Cómo pueden prepararse las comisiones de auditoría para los informes del 3T 2022

Si bien la ciberseguridad ha sido un tema bien establecido en las agendas de la junta directiva y del comité de auditoría durante varios años, se requiere una vigilancia constante para seguir el ritmo de un panorama de riesgos en constante cambio e intensificación. Las empresas están experimentando continuos ataques de estado-nación y ransomware, una mayor exposición impulsada por los esfuerzos de transformación digital y los riesgos derivados de tecnologías emergentes como la inteligencia artificial y el aprendizaje automático.

Tapestry Networks reunió recientemente a una de las principales autoridades en ciberseguridad y ejecutivos cibernéticos de compañías líderes para reunirse con los presidentes del comité de auditoría de más de 100 grandes empresas públicas estadounidenses para intercambiar puntos de vista sobre el futuro del ciberespacio y otros riesgos emergentes. Tapestry Networks resumió los puntos clave que surgen de esta discusión en su informe recientemente publicado: El futuro del riesgo cibernético.

Los temas notables de estas discusiones incluyen:

• Las amenazas cibernéticas están creando un panorama de riesgos creciente y complejo: las prioridades divergentes entre Estados Unidos y naciones como China y Rusia están alimentando las amenazas cibernéticas que afectan directamente a las empresas, lo que subraya la necesidad de mantenerse en alerta máxima. Además del robo de propiedad intelectual, existe un riesgo creciente de destrucción de datos, lo que puede crear un riesgo a corto plazo en las cadenas de suministro.
• Los avances tecnológicos están creando nuevos tipos de riesgos: las nuevas tecnologías como la IA y el aprendizaje automático pueden crear oportunidades para las empresas, pero también traen nuevos riesgos éticos y de ciberseguridad. Las juntas directivas deben hacer preguntas sobre qué controles y equilibrios existen a medida que se desarrollan e implementan nuevas tecnologías en sus empresas. Los delincuentes pueden modificar silenciosamente los datos que entrenan un sistema de aprendizaje automático, lo que lleva a clasificaciones erróneas y daños operativos que pueden tardar muchos meses en detectarse.
• Los comités de auditoría pueden profundizar para comprender y prepararse para futuras vulnerabilidades: uno de los expertos cibernéticos recomendó que los comités de auditoría pregunten a la gerencia sobre los cuasi accidentes, no solo sobre las grandes infracciones. Una buena práctica que se compartió con los presidentes de los comités de auditoría incluyó traer líderes de unidades de negocios de forma rotativa para explicar su práctica de ciberseguridad con el fin de recibir diferentes perspectivas sobre el tema cibernético.
• La gestión del talento es una de las principales preocupaciones cibernéticas: dada la competitividad del talento cibernético, las juntas deben preguntar a sus directores de seguridad de la información sobre cómo desarrollan y retienen el talento para sus programas cibernéticos y tecnológicos. Una buena práctica incluye que las empresas trabajen en estrecha colaboración con los equipos de recursos humanos y las universidades para desarrollar el talento desde el principio.
• Las organizaciones deben ser cripto-ágiles: la seguridad de los datos es una alta prioridad para las empresas en medio del entorno de amenazas actual, donde los datos son continuamente atacados por innumerables malos actores. La IA, el aprendizaje automático y las capacidades cuánticas utilizadas con fines maliciosos aportan aún más urgencia a este problema. A medida que los métodos de cifrado existentes se vuelven ineficaces, las empresas deben mantenerse al tanto de las nuevas tecnologías y priorizar la protección de datos y activos confidenciales. Se aconsejó a los presidentes de los comités de auditoría que hicieran de la agilidad criptográfica una prioridad y que se aseguraran de que sus empresas estén preparadas para responder rápidamente a cualquier cambio en los estándares criptográficos.
• La desinformación es un riesgo emergente para las empresas: la desinformación es fácil de crear y se propaga rápidamente, lo que la hace particularmente peligrosa. A diferencia de las amenazas cibernéticas tradicionales, los eventos de desinformación dirigidos tienen una barrera de entrada baja, que requiere menos sofisticación y muy poca perspicacia técnica. La mayoría de los presidentes de los comités de auditoría indicaron que la desinformación es una nueva área de riesgo que no está en las agendas actuales de sus juntas, pero debería estarlo. Las recomendaciones prácticas incluyen capacitar a los empleados para reconocer la desinformación, crear un plan de respuesta a incidentes que describa los procesos clave y los tomadores de decisiones en caso de un incidente de desinformación, y realizar simulacros de práctica.

Fuente:

Cumbre de liderazgo del Comité de Auditoría de Tapestry Networks: El futuro del riesgo cibernético, agosto de 2022

In June 2022, the Public Company Accounting Oversight Board released its Spotlight: Staff Overview for Planned 2022 Inspections, which provides discussion of the PCAOB’s focus areas in the current inspection cycle. Some of the key excerpts and selected areas of inspections focus are:

• • Fraud and other risks
  • Key auditing and accounting risks, including a) unreasonable assumptions affecting the timing and amount of revenue recognition due to the negative effects of the COVID-19 pandemic and supply chain disruptions; b) unreasonable assumptions used in projections to account for business combinations or in testing goodwill or other intangibles for impairment; c) earnings manipulation; d) complexities regarding existence and valuation of inventory; e) financial, economic and business uncertainty that impacts the required assessment to evaluate threats and uncertainties concerning a public company’s ability to continue as a going concern.
  • IPOs and M&A activity, with focus on the auditor’s work on the following: (1) valuation of financial instruments using complex valuation models; (2) the determination of whether a business combination should be accounted for as a reverse merger; (3) internal control over financial reporting; (4) financial statement presentation and disclosures; and (5) restatements related to warrants or other issues.
  • Audit firms’ execution challenges
  • Audit areas with continued deficiencies, including revenue recognition and related risk assessment; allowance for loan losses and other accounting estimates; and internal control over financial reporting (particularly controls with a review component).
  • Other noted focus areas include: broker dealer-specific considerations, independence, use of service providers in the confirmation process, critical audit matters (CAMs), firms’ quality control systems, and technology (in particular — auditing digital assets, responding to cyber threats, use of data and technology in the audit).

The document may be useful to audit committees as it highlights some of the anticipated financial reporting and audit risks and issues that may be challenging in the current environment. It may also provide audit committees insights into the external auditor’s work plan for the upcoming audit cycle.

Additionally, in August 2022, the PCAOB published a new resource for audit committees titled, Spotlight: Audit Committee Resource. This resource provides a reference point for audit committees by offering questions they may want to consider as part of their ongoing engagement and discussions with the external auditors. The topics and questions are reflective of the current economic environment and include questions that are reflective of the PCAOB’s inspection focus areas.