PCAOB Widzi utrzymujące się obawy związane z audytami, bezpieczeństwem cyberskim

Nadzoru nad Rachunkowością Spółek Publicznych (PCAOB) w 2016 roku wygenerował raport pełen utrzymujących się obaw, które obejmują często odnotowywane braki w zakresie audytu, rozwijający się obszar ryzyka związanego z bezpieczeństwem cybernetycznym i niezależnością audytorów.

Trzy najczęściej stwierdzane niedociągnięcia obejmują ocenę i reakcję na istotne ryzyko wystąpienia nieprawidłowości, audyt kontroli wewnętrznej sprawozdawczości finansowej oraz audyt szacunków księgowych.

Wyzwania i ryzyko

Inspektorzy przyjrzeli się ponad 780 audytom emitentów w 2016 roku oraz kontroli jakości w ponad 190 firmach. Zwrócili uwagę na obszary, które najczęściej stanowią wyzwanie i wiążą się z dużym ryzykiem, w tym na istotne nieprawidłowości w sprawozdaniach finansowych oraz powtarzające się braki w firmach i między nimi.

Zgodnie ze sprawozdaniem, znaczna liczba skontrolowanych audytów to audyty międzynarodowe prowadzone przez audytorów zlokalizowanych w USA i na świecie.

Mniej powszechne niż trzy najczęstsze obszary występowania braków – ale wciąż godne uwagi – były obszary kontroli, w których występuje ryzyko gospodarcze, audyty wielonarodowe i kontrola jakości.

Technologia informatyczna/bezpieczeństwo cybernetyczne

Zgodnie z raportem, większość narzędzi audytu oprogramowania jest wykorzystywana w procedurach audytu merytorycznego. Niektóre firmy opracowały własne narzędzia lub dostosowały te, które zostały zakupione. Niektóre narzędzia są również wykorzystywane do oceny ryzyka.

Firmy, których raporty zostały poddane kontroli w 2016 r., nie były najwyraźniej związane z ryzykiem wystąpienia istotnych nieprawidłowości w sprawozdaniach finansowych – w tym ujawnień – lub istotnych słabości kontroli wewnętrznej.

Niemniej jednak inspektorzy uważają, że bezpieczeństwo cybernetyczne jest “rozwijającym się obszarem ryzyka”, który wymaga stałej kontroli – stwierdza sprawozdanie. Kluczową kwestią jest to, czy ryzyko związane z bezpieczeństwem cybernetycznym może zwiększyć ryzyko wystąpienia istotnych nieprawidłowości oraz czy firmy powinny zmienić swój proces audytu. Mogłoby to obejmować testowanie ogólnych kontroli w ich systemie informatycznym.

Niezależność audytora

Inspektorzy nadal stwierdzają problemy z audytorami, którzy nie przestrzegają zasad i przepisów UPWiK i Komisji Papierów Wartościowych i Giełd (SEC), które wymagają niezależności od klientów w okresie prowadzenia audytu i wykonywania zawodu.

Wykroczenia w zakresie zgodności obejmują:

  • Błędne zastosowanie przez audytorów art. 2-01 lit. d) rozporządzenia SEC S-X oraz błędny wniosek, że brak niezależności nie naruszył niezależności firmy.
  • niedostateczne informowanie komitetu ds. audytu o zakresie doradztwa podatkowego i potencjalnym wpływie tych usług na niezależność firmy.
  • Umowy audytor-klient, w których klient zgadza się zwolnić audytora z odpowiedzialności lub kosztów wynikających z umowy.
  • Niedozwolone usługi niezwiązane z audytem, świadczone w okresie objętym audytem, w tym obowiązki księgowe i zarządcze, ale przed zatrudnieniem audytora.
  • Audytorzy, którzy nie poinformowali komitetu ds. audytu o niezależności.

Ponadto inspektorzy znaleźli przypadki, w których audytorzy nie posiadali kwalifikacji do pełnienia funkcji kontrolerów jakości, ponieważ byli zaangażowanymi partnerami podczas jednego z dwóch audytów poprzedzających obecnie przeprowadzany audyt.

Więc jaki jest tego rezultat? Więcej należytej staranności.

Firmy muszą ocenić swój proces kontroli jakości i jego skuteczność, a “źródłowe” analizy braków mogą pomóc w naprawieniu problemów systemowych, stwierdza raport.

W rzeczywistości różne firmy pracują nad opracowaniem analiz przyczyn źródłowych i kwestionują swoje wcześniejsze oceny tego, co powoduje braki w badaniu.

“Firmy powinny ocenić, czy audytorzy w wystarczającym stopniu rozumieją standardy PCAOB w tych obszarach powtarzających się uchybień, czy kierownictwo zespołu zaangażowanego zapewnia odpowiedni nadzór nad pracami audytowymi wykonywanymi przez mniej doświadczonych pracowników oraz czy [kontrolerzy jakości zaangażowania] ocenili istotne osądy wydane przez zespół audytowy i związane z nimi wnioski wyciągnięte podczas formułowania ogólnych wniosków z audytu i przygotowywania raportu”, stwierdza się w raporcie.