La era poscovid, como muchos están llamando a la situación de “nueva normalidad”, ha conllevado muchos cambios en el contexto empresarial y en el cumplimiento de la regulación relativa a los sistemas de control interno sobre la información financiera en todo el mundo (normativa SCIIF y SOX por sus siglas en el mercado español y estadounidense). La evolución de la organización y del mercado externo está alterando la manera en que las organizaciones gestionan, supervisan y auditan sus controles.

Esta alteración es particularmente difícil para el proceso de evaluación de riesgos, condicionada por la velocidad de cambio sin precedentes. Independientemente del entorno, las evaluaciones de riesgos suelen actualizarse después del segundo trimestre del año fiscal 2020 y probablemente con mayor frecuencia a medida que las circunstancias sigan evolucionando. Las organizaciones deben demostrar que su evaluación de riesgos y su alcance de SCIIF/SOX reflejan cualquier cambio importante en los estados financieros al final del año fiscal en curso. Este nuevo entorno en el que vivimos nos empujará más que nunca hacia evaluaciones de riesgo dinámicas y en tiempo real, en lugar de la típica actualización anual.

En este contexto, destacamos algunas consideraciones prácticas a tomar en cuenta en las evaluaciones de riesgos de SCIIF/SOX: 

Las aportaciones cuantitativas históricas a los cálculos de materialidad pueden no ser suficientes. Aunque el punto de partida para la evaluación de riesgos del ejercicio fiscal 2020 puede ser aún el último estado financiero del ejercicio fiscal 2019, es poco probable que esta aportación sea representativa de lo que serán los resultados financieros del ejercicio fiscal 2020 para la mayoría de las empresas. Las previsiones, aunque todavía pueden estar en proceso de reelaboración, pueden resultar el punto de partida más adecuado. Es probable que las medidas habituales, como los ingresos netos antes de impuestos, sean sustancialmente inferiores para el ejercicio fiscal 2020 e incluso negativas para algunas empresas. En tales situaciones, tal vez sea necesario utilizar otras medidas, como el EBITDA o los ingresos, y evaluar varios escenarios de importancia relativa para determinar el nivel de ajuste que afectaría a la medición de las ganancias por acción.

Es posible que entren en juego nuevos elementos y unidades de los estados financieros. Dado que los resultados del cálculo de la materialidad probablemente sean inferiores a los de los últimos años anteriores, es posible que haya elementos de los estados financieros o incluso unidades que superen las medidas cuantitativas y cualitativas que se suelen utilizar para definir el alcance del programa SCIIF/SOX. Esto puede requerir un juicio adicional en el proceso de evaluación de riesgos, así como la planificación para abordar estos elementos en el año fiscal 2020. Las conclusiones de la evaluación de riesgos deben estar claramente documentadas y respaldadas.

Tal vez haya controles de supervisión actuales que puedan ajustarse para abordar los riesgos de que estos nuevos procesos o unidades entren en el ámbito de aplicación en el año fiscal 2020. De no ser así, será necesario aplicar nuevos controles y ponerlos a prueba en un plazo relativamente breve para los nuevos ámbitos de alcance. Además, si la importancia relativa ha disminuido considerablemente, tal vez sea necesario calibrar los umbrales o tolerancias aplicados en los controles a las circunstancias singulares del ejercicio económico de 2020.

La actualización anual de la evaluación de riesgos y del ámbito de aplicación puede no ser suficiente. El ritmo de cambio en respuesta a la pandemia no se parece a nada que hayamos visto antes. Los cambios en la definición de los negocios esenciales y las respuestas de las organizaciones para pasar de la situación actual a la de los riesgos emergentes no muestran signos de desaceleración. Las evaluaciones de riesgos deberán actualizarse después del segundo trimestre y probablemente con mayor frecuencia a medida que cambien las circunstancias.

El estado de la presentación y los plazos pueden cambiar. La actual volatilidad del mercado, unida a los recientes cambios y medidas tomadas para la presentación de la información financiera así como el trabajo a distancia en el contexto de la pandemia, ha conllevado a dar relevancia a la comunicación de las actualizaciones de los calendarios de presentación y coordinación con los departamentos jurídicos, de relaciones con los inversores y de informes financieros.

Las organizaciones deben considerar el impacto de las nuevas exposiciones como parte de una sólida evaluación del riesgo de fraude. En un período de cambios abrumadores como el que estamos experimentando hoy en día, existe un mayor riesgo de fraude. Recientemente, hemos visto un aumento en los planes de fraude perpetrados para aprovechar la incertidumbre actual, al mismo tiempo que se está produciendo una relajación de ciertos requisitos de control. Otra consideración es la tecnología que puede haberse desplegado apresuradamente en una fuerza laboral recientemente alejada, pero tal vez sin la diligencia normal para la cobertura de los controles generales de la tecnología de la información o con una mentalidad de habilitación más que de restricción del acceso de los usuarios.

La coordinación con la auditoría externa es crucial. Al igual que en todos los aspectos del control interno de los informes financieros, se recomienda una comunicación temprana y frecuente con el auditor externo sobre los efectos de COVID-19. La Dirección debería revisar y obtener el acuerdo de la auditoría externa con la conclusión de la evaluación de riesgos y establecer una cadencia práctica para las actualizaciones en el año fiscal 2020. Además, la Dirección debería discutir cómo se impactarán el tiempo y el alcance de los procedimientos de auditoría y coordinar el impacto de cualquier extensión de la presentación.

Si bien tal vez no haya tiempo para actualizar todos los documentos de procesos y procedimientos a corto plazo, las descripciones de control deben actualizarse para reflejar los cambios en los procedimientos y garantizar que se realicen pruebas con arreglo a estas prácticas revisadas. Las organizaciones pueden considerar la posibilidad de facilitar una certificación del control, aunque se salga de su frecuencia anual o trimestral habitual, para confirmar que los propietarios del control han ajustado el diseño del control y el calendario de ejecución para seguir mitigando los riesgos y documentando sus actividades adecuadamente. Una vez que las organizaciones regresen al nuevo equilibrio después de la pandemia, será importante reevaluar cualquier cambio temporal en el diseño y la operación del control para asegurarse de que siguen estando alineados con el apetito de riesgo de la organización.

En este contexto, los equipos de finanzas y auditoría necesitan centrarse en ser solucionadores de problemas ante los nuevos desafíos que surgen de la crisis, como la realización a distancia de auditorías adecuadas de los controles como parte de las actividades de cumplimiento de SCIIF/SOX.

Por encima de todo, la buena comunicación es crítica – con los propietarios de los controles, con la dirección, con el auditor externo y con el comité de auditoría para estar alineados en cuanto a planes, auditorías, plazos y expectativas.

(Fuente: KPMG Tendencias)