (Orientación de la SEC) lo suficiente para mitigarlo. La palabra "mitigar" en este contexto significa que el control (o controles) reduce la probabilidad de error material presentado por el MMR a una probabilidad "remota". Este nivel de seguridad es necesario porque se debe revelar una debilidad material si existe una posibilidad "razonablemente posible" o "probable" de una incorrección material en una cuenta importante. Aunque múltiples controles pueden afectar el riesgo, solo aquellos que lo abordan como se define anteriormente se incluyen en la evaluación. En la práctica, estos se denominan controles "dentro del alcance" o "clave" que requieren pruebas.

La Guía de la SEC define los términos de probabilidad de la siguiente manera, según FAS5 Contabilidad de pasivos contingentes :

1. "Probable: Es probable que ocurran eventos futuros".
2. "Razonablemente posible: La probabilidad de que ocurran eventos futuros es más que remota, pero menos probable".
3. "Remoto: la posibilidad de que ocurran eventos o eventos futuros es mínima".

El juicio suele ser la mejor guía para seleccionar los controles más importantes en relación con un riesgo particular para la prueba. PCAOB AS5 introduce un marco de tres niveles que describe los controles a nivel de entidad en diferentes niveles de precisión (directo, de monitoreo e indirecto). Como cuestión práctica, la precisión del control por tipo de control, en orden de mayor a menor precisión, puede interpretarse como:

1. Transacción específica (nivel de transacción): autorización o revisión (o controles del sistema preventivo) relacionada con transacciones individuales específicas;
2. Resumen de transacciones (nivel de transacción): revisión de informes que enumeran transacciones individuales;
3. Informes de fin de período (a nivel de cuenta): revisión de entradas de diario, conciliaciones de cuentas o análisis detallado de cuentas (p. Ej., Gastos de servicios públicos por tienda);
4. Controles de revisión de la administración (nivel de entidad directa): análisis de fluctuación de las cuentas del estado de resultados en diferentes niveles de agregación o paquete de informes mensuales que contienen información financiera y operativa resumida;
5. Controles de seguimiento (nivel de entidad de seguimiento): autoevaluación y revisiones de auditoría interna para verificar que los controles están diseñados e implementados de manera eficaz y
6. Indirecto (nivel de entidad indirecta): controles que no están vinculados a transacciones específicas, como el entorno de control (por ejemplo, el tono establecido por las prácticas de gestión y contratación).

Es cada vez más difícil argumentar que depender de los controles es razonable para lograr los objetivos a nivel de afirmación a medida que uno viaja a lo largo de este continuo de más preciso a menos, y a medida que aumenta el riesgo. Una combinación de los controles de tipo 3-6 anteriores puede ayudar a reducir la cantidad de controles de tipo 1 y 2 (a nivel de transacción) que requieren una evaluación de riesgos particulares, especialmente en procesos de menor riesgo e intensivos en transacciones.

Según la orientación de 2007, parece aceptable confiar significativamente más en los controles de final del período (es decir, la revisión de los asientos de diario y las conciliaciones de cuentas) y los controles de revisión de la administración que en el pasado, abordando de manera efectiva muchos de los riesgos de incorrección material y habilitando ya sea : a) la eliminación de un número significativo de controles transaccionales del alcance de las pruebas del año anterior; o b) reducir la evidencia relacionada obtenida. La cantidad de controles a nivel de transacción puede reducirse significativamente, particularmente para cuentas de menor riesgo.

Consideraciones en las decisiones sobre pruebas y pruebas

El principio clave de la SEC con respecto a las decisiones de evidencia se puede resumir de la siguiente manera: "Alinear la naturaleza, oportunidad y alcance de los procedimientos de evaluación en aquellas áreas que presentan los mayores riesgos para la información financiera confiable". La SEC ha indicado que la suficiencia de evidencia requerida para respaldar la evaluación de MMR específico debe basarse en dos factores: a) Riesgo de incorrección de elementos financieros ("Riesgo de incorrección") y b) Riesgo de falla de control. Estos dos conceptos juntos (los riesgos relacionados con la cuenta o la divulgación y los riesgos relacionados con el control) se denominan "Riesgo de control interno sobre la información financiera" o riesgo "ICFR". Se incluyó un diagrama en la guía (que se muestra en esta sección) para ilustrar este concepto; es el único diagrama de este tipo, lo que indica el énfasis que le ha puesto la SEC. El riesgo de ICFR debe estar asociado con los controles dentro del alcance identificados anteriormente y puede ser parte de ese análisis. Esto implica los siguientes pasos:

Vincular cada control clave con el "Riesgo de incorrección" de la cuenta o divulgación relacionada

La gerencia asignó una clasificación de riesgo de incorrección (alto, medio o bajo) para cada cuenta y divulgación significativa como parte de la evaluación de alcance anterior. El rango bajo, medio o alto evaluado también debe estar asociado con las declaraciones de riesgo y las declaraciones de control relacionadas con la cuenta. Una forma de lograr esto es incluir la clasificación dentro de la declaración de riesgo y la documentación de la declaración de control de la empresa. Muchas empresas utilizan bases de datos para este fin, creando campos de datos dentro de su documentación de riesgo y control para capturar esta información.

Califique cada control clave por "riesgo de falla de control (CFR)" y "riesgo de ICFR"

El CFR se aplica a nivel de control individual, basado en factores en la guía relacionados con la complejidad del procesamiento, la naturaleza manual versus automatizada del control, el juicio involucrado, etc. La gerencia hace fundamentalmente la pregunta: "¿Qué tan difícil es ejecutar este control? correctamente todas y cada una de las veces? "

Con el riesgo de declaración errónea de la cuenta y el CFR definido, la administración puede concluir sobre el riesgo de ICFR (bajo, medio o alto) para el control. El ICFR es el concepto de riesgo clave que se utiliza en las decisiones sobre pruebas.

La calificación ICFR se captura para cada declaración de control. Las empresas más grandes suelen tener cientos de cuentas, declaraciones de riesgo y declaraciones de control importantes. Estos tienen una relación de "muchos a muchos", lo que significa que los riesgos pueden aplicarse a múltiples cuentas y los controles pueden aplicarse a múltiples riesgos.

Considere el impacto del riesgo en el momento, la naturaleza y el alcance de las pruebas.

La guía proporciona flexibilidad en el momento, la naturaleza y el alcance de la evidencia basada en la interacción del riesgo de incorrección y el riesgo de falla del control (en conjunto, riesgo del ICFR). Estos dos factores deben utilizarse para actualizar la "Guía de muestreo y pruebas" que utilizan la mayoría de las empresas. A medida que aumentan estos dos factores de riesgo, aumenta la suficiencia de evidencia requerida para abordar cada MMR.

La administración tiene una flexibilidad significativa con respecto a las siguientes consideraciones sobre pruebas y pruebas, en el contexto del riesgo del ICFR relacionado con un control determinado:

• Extensión (tamaño de la muestra): el tamaño de la muestra aumenta proporcionalmente al riesgo de ICFR.
• Naturaleza de la evidencia: Investigación, observación, inspección y repetición son los cuatro tipos de evidencia, enumerados en orden de suficiencia. Se requiere evidencia más allá de la investigación, por lo general la inspección de documentos, para las pruebas de la eficacia operativa del control. Se esperaría evidencia de repetición para los controles de mayor riesgo, como en el proceso de presentación de informes al final del período.
• Naturaleza del control (manual frente a automatizado): para controles totalmente automatizados, se puede utilizar un tamaño de muestra de uno o una estrategia de prueba de "evaluación comparativa" . Si los controles generales de TI relacionados con la gestión de cambios son efectivos y el control totalmente automatizado se ha probado en el pasado, no se requieren pruebas anuales. El punto de referencia debe establecerse periódicamente.
• Alcance de las pruebas de avance requeridas: a medida que aumenta el riesgo, es cada vez más probable que se necesiten pruebas de avance para extender el efecto de las pruebas provisionales hasta fin de año. Los controles de menor riesgo presumiblemente no requieren pruebas de avance.

Los factores dominantes que también afectan las consideraciones de evidencia anteriores incluyen:

• Solidez general de los controles a nivel de entidad, en particular el entorno de control: los controles sólidos a nivel de entidad actúan como un "contrapeso" generalizado del riesgo en todos los ámbitos, lo que reduce la suficiencia de la evidencia requerida en las áreas de menor riesgo y respalda el espíritu de la nueva orientación en términos de reducción del esfuerzo general.
• Conocimiento acumulado de evaluaciones previas con respecto a controles particulares: si los procesos y controles particulares tienen un historial de funcionamiento eficaz, se puede reducir el alcance de la evidencia requerida en las áreas de menor riesgo.

Considere el riesgo, la objetividad y la competencia en las decisiones de prueba.

La administración tiene una discreción significativa sobre quién realiza sus pruebas. La guía de la SEC indica que la objetividad de la persona que prueba un control dado debe aumentar proporcionalmente al riesgo de ICFR relacionado con ese control. Por lo tanto, técnicas como la autoevaluación son apropiadas para las áreas de menor riesgo, mientras que los auditores internos (o el equivalente) generalmente deben probar las áreas de mayor riesgo. Una técnica intermedia en la práctica es la "garantía de calidad", en la que el gerente A prueba el trabajo del gerente B y viceversa.

La capacidad de los auditores externos para confiar en las pruebas de la administración sigue una lógica similar. La confianza es proporcional a la competencia y objetividad de la persona de gestión que completó la prueba, también en el contexto del riesgo. Para las áreas de mayor riesgo, como el entorno de control y el proceso de presentación de informes al final del período, es probable que los auditores internos o los equipos de cumplimiento sean las mejores opciones para realizar las pruebas, si se espera un grado significativo de confianza por parte del auditor externo. La capacidad del auditor externo de confiar en la evaluación de la administración es un factor de costo importante en el cumplimiento.

Estrategias para una evaluación SOX 404 eficiente

Existe una variedad de oportunidades específicas para hacer que la evaluación SOX 404 sea lo más eficiente posible. Algunos son de naturaleza más a largo plazo (como la centralización y la automatización del procesamiento), mientras que otros pueden implementarse fácilmente. La interacción frecuente entre la administración y el auditor externo es esencial para determinar qué estrategias de eficiencia serán efectivas en las circunstancias particulares de cada compañía y en qué medida es apropiada la reducción del alcance del control.

Centralización y automatización

Centralizar: el uso de un modelo de servicio compartido en áreas de riesgo clave permite que varias ubicaciones se traten como una sola para fines de prueba. Los modelos de servicios compartidos se utilizan normalmente para procesos de nómina y cuentas por pagar, pero se pueden aplicar a muchos tipos de procesamiento de transacciones. Según una encuesta reciente de Finance Executives International, las empresas descentralizadas tenían costos de cumplimiento de SOX dramáticamente más altos que las empresas centralizadas.

Automatización y evaluación comparativa: los controles clave de aplicaciones de TI totalmente automatizados tienen requisitos mínimos de tamaño de muestra (generalmente uno, en lugar de hasta 30 para los controles manuales) y es posible que no tengan que probarse directamente bajo el concepto de evaluación comparativa. La evaluación comparativa permite excluir de las pruebas los controles de aplicaciones de TI totalmente automatizados si ciertos controles de gestión de cambios de TI son efectivos. Por ejemplo, muchas empresas dependen en gran medida de las interfaces manuales entre sistemas, con hojas de cálculo creadas para descargar y cargar entradas de diario manuales. Algunas empresas procesan miles de estas entradas cada mes. Al automatizar las entradas de diario manuales, los costos de evaluación de SOX y de mano de obra pueden reducirse drásticamente. Además, se mejora la confiabilidad de los estados financieros.

Enfoque de evaluación general

Revisar el enfoque y la documentación de las pruebas: muchas empresas o firmas de auditoría externa intentaron por error imponer marcos genéricos sobre procesos únicos a nivel de transacción o entre ubicaciones. Por ejemplo, la mayoría de los elementos del Marco COSO representan controles indirectos a nivel de entidad, que deben probarse por separado de los procesos transaccionales. Además, los controles de seguridad de TI (un subconjunto de ITGC) y los controles de servicios compartidos se pueden colocar en documentación de proceso separada, lo que permite una asignación más eficiente de la responsabilidad de la prueba y elimina la redundancia entre ubicaciones. La prueba de los asientos clave del diario y las conciliaciones de cuentas como esfuerzos separados permite llevar una eficiencia y un enfoque adicionales a estos controles críticos.

Confíe en los controles directos a nivel de entidad: la guía enfatiza la identificación de qué controles directos a nivel de entidad, particularmente el proceso de final de período y ciertos controles de monitoreo, son lo suficientemente precisos para eliminar los controles a nivel de aseveración (transaccionales) del alcance. La clave es determinar qué combinación de controles a nivel de entidad y a nivel de afirmación abordan MMR en particular.

Minimizar las pruebas de avance: la administración tiene más flexibilidad bajo la nueva guía para extender la fecha de vigencia de las pruebas realizadas durante los períodos de mitad de año ("intermedios") hasta la fecha de fin de año. Solo los controles de mayor riesgo probablemente requerirán pruebas de avance bajo la nueva guía. PCAOB AS5 indica que los procedimientos de consulta, con respecto a si se produjeron cambios en el proceso de control entre el período intermedio y el de fin de año, pueden ser suficientes en muchos casos para limitar las pruebas de avance.

Revisar el alcance de las ubicaciones o unidades de negocio evaluadas: esta es un área compleja que requiere un juicio y un análisis sustanciales. La guía de 2007 se centró en la MMR específica, en lugar de la magnitud en dólares, para determinar el alcance y la suficiencia de la evidencia que se obtendría en las unidades descentralizadas. La interpretación (común bajo la guía anterior a 2007) de que una unidad o grupo de unidades era material y, por lo tanto, una gran cantidad de controles en múltiples procesos requieren pruebas independientemente del riesgo, ha sido reemplazada. Cuando los saldos de las cuentas de unidades individuales o grupos de unidades similares son una parte importante del saldo de la cuenta consolidada, la administración debe considerar cuidadosamente si la MMR puede existir en una unidad en particular. Luego, se deben realizar las pruebas centradas solo en los controles relacionados con la MMR. También se deben considerar los controles de monitoreo, como las reuniones detalladas de revisión del desempeño con paquetes de informes sólidos, para limitar las pruebas específicas de la transacción.

Enfoque de evaluación de TI

Pruebas de control general de TI (ITGC) de enfoque: las ITGC no están incluidas en la definición de controles a nivel de entidad según la guía de la SEC o la PCAOB. Por lo tanto, las pruebas de ITGC deben realizarse en la medida en que aborden la MMR específica. Por naturaleza, ITGC permite a la administración confiar en controles de aplicaciones totalmente automatizados (es decir, aquellos que operan sin intervención humana) y controles dependientes de TI (es decir, aquellos que involucran la revisión de informes generados automáticamente). Se merecen las pruebas de ITGC enfocadas para respaldar los objetivos de control o las afirmaciones de que los controles totalmente automatizados no se han cambiado sin autorización y que los informes de control generados son precisos y completos. Por lo tanto, las áreas de enfoque clave del ITGC que probablemente sean críticas incluyen: procedimientos de gestión de cambios aplicados a implementaciones específicas del sistema financiero durante el período; procedimientos de gestión de cambios suficientes para respaldar una estrategia de evaluación comparativa; y supervisión periódica de la seguridad de las aplicaciones, incluida la separación de funciones.

Orientación de la PCAOB posterior a 2007

La PCAOB emite "Alertas de práctica de auditoría del personal" (SAPA) periódicamente que "resaltan circunstancias nuevas, emergentes o dignas de mención que pueden afectar la forma en que los auditores llevan a cabo auditorías según los requisitos existentes de las normas ..." Según las Consideraciones de SAPA # 11 para auditorías internas Control sobre la información financiera (24 de octubre de 2013), la PCAOB discutió importantes cuestiones de práctica de auditoría con respecto a la evaluación del SCIIF. Estos incluyeron, entre otros temas:

• Informes generados por el sistema ("Información proporcionada por la entidad" o "IPE"): Requisitos para que los auditores (y la administración de proxy) obtengan evidencia adicional de que los informes totalmente automatizados y las consultas manuales utilizadas como entradas de control son precisas y completas.
• Controles a nivel de entidad y controles de revisión de la gestión: a veces se confiaba excesivamente en los controles a nivel de entidad y los controles de revisión de la gestión (similares conceptualmente a los controles de fin de período), que no eran lo suficientemente precisos para reducir el riesgo de incorrección material al nivel "remoto". . SAPA # 11 proporciona criterios adicionales para ayudar en esta evaluación de precisión.
• Criterios para la investigación: Los auditores no siempre obtuvieron evidencia suficiente de que los controles de la administración se ejecutaron de manera efectiva cuando se observaron variaciones inusuales fuera de las tolerancias especificadas. Por ejemplo, la gerencia puede haber firmado un informe de control diciendo que fue revisado, pero no proporcionó otra documentación de investigación, a pesar de alguna actividad inusual en el informe. SAPA # 11 establece: "Verificar que una revisión fue aprobada proporciona poca o ninguna evidencia por sí misma sobre la efectividad del control".

SAPA # 11 puede traducirse en más trabajo para los equipos de administración, que pueden ser requeridos por los auditores para retener evidencia de que estos informes y consultas fueron precisos y completos. Además, es posible que se requiera que la administración retenga evidencia adicional de la investigación cuando los montos de los informes de control de detectives contienen transacciones o tendencias fuera de los rangos de tolerancia predefinidos.

Referencias