EN ES
Solicitar una consulta
← Publicaciones

Los emisores de S-1 por primera vez están definiendo el alcance de SOX de forma demasiado estrecha. El PCAOB lo ha notado.

Una lectura de los recientes informes de inspección del PCAOB — y una lista de verificación del alcance elaborada a partir de lo que realmente citan. Para el contralor y el presidente del comité de auditoría de un emisor de primer año que está a punto de descubrir que el alcance SOX heredado de la diligencia del suscriptor no es el alcance SOX que el auditor necesita.

Patricio Perez Socio Director — Riesgo Empresarial y Asesoría a Juntas Directivas

Los informes de inspección del PCAOB del ciclo 2024, publicados en los últimos trimestres, son inusualmente consistentes. Los temas no son nuevos — casi nunca lo son — pero la frecuencia con la que los auditores de emisores de primer y segundo año están siendo citados por el mismo puñado de problemas merece un párrafo en su lectura previa al comité.

Trabajo principalmente con contralores, CFOs y presidentes de comités de auditoría de instituciones en la transición de empresa privada a pública. El patrón que estoy a punto de describir — alcance limitado, inventario de IPE escaso, brechas de ITGC que no sorprenden a nadie con experiencia — es bien conocido por cualquiera que haya dirigido un programa SOX de primer año. Sin embargo, persiste. Este artículo es la versión de la conversación sobre alcance que tengo con un cliente de primer año en nuestra segunda reunión.

Los informes de inspección del PCAOB rara vez nombran al emisor. Nombran la deficiencia que el auditor no detectó, identificó o evaluó. En las inspecciones más recientes de firmas de nivel intermedio, cuatro problemas representan una parte desproporcionada de los comentarios sobre emisores de primer y segundo año:

Lo que citan los informes de inspección

  • Identificación inadecuada de afirmaciones relevantes. La evaluación de riesgos del auditor no identificó todas las afirmaciones relevantes para las cuentas significativas, y los controles probados no abordaron las afirmaciones que el equipo de trabajo sí identificó.
  • Pruebas insuficientes de controles de revisión de la dirección (MRCs). Las pruebas del auditor sobre los controles de revisión de la dirección no incluyeron evidencia suficiente de la precisión de la revisión — los criterios que aplicó el revisor, el umbral para el seguimiento y la disposición de los elementos que alcanzaron el umbral.
  • Deficiencias de IPE. La información producida por la entidad que el auditor utilizó en sus procedimientos no fue adecuadamente probada en cuanto a integridad y exactitud.
  • Dependencia de ITGCs sin pruebas adecuadas. El auditor dependió de controles automatizados sin pruebas suficientes de los controles generales de TI que los respaldaban, particularmente en las áreas de gestión de cambios y acceso lógico para los sistemas de información financiera.

Tres de esos cuatro se remontan, en mi experiencia, a decisiones de alcance que tomó la institución — a veces por herencia de la diligencia del suscriptor, a veces por diferir a la auditoría de empresa privada del año anterior, a veces por interpretar el estándar de evaluación de riesgos AS 2201 de manera más restrictiva de lo que lo hará el auditor.

El sesgo de alcance de un programa de primer año

Un alcance SOX de primer año tiende a heredar dos decisiones ancla. La primera es la materialidad previa a la OPI del auditor, establecida para una auditoría integrada de estados financieros que probablemente estaba bajo un estándar de control menos riguroso. La segunda es el inventario de cuentas y revelaciones significativas del prospecto, moldeado por lo que el suscriptor necesitaba destacar para los inversores — no necesariamente por lo que conlleva el mayor riesgo de error significativo ahora que la institución es pública.

Un alcance construido a partir del prospecto es un alcance construido para una audiencia de inversores. El alcance del auditor está construido para AS 2201. Esas audiencias quieren cosas diferentes.

Donde esto aparece con más frecuencia es en áreas con muchas revelaciones: ingresos, particularmente bajo ASC 606 para instituciones con obligaciones de desempeño complejas; compensación basada en acciones para empresas recién públicas cuyos otorgamientos de opciones de repente importan; impuestos sobre la renta cuando la compañía acaba de pasar por una reestructuración organizacional; y las cada vez más comunes revelaciones por segmentos que la SEC ha estado presionando a las empresas públicas a ampliar. Cada uno de estos puede tener un inventario de controles “dentro del alcance” que es lo suficientemente pequeño como para ser eficiente e incompleto como para que el auditor redacte un comentario.

Las cuatro áreas donde los auditores están presentando objeciones

Afirmaciones relevantes

El marco de afirmaciones — existencia, integridad, valoración, derechos y obligaciones, presentación — debería impulsar la identificación de controles, no al revés. La institución que primero selecciona los controles y luego los asigna a afirmaciones va a omitir afirmaciones. El patrón es más común en torno a la integridad de los ingresos, la valoración de las provisiones y la presentación de transacciones con partes relacionadas.

Controles de revisión de la dirección

Un MRC es tan bueno como la documentación de su precisión. “El contralor revisa el paquete de cierre mensualmente” no es un control; es una declaración de que el contralor existe. El control es: el contralor compara el balance de pruebas con el saldo del período anterior con un umbral del cinco por ciento, investiga cada variación por encima de ese umbral, documenta la consulta y la resolución, y da su visto bueno en un sistema que registra la hora de la revisión. Esa oración — y la evidencia de respaldo — es lo que el auditor necesita.

IPE

La información producida por la entidad — cada informe, consulta, hoja de cálculo o extracto en que un analista o revisor se basó para operar un control o que el auditor utilizó en sus procedimientos — tiene que estar en una lista. La lista debe incluir el sistema fuente, los parámetros utilizados, la fecha de generación y la prueba de integridad y exactitud realizada sobre la IPE misma. El inventario de IPE es el entregable que peor envejece entre la definición del alcance y el trabajo de campo de fin de año.

Dependencia de ITGCs

Los ITGCs respaldan los controles de aplicación en los que el auditor quiere confiar. Si el control de gestión de cambios no está probado o tiene excepciones, no se puede confiar en el control de aplicación. Los programas de primer año con frecuencia definen el alcance de los controles de TI basándose en el inventario de sistemas dentro del alcance del estado financiero, pasan por alto los sistemas que alimentan los sistemas dentro del alcance y tienen que ampliar el alcance a mitad del ciclo.

IPE — el perenne

He perdido la cuenta de cuántas debilidades materiales y deficiencias significativas han sido provocadas por IPE. Un revisor se basó en un informe. La consulta subyacente del informe tenía un filtro de fechas que excluía una población que el revisor necesitaba ver. El auditor lo notó; la institución no. La deficiencia aterriza en la columna incorrecta de la tabla de agregación de deficiencias.

Inventario de IPE · contenido mínimo

Sistema fuente · nombre de la consulta o informe · parámetros utilizados · frecuencia de ejecución · quién lo genera · quién lo revisa · prueba de integridad y exactitud realizada · evidencia de la prueba · fecha de la última revalidación. Cualquier cosa por debajo de esta lista será un comentario de su auditor.

Una lista de verificación del alcance

Lo que le entrego a un cliente de primer año en la segunda reunión:

  1. Ancle el alcance en AS 2201, no en el inventario del prospecto ni en la auditoría privada del año anterior.
  2. Aplique la materialidad cuantitativa conforme al cálculo del auditor — y confírmelo por escrito.
  3. Construya el inventario de cuentas significativas a partir del estado financiero; cruce con las revelaciones.
  4. Para cada cuenta significativa, documente las afirmaciones relevantes antes de identificar los controles.
  5. Identifique los MRCs por separado; documente la precisión de cada uno en la narrativa del control.
  6. Haga el inventario de IPE durante los recorridos, no después de las pruebas de diseño.
  7. Mapee los controles dependientes de TI a los ITGCs que los respaldan, y confirme que los ITGCs están dentro del alcance.
  8. Revise el alcance con el auditor antes de que comiencen las pruebas.

El último punto es el que la mayoría de los programas de primer año omiten porque la relación con el auditor aún se está formando. No cuesta nada y ahorra un trimestre de remediación.

Qué cambia en el segundo año

El segundo año es cuando se supone que el entorno de control de la institución converge en un programa de estado estable. El fracaso más común en el segundo año es lo opuesto al del primer año: expansión del alcance. La institución agrega controles para abordar cada deficiencia del año anterior y nunca elimina los que no rindieron frutos. Para el tercer año, la población de pruebas se ha duplicado y el costo por auditoría ha seguido aproximadamente el mismo camino.

La disciplina del segundo año está en la sustracción. Retire los controles que son redundantes. Combine los MRCs que prueban la misma afirmación. Reduzca los tamaños de muestra donde la evidencia del año anterior lo justifique. El auditor apreciará la conversación si la documentación respalda el cambio. Sin la documentación, la conversación es un hallazgo.