Consultor de calidad en Estados Unidos, anteriormente inspector de calidad en la División de Registro e Inspecciones del PCAOB en Estados Unidos (US Public Company Accounting Oversight Board)

Fundador y presidente de Johnson Global Accountancy o JGA, firma dedicada a la asesoría de firmas contables en temas de control de calidad y su cumplimiento normativo en esta materia. Contador Público Certificado en California y Massachusetts y miembro del Instituto Americano de Contadores Públicos Certificados (AICPA, por sus siglas en inglés). Formó parte de la División de Registro e Inspecciones del PCAOB por seis años y desarrolló su experiencia en auditoría de estados financieros en Grant Thornton en las oficinas de Boston y Los Ángeles y en la firma miembro de Hong Kong.

Founder and President of Johnson Global Accountancy or JGA, a firm that provides advisory services to accounting firms to assist them in quality issues and help them to comply with quality standards. Certified Public Accountant in California and Massachusetts and member of the American Institute of Certified Public Accountants. Six years in the Division of Registration and Inspections at the PCAOB; and developed his experience in audits of financial statements at Grant Thornton in Boston, Los Angeles, and the member firm in Hong Kong.

Antes de comenzar con mis preguntas a Jackson Johnson, lo introduje hacia cómo se regula y supervisa la práctica de auditoría en México. El Instituto Mexicano de Contadores Públicos (IMCP) supervisa la práctica de auditoría y aseguramiento dentro de su membrecía por medio de su Vicepresidencia de Calidad de la Práctica Profesional. Esta Vicepresidencia emitió la Norma de Control de Calidad (básicamente, idéntica a la ISQC1) y la Norma de Revisión de Control de Calidad (NRCC), la cual establece las reglas para realizar inspecciones a las firmas para evaluar el cumplimiento de las leyes, reglas y normas profesionales aplicables en sus sistemas de control de calidad y la documentación de una selección de auditorías concluidas y otros trabajos de atestiguamiento. La NRCC establece que aquellas firmas que están sujetas a inspecciones de control de calidad similares y de forma regular por parte de otros reguladores extranjeros (como el PCAOB), no estarán sujetas a un proceso de inspección por parte del IMCP. En México, los auditores de las entidades que cotizan en la Bolsa Mexicana de Valores están regulados por la Comisión Nacional Bancaria y de Valores (CNBV), la cual realiza ciertas inspecciones de control de calidad solo bajo un enfoque “caso por caso”.

Before I start with my questions to Jackson, we introduced him on how the audit practice in Mexico is being regulated and overseen. The Mexican Institute of Public Accountants (IMCP) oversees the audit and assurance practice from within this membership through its Vice-presidency of quality in the professional practice. This Vice-presidency issued the Standard of Quality Control (basically, identical to the ISQC1) and the Standard of Oversight of Quality Control (NRCC for its Spanish acronym), which sets forth the rules to perform inspections to firms to assess compliance with applicable laws, rules and professional standards in their systems of quality control and the documentation of a selection of completed audit and other attestation engagements. The NRCC rules that, those firms that are subject to similar and regular quality control inspections by other foreign regulators (such as the PCAOB), will not be subject to an inspection process by the IMCP. In Mexico, auditors of entities, listed in the Mexican Stock Exchange, are regulated by the National Banking and Securities Commission (CNBV for its Spanish acronym), which performs certain QC inspections on a “case by case” basis only.

Jackson, similar a la práctica de revisión entre pares que tienen en EE.UU. (conocido como peer review), ¿piensa que deberíamos incluir a todas las firmas en México, independientemente de su tamaño y estructura, en un proceso de inspección de control de calidad? ¿Y por qué?

Creo que hay varios factores que entrarían en esta evaluación, es importante tener en cuenta los riesgos asociados con los inversionistas y otras partes interesadas, tanto de las empresas auditadas como de las propias firmas de auditoría. Las firmas que son inspeccionadas por el PCAOB en México tienen partes interesadas ubicadas en México y en el extranjero, que tienen un interés personal en la integridad de esas auditorías. Sin embargo, según mi entendimiento, una firma que está sujeta a inspección por parte del PCAOB puede tener auditorías que no son sujetas a inspección periódica por parte del PCAOB. Esas auditorías, que no siguen las normas del PCAOB, incluirían compañías públicas que cotizan en México con exposición pública general. La auditoría de estas empresas aún presenta un riesgo potencial para los grandes mercados públicos dentro de México. Esta es una oportunidad para que las firmas y el entorno regulatorio, y las partes interesadas, determinen el riesgo de esta brecha de supervisión. Como hemos encontrado en algunos de nuestros trabajos con auditorías no sujetas a las normas del PCOB, pero sí registradas ante este organismo, a menudo existen diferencias en la calidad de las auditorías de empresas no públicas en comparación con las auditorías de empresas públicas. Debido al riesgo asociado a una auditoría bajo normas del PCAOB, las firmas a menudo asignan sus recursos más sólidos para garantizar auditorías de calidad. Sin embargo, debido a la falta de exposición regulatoria, las auditorías de empresas no públicas a veces adolecen de mantener una calidad sólida. Las firmas podrían y deberían continuar asegurándose de tener los controles de calidad adecuados para estas auditorías en esta “brecha de supervisión”.
En el modelo establecido en EE.UU. las auditorías de empresas no públicas que están fuera del alcance del PCAOB están sujetas a inspección por el Comité Nacional de Revisión de Pares (NPRC, por sus siglas en inglés) del AICPA. Por lo tanto, existe un proceso de revisión de inspección para las firmas que solo auditan a empresas privadas y para las auditorías de empresas privadas de firmas que también están reguladas por el PCAOB. Por ejemplo, las firmas en EE.UU. que auditan tanto a empresas públicas como privadas están sujetas a inspección por ambas entidades reguladoras.
Por lo tanto, no necesariamente estoy de acuerdo en que las firmas que están sujetas a una inspección regular y similar por parte de reguladores extranjeros deban ser excluidas de la inspección del IMCP, porque eso presenta demasiada previsibilidad sobre qué auditorías se incluyen en la población sujeta a una inspección de control de calidad (solo aquellas bajo jurisdicción extranjera).

Jackson, similar to the peer review practice that you have in the US, would you think that we should include all firms in Mexico, regardless their size and structure, to a quality control inspection process? And why?

I think there are several factors that would go into this evaluation, it’s important to consider the risks associated with investors and other stakeholders both of the companies being audited as well as the audit firms themselves. Firms that are inspected by the PCAOB within Mexico have stakeholders located in Mexico –and abroad– that have a vested interest in the integrity of those audits. Based on my understanding, however, a firm that is subject to PCAOB inspection may not have their non-PCAOB audits subject to periodic inspection. Those non-PCAOB audits would include public companies that are listed in Mexico with general public exposure. The audit of these companies still poses potential risk to the greater public markets within Mexico. This is an opportunity for firms and the regulatory environment, and stakeholders, to determine the risk of this oversight gap. As we have found in some of our work with nonPCAOB audits of registered firms, there are often differences in the quality of non-public audits as compared to PCAOB-audits. Because of the risk associated with a PCAOB audit, firms often allocate their strongest resources to ensure quality audits. However, because of a lack of regulatory exposure, non-public audits sometimes struggle to maintain strong quality. Firms could and should continue to ensure that they have appropriate quality controls for these audits in this “oversight gap.”
In the model that is set up in the US, non-public audits that are outside the purview of PCAOB are subject to inspection by the AICPA National Peer Review Committee (NPRC). So there is an inspection review process for the firms that only audit private companies, and for the private company audits of firms that are also regulated by the PCAOB. For example, firms in the US that audit both public and private companies are subject to inspection by both regulatory entities.
So I don’t necessarily agree that firms that are subject to similar and regular inspection by foreign regulators should be excluded from IMCP inspection, because that presents too much predictability into what audits are included in the population subject to quality control inspection (only those under foreign jurisdiction).

Jackson, en su calidad de consultores de firmas registradas ante el PCAOB, ¿cuáles son los aspectos clave con respecto a un proceso de inspección y sus resultados para firmas pequeñas registradas en el PCAOB?

Las cuatro grandes [firmas] en EE. UU., y cualquier otra firma que audite a cien o más emisores (actualmente ocho firmas en EE. UU.), están sujetas a inspecciones anuales por parte del PCAOB. El resto de las firmas registradas en el PCAOB están obligadas por ley a ser inspeccionadas una vez cada tres años. Según nuestra experiencia con nuestros clientes, el PCAOB puede optar por inspeccionar esas firmas más pequeñas con más frecuencia que una vez cada tres años, dependiendo de los resultados de las inspecciones anteriores. Con base en nuestro trabajo de apoyo a nuestros clientes a través del proceso de inspección y remediación, el enfoque en el control de calidad (CC) tiende a estar en la independencia, el monitoreo de la práctica (también conocido como inspección interna) y la admisión y compensación de los socios. Sin embargo, los equipos de inspección tocan todos los elementos de las normas de control de calidad y se centran en los cambios desde la última inspección.
La inspección también incluirá una revisión de varios aspectos de las auditorías seleccionadas por el equipo de inspección. El miembro del equipo de inspección asignado a cada auditoría generalmente seleccionará áreas de auditoría de mayor riesgo y realizará reuniones con el equipo de trabajo. Además, revisarán los papeles de trabajo de auditoría para comprender los procedimientos de auditoría realizados sobre la evaluación de riesgos y las respuestas del equipo de trabajo a los riesgos identificados, incluidos los riesgos significativos y de fraude.
En su preparación para las inspecciones, hemos visto a las firmas realizar una amplia gama de actividades. En general, hemos descubierto que los equipos que pasan tiempo revisando los archivos de auditoría y volviéndose a familiarizar con los asuntos importantes de la auditoría tienen más éxito para responder sobre dichos asuntos durante la inspección real. Creemos que la preparación es clave.
Hay que tomar en cuenta que existe una serie de cambios en el horizonte. Como lo comenté en mi reciente artículo, que resume las actualizaciones regulatorias clave del PCAOB, la Junta describió en la reciente Conferencia anual del AICPA los desarrollos actuales de la SEC y del PCAOB en Washington, DC, el PCAOB ha establecido un equipo dedicado a analizar las políticas y la eficacia del control de calidad de las firmas más grandes inspeccionadas anualmente, para hacer comparaciones y quizá identificar las mejores prácticas.1 Esto no se ha establecido o implementado para las firmas inspeccionadas trienalmente, incluidas las firmas mexicanas registradas ante el PCAOB.

Jackson, in your capacity as consultants to PCAOB-registered firms, what would you say are the key aspects with respect to an inspection process and their results for smaller PCAOB – registered firms?

The Big 4 in the US, and any other firms that audit one hundred or more issuers (currently 8 firms in the US) are subject to annual PCAOB inspections. The rest of the PCAOB-registered firms are statutorily required to be inspected once every three years. Based on our experience with our clients, the PCAOB may choose to inspect those smaller firms more frequently than once every three years, depending on the results of previous inspections. Based on our work supporting our clients through the inspection and remediation process, the focus on quality control (QC) tends to be on independence, practice monitoring (also known as internal inspection), and partner admittance and compensation. Inspection teams do touch on all the elements in the QC standards, however, and focus on changes since the last inspection.
The inspection will also include a review of various aspects of audits selected by the inspection team. The inspection team member assigned to each audit will typically select higher risk audit areas and conduct meetings with the engagement team. In addition, they will review audit workpapers to understand the audit procedures performed over risk assessment and the engagement team’s responses to identified risks, including significant and fraud risks.
In preparing for inspections, we have seen firms perform a wide range of activities. Overall, we have found that teams that spend time reviewing the audit files and refamiliarizing themselves with the audit issues are more successful in articulating these issues during the actual inspection. We believe that preparation is key.
Keep in mind that there are a number of changes on the horizon. As I discussed in my recent article summarizing key PCAOB regulatory updates that the Board described at the recent annual AICPA Conference on Current SEC and PCAOB Developments in Washington, D.C., the PCAOB has established a dedicated team that will take a look at QC policies and effectiveness of all of the largest annually-inspected firms to draw comparisons and perhaps identify best practices.1 This hasn’t been established or put into place for the triennially inspected firms, including Mexican PCAOB-registered firms.

¿Existe alguna escalabilidad para que firmas más pequeñas cumplan con las normas del PCAOB? ¿El PCAOB tiene expectativas diferentes para las firmas más pequeñas?

Existe la expectativa de que todas las firmas que auditan a las empresas públicas de EE.UU., independientemente de su tamaño, apliquen las mismas normas del PCAOB en toda su práctica de auditoría. Por supuesto, las firmas más grandes tienen más complejidad en cómo se llevan a cabo esas normas y políticas. Por ejemplo, considera el cumplimiento de las normas y reglamentos de independencia de la SEC y del PCAOB de EE.UU. Una firma más grande con múltiples oficinas y múltiples filiales extranjeras necesitará más niveles y procesos para garantizar que los servicios, que no son de auditoría, prestados a una entidad en una ubicación no perjudiquen la independencia de los servicios de auditoría prestados a otra entidad en otra ubicación. Además, las firmas más grandes y complejas también pueden auditar a emisores más grandes y complejos.

En nuestra experiencia de trabajo con nuestros clientes, un área común donde vemos que se aplican las mismas expectativas en una inspección del PCAOB, tanto para firmas pequeñas como grandes, son las pruebas de los controles internos sobre la información financiera. Por ejemplo, el nivel de precisión de las pruebas de los controles de revisión de la administración sigue siendo un área que recibe mucho escrutinio por parte de los inspectores y vemos que estos problemas y comentarios surgen en todas las inspecciones que observamos.

Is there any scalability for smaller firms to comply with PCAOB standards? Does the PCAOB have different expectations for smaller firms?

There is an expectation that all firms that audit US public companies, regardless of size, apply the same PCAOB standards throughout their audit practice. Of course, the larger firms have more complexity in how those standards and policies are carried out. For example, consider compliance with US SEC and PCAOB independence rules and regulations. A larger firm with multiple offices and multiple foreign affiliates will need more layers and processes to ensure that non-audit services provided to an entity in one location do not impair the independence of audit services provided to another entity in another location. Further, larger, more complex firms may also be auditing larger, more complex issuers.
In our experience working with our clients, one common area where we see the same expectations are applied in a PCAOB inspection, for both small and large firms, are the tests of internal controls over financial reporting. For example, the level of precision of testing of management review controls is still an area that receives a lot of scrutiny by inspectors and we see these issues and comments surfacing on all inspections that we observe.

En su experiencia, ¿cuáles son los hallazgos comunes como resultado de una inspección a una firma no registrada ante el PCAOB y una firma registrada?

Las firmas no registradas ante el PCAOB están sujetas a revisiones de pares profesionales del AICPA solo para supervisión externa. Estas revisiones tienden a abarcar muchos más aspectos administrativos de la auditoría, además de los procedimientos de auditoría sobre las cuentas y revelaciones de los estados financieros. El AICPA no publica una cantidad significativa de información sobre asuntos identificados como resultado de estas revisiones. De nuestro trabajo con clientes, en el que ayudamos a las firmas a pasar por su proceso de revisión de pares con el mayor éxito posible, hemos observado que los problemas tienden a ser similares y pueden girar en torno a cuestiones como: (i) la falta de procedimientos para comprender el ambiente de control interno y el proceso de información financiera; (ii) realizar pruebas utilizando un tamaño de muestra inadecuado, y (iii) pruebas inadecuadas de reconocimiento de ingresos.
El PCAOB publica más información que compila los resultados de las inspecciones y las cuestiones generales identificadas. El documento que anticipa de manera previa las observaciones de las inspecciones de 2018, emitido por el personal del Organismo, identificó deficiencias de auditoría comunes de sus inspecciones de 2018 que incluían deficiencias en el ICFR, en la evaluación de riesgos e ingresos, en la auditoría de estimaciones, incluida la reserva para pérdidas por préstamos y de combinaciones de negocios y en los procedimientos para realizar la revisión de calidad del encargo, o la revisión recurrente.

En nuestro trabajo, realizando revisiones pre y post reporte (a la emisión del informe), de auditorías de varios tamaños, tanto bajo normas del PCAOB como las que no, y al ayudar a las firmas con sus inspecciones internas anuales, hemos visto la calidad sobre el entendimiento de los controles internos como una gran oportunidad. Por ejemplo, hemos visto la dependencia en el control interno para reducir las pruebas sustantivas cuando se realizó un trabajo insuficiente en los controles internos. A veces, los equipos del encargo creen que obtener una comprensión de los controles internos, como realizar pruebas de seguimiento, le permite al equipo confiar en los controles en un determinado proceso o en ciertas aseveraciones dentro de un proceso.

What would be common findings as a result of an inspection to a non-PCAOB registered firm and a registered firm?

Non-PCAOB registered firms are subject to AICPA peer reviews only for external oversight. These reviews tend go into many more administrative aspects of the audit in addition to the audit procedures over the financial statement accounts and disclosures. The AICPA does not publish a significant amount of information regarding thematic issues in peer review results. From our work with clients in which we help firms get through their peer review with as much success as possible, we have noted that the issues tend to be similar and can revolve around matters such as (i) lack of procedures to understand the internal control environment and the financial reporting process; (ii) performing tests using an inadequate sample size; and (iii) inadequate testing of revenue recognition.

The PCAOB does release more information that compiles results of inspections and identified broad themes. The Board’s Staff Preview of 2018 Inspection Observations identified common audit deficiencies from their 2018 inspections that included deficiencies over ICFR, Risk assessment and
revenue, audit estimates, including the allowance for loan losses and business combinations, and procedures to perform the engagement quality review, or concurring review.

In our work performing pre- and post-issuance reviews of PCAOB and non-PCAOB audits of various sizes, and assisting firms with their annual internal inspections, we have seen the quality of understanding internal controls is a big opportunity. For example, we have seen reliance on internal control to reduce substantive testing when insufficient work was performed on internal controls. Sometimes, engagement teams believe that gaining an understanding of internal controls –such as performing walkthroughs– gives teams the ability to rely on controls in a certain process or over certain assertions within a process.

¿Contra qué cree que luchan las firmas con frecuencia para llevar a cabo planes de remediación efectivos o mejoras en sus sistemas de control de calidad, incluida la oportunidad?

En nuestro trabajo con los clientes, una de las áreas en las que las firmas podrían mejorar es el “análisis de causa raíz”. Un plan de remediación efectivo es tan bueno como un análisis de causa raíz efectivo, de lo contrario, las acciones correctivas pueden no llegar al corazón de por qué ocurrió realmente una deficiencia. En JGA hemos visto una variedad de análisis de causa raíz que van desde procesos formales y documentados hasta conversaciones informales. Hemos descubierto que el concepto de tener un análisis de causa raíz formalizado está ganando terreno en las firmas inspeccionadas trienalmente, pero hay mucho trabajo por hacer en términos de desarrollar lo que el proceso representa y cómo se puede incorporar en el proceso de control de calidad e implementarlo consistentemente. Los nuevos miembros de la Junta del PCAOB han indicado que un análisis sólido de la causa raíz puede conducir a una mejor identificación de los problemas subyacentes de por qué ocurrió una deficiencia en la auditoría o en el control de calidad. Cualquiera de sus lectores que hayan pasado por una inspección del PCAOB en 2019 y que hayan recibido un “formulario de comentarios” puede recordar una nueva sección que se agregó pidiéndoles a las firmas que identifiquen el área de control de calidad relevante que puede estar relacionada con cada hallazgo.

Esta es solo una de las formas en que el PCAOB está haciendo hincapié en la importancia de realizar un análisis de causa raíz y solicitando a las firmas que asuman más responsabilidad en esta área. Además, el PCAOB está considerando incrementar los requisitos de control de calidad, en las consideraciones del documento mencionado anteriormente, para requerir un análisis de causa raíz, o una norma por separado, para alinearse con la ISQM 1 propuesta que, tal como está redactada, requiere que una firma tenga un análisis de causa raíz incorporado a su sistema de control de calidad.

What would you think firms frequently struggle with, in respect to carry out effective remediation plans or improvements to their QC Systems, including timing?

In our work with clients, one of the areas that firms could do better in is root cause analysis. An effective remediation plan is only as good as an effective root cause analysis, otherwise the remedial actions may not be getting to the heart of why a deficiency actually occurred. At JGA we’ve seen a variety of root cause analyses ranging from formal, documented processes to informal conversations. We’ve found that the concept of having a formalized RCA is gaining traction at the triennially-inspected firms, but there’s much work to do in terms of developing what the process looks like and how it can be put into the QC process and consistently implemented. The new PCAOB Board members have indicated that a robust root cause analysis can lead to better identifying the underlying issues as to why an audit or QC deficiency occurred. Any of your readers that have gone through a PCAOB inspection in 2019 and that received a comment form may remember a new section that was added to the comment form asking firms to identify the relevant QC area that may be related to each finding.

This is just one way that the PCAOB is driving home the importance of performing an RCA, and asking the firms to take more accountability in this area. In addition, the PCAOB is considering incremental requirements to the new concept release on QC standards to require root cause analysis, or a separate standard, to align with proposed ISQM 1 that, as drafted, requires a firm to have a root cause analysis built into their QC system.

Como parte del proceso de inspección de control de calidad realizado por el IMCP, también se solicitan planes de remediación a las firmas. Al no tener una estructura robusta como la del PCAOB, ¿cuál sería un buen enfoque para el seguimiento de las acciones correctivas de las firmas y cómo evaluar su efectividad?

Las firmas deben continuar incorporando el monitoreo de la efectividad de los planes de remediación en sus procesos internos. Esto debería ser independientemente de cómo se identificó la cuestión, ya sea por inspección interna o inspección regulatoria. También debería ser independientemente de si el regulador externo tiene la capacidad de hacer un seguimiento oportuno y exhaustivo de estas cuestiones. Esto se puede hacer a través de varios mecanismos. Primero, las firmas pueden mejorar su proceso de inspección interna seleccionando encargos donde es aplicable una cuestión particular, adaptando procedimientos específicos de inspección interna para verificar si el problema es recurrente en una auditoría posterior del mismo cliente, o diferentes encargos con los mismos riesgos o cuestiones de auditoría. Además, los procedimientos realizados por la revisión recurrente o la Revisión de calidad del encargo, como la llamamos bajo las normas del PCAOB, pueden mejorarse para incluir procedimientos específicos para revisar el trabajo relacionado con las áreas de auditoría donde ocurrieron deficiencias en el pasado.

Desde una perspectiva puramente regulatoria, un enfoque rentable para la supervisión de las acciones de remediación podría ser uno de naturaleza más detectiva. Por ejemplo, el regulador podría considerar los resultados de las inspecciones posteriores y, en los casos en que se repitan los resultados (de inspecciones anteriores), el regulador podría realizar procedimientos adicionales para comprender y evaluar la efectividad de las acciones correctivas de las firmas. Además, el regulador también podría calificar con base en riesgo a las firmas e inspecciones y centrar los esfuerzos de remediación en las firmas con las peores inspecciones y/o en las firmas con mayor exposición al riesgo desde una perspectiva de los interesados en la información financiera.

As part of the QC inspection process carried by the IMCP, remediation plans are also requested to firms. Not having a robust structure such as PCAOB’s, what would be a good approach to follow-up remedial actions from firms and how to evaluate their effectiveness?

Firms should continue to incorporate the monitoring of the effectiveness of remediation plans into their internal processes. This should be regardless of how the matter was identified, whether it was from internal inspection, or regulatory inspection. It should also be regardless of whether the external regulator has the capacity to follow up timely and thoroughly on these matters. This can be done through a number of mechanisms.

First, firms can enhance their internal inspection process by selecting engagements where a particular matter is applicable, tailoring specific internal inspection procedures to vet out whether the issue is recurring in a subsequent audit of the same engagement, or different engagements with the same risks or audit issues. Further, the procedures performed by the concurring review, or Engagement Quality Review as we call it under PCAOB standards, can be enhanced to include specific procedures to review work pertaining to audit areas where deficiencies occurred in the past.

From a purely regulatory perspective, a cost-effective approach to oversight of remediation actions could be one that’s more detective in nature. For instance, the regulator could consider the results of subsequent inspections and in instances where there are repeat findings (from previous inspections), the regulator could perform additional procedures to understand and evaluate effectiveness of firms’ remedial actions. In addition, the regulator could also risk-rate firms and inspections and focus remediation efforts on either firms with the worst inspections and/or on firms with the most risk exposure from a stakeholder perspective.

Some of the professionals that have been involved in a PCAOB inspection, at least in Mexico, have noted that the reporting and follow-up processes, as a result of inspections, take too much time [sometimes up to two years]. Have you noted any recent changes to the time it takes for Firms to receive draft/final inspection reports?

I have not noted a significant change to report issuance time, either positive or negative. Based on the board’s remarks at the AICPA conference, the largest annually inspected firms will be the first to receive their reports in a new format, including a new Part I.B which will report on non-compliance with standards in an audit even though the audit opinion was supported. The Board gave examples such as non-compliance with AS 1215, Audit Documentation, or AS 1301 Communications with Audit Committees. From some conversations with clients, the rollout of this new report format has caused some delay with issuance of reports for the largest firms.

Algunos de los profesionales que han participado en una inspección del PCAOB, al menos en México, han notado que los procesos de reporte y seguimiento, como resultado de las inspecciones, toman demasiado tiempo [a veces hasta dos años]. ¿Ha habido algún cambio reciente en el tiempo que tardan las firmas en recibir los informes de inspección preliminares/finales?

No he notado un cambio significativo en el tiempo para la emisión de reportes, ya sea positivo o negativo. Según los comentarios de la nueva Junta en la conferencia del AICPA, las firmas más grandes inspeccionadas anualmente serán las primeras en recibir sus informes en un nuevo formato, incluida una nueva Parte I.B que informará sobre el incumplimiento de las normas en una auditoría, aun cuando la opinión de auditoría esté soportada. La Junta dio ejemplos como el incumplimiento de la AS 1215, Documentación de auditoría, o AS 1301 Comunicaciones con los comités de auditoría. De acuerdo con algunas conversaciones con clientes, el lanzamiento de este nuevo formato de informe ha causado cierto retraso con la emisión de informes para las firmas más grandes.

Jackson, en relación con la pregunta anterior, ¿qué diría sobre la efectividad de los planes de remediación de las firmas, considerando el tiempo tan largo en los procesos de información y seguimiento?

Nuestros clientes deben ser un poco creativos y proactivos para implementar acciones correctivas a tiempo, es decir, antes de la auditoría del próximo año, aun cuando no tengan un borrador del reporte de inspección para articular claramente los resultados de la inspección. Si bien las acciones de remediación no son necesarias hasta la emisión del reporte, cuanto antes se puedan implementar los cambios, cuanto antes los equipos podrán comenzar a aprender y mejorar sus auditorías. Por lo tanto, a menudo recomendamos algún elemento para adelantarse al reporte en aras de realizar mejoras oportunas a las capacitaciones, metodología y políticas y procedimientos de control de calidad de la firma.

Para comenzar, las firmas tienen una copia de los formularios de comentarios y estos formularios de comentarios son la base del informe. Por lo tanto, si bien los hallazgos en el reporte pueden evolucionar levemente a partir de los formularios de comentarios, generalmente están estrechamente alineadas y, si bien los procedimientos que las firmas implementan primero pueden no responder completamente a los hallazgos del reporte, creemos que implementar tempranamente algunas acciones de remediación es una forma significativa de mejorar la calidad de la auditoría de inmediato. Creemos que las firmas en México, que contemplan realizar cambios en su sistema de control de calidad en respuesta a los hallazgos de una inspección del IMCP, podrían seguir un enfoque similar. Esperar un informe a veces significa esperar otro ciclo de año de auditoría.

Jackson, followed to the earlier question, what would you tell about effectiveness of firms’ remediation plans considering such a long timing in the reporting and followup processes?

Our clients need to be a little creative and be proactive to implement remedial actions timely –meaning before the next year’s audit– when they do not yet have a draft inspection report to clearly articulate the findings from the inspection. While the remediation actions are not required until the issuance of the report, the sooner changes can be implemented the sooner teams can start learning and improving their audits.

So we often recommend some element of getting ahead of the report for the sake of making timely improvements to the Firm’s trainings, methodology, and QC policies and procedures. To start, firms have a copy of the comment forms and these comment forms are the basis of the report. Thus, while the criticisms in the report may evolve slightly from the comment forms, they are typically closely aligned and while the procedures the firms first implement may not fully respond to the criticisms in the report, we believe that implementing some remediation actions early is a meaningful way to improve audit quality immediately. We believe that firms in Mexico contemplating making changes to their system of quality control in response to findings from an IMCP inspection could follow a similar approach. Waiting for a report sometimes means waiting another audit year cycle. 

Por otro lado, ¿cómo describe los principales desafíos que una firma contable debe enfrentar para cumplir con la normatividad y reglas del PCAOB [o un regulador equivalente de otro país]?

Entre otras cuestiones, hemos encontrado que trabajar con nuestros clientes con sede en el extranjero es que los desafíos más comunes que enfrentan es comprender las reglas y regulaciones de independencia del PCAOB y de la SEC y los requisitos o restricciones “adicionales” de sus jurisdicciones locales. Por ejemplo, las reglas de las personas cubiertas y lo que se considera servicios prohibidos que no son de auditoría suelen ser más estrictos según las reglas y regulaciones de la SEC y del PCAOB en EE.UU. de lo que hemos visto en jurisdicciones extranjeras locales.

Las firmas deben contar con una herramienta para analizar esto para sus empresas públicas en EE.UU., y considerar la creación de salvaguardas para garantizar que una persona calificada con experiencia en los requisitos de independencia en Estados Unidos eche un vistazo a estos problemas complejos cuando se trata de la aceptación del cliente, la retención y las comunicaciones a los comités de auditoría, y el desempeño de cualquier servicio que no sea de auditoría, incluidos los servicios fiscales.
Otra área que suele ser más difícil es la comprensión del diseño y las pruebas de la efectividad operativa de los controles para auditorías integradas. Si bien la mayoría entiende el concepto de controles, encontramos que muchos equipos de trabajo luchan por comprender cómo funcionan los controles en el contexto de una auditoría integrada y cómo los controles efectivos o inefectivos pueden afectar el enfoque sustantivo general de la auditoría. El PCAOB tiene normas específicas dedicadas únicamente a comprender y probar el diseño y la efectividad operativa de los controles en una auditoría integrada.

On the other hand, how would you describe the major challenges an accounting firm should face to become PCAOB [or an equivalent regulator from other country] compliant?

Among other matters, we have found working with our foreign-based clients that the most common challenges they face are understanding PCAOB and SEC independence rules and regulations and the “add-on” requirements or restrictions from their local jurisdictions. For example, the rules of covered persons, and what are considered prohibited non-audit services are usually more strict under US SEC and PCAOB rules and regulations than we have seen of local foreign jurisdictions. Firms need to have a tool in place to look at these for their US public companies and considering building in safeguards to ensure a qualified individual with experience in independence requirements in United States takes a look at these complex issues when it comes to client acceptance, retention, and communications to audit committees, and performance of any non-audit services, including tax services.

Another area that is typically more challenging is around the understanding of the design and testing of the operating effectiveness of controls for integrated audits. While most understand the concept of controls, we find that many engagement teams struggle to understand how controls work in the context of an integrated audit and how effective or ineffective controls can impact the overall substantive audit approach. The PCAOB has specific standards dedicated solely to understanding and testing the design and operating effectiveness of controls in an integrated audit.

¿Qué recomienda a aquellas firmas que, aunque no son firmas registradas ante el PCAOB, tienen que cumplir con el requisito de implementar un sistema de control de calidad?

Recomendaría a las firmas que establezcan un tono sólido en la alta dirección, reforzando la importancia de seguir el sistema de control de calidad de la firma, para garantizar que las auditorías se realicen de acuerdo con las normas pertinentes. Un tono sólido en la alta dirección muestra al resto de la firma que el manual de control de calidad es más que un manual; es una colección de documentación, requisitos y principios en los que todos deben pensar y cumplir cada día que trabajan en sus clientes de auditoría.

What would you recommend to those firms that, even they are not registered firms before the PCAOB, they have to comply with the requirement to implement a system of quality control?

I would recommend firms to set a robust tone at the top reinforcing the importance of following the firm’s system of quality controls to ensure that audits are performed in accordance with the relevant standards. A strong tone at the top shows the rest of the firm that the QC manual is more than just a manual; it is a collection of documentation, requirements, and principles that everyone should think about and must adhere to each day they work on their audit clients.

¿Qué tan importante debe ser la inversión para adoptar un sistema de control de calidad de una firma contable? y ¿en qué medida tal inversión podría limitar una implementación exitosa?

Un buen sistema de control de calidad, que refleje el tamaño, la complejidad y la naturaleza de la práctica de una firma, es muy importante. Esto requiere una inversión de tiempo y dinero. Lo que veo aún más importante que la adopción de un sistema de control de calidad es el monitoreo continuo de la efectividad del sistema mismo. Aquí es donde vale la pena una inversión, para que sea importante la identificación adecuada de por qué algo salió mal y los pasos para solucionarlo. Un sistema adecuado de control de calidad en una firma, por lo tanto, es evolutivo.

How important the investment to adopt a system of quality control should be for an accounting firm? And, to what extent such an investment could limit a successful implementation?

A good system of quality of control, reflective of the size, complexity, and nature of a firm’s practice, is very important. This requires an investment of time and money. What I see as even more important as the adoption of a system of QC is the ongoing monitoring of the effectiveness of the system of QC. This is where an investment is worthwhile so that proper identification of why something went wrong, and the steps to fix it, is important. A proper system of QC at a firm, therefore, is an evolutionary one. I think it needs to be evolutionary.

Varias firmas en México han sido inspeccionadas por el PCAOB, y durante el último año hasta la fecha, la Junta ha anunciado públicamente ciertas resoluciones ejecutorias para algunas de las firmas revisadas. Dada la jurisdicción en que esto tiene lugar, y desde su perspectiva profesional, ¿qué reacción se puede esperar de los organismos reguladores y del IMCP ante las firmas y personas involucradas?

No tengo una idea clara sobre el proceso que el IMCP tiene que considerar sobre los hallazgos del PCAOB en las firmas mexicanas. Creo que sería importante tanto para la firma como para los organismos reguladores relevantes comprender el efecto de los hallazgos en las auditorías de la firma, incluidas tanto las auditorías sujetas a los hallazgos del PCAOB como las auditorías que quedan fuera de la jurisdicción del PCAOB. Esto ayudaría a la firma a determinar qué más, además de las acciones remediales requeridas, debería considerarse para estos otros aspectos de la práctica de la firma. Un plan de remediación completo y efectivo consideraría con un mayor alcance la aplicabilidad de los hallazgos en toda la práctica de la firma.

Various firms in Mexico have been inspected by the PCAOB, and over the past year to date, the Board has publicly announced certain enforcement actions to some of the reviewed firms. Given the jurisdiction this takes place, and from your professional perspective, what would you expect from regulators and the IMCP to react on the involved firms and individuals?

I don’t have any insight into the process IMCP has to consider the findings from PCAOB on Mexican firms. I think it would be important for both the firm and any relevant regulatory bodies to understand the effect of the finding on the firm’s audits, including both the audits subject to the PCAOB findings as well as the audits that fall outside of the PCAOB’s jurisdiction. This would help the firm determine what else beyond any required remedial actions should be considered for these other aspects of the firm’s practice. A full and effective remediation plan would look at the applicability of the findings to the broader practice of the firm.

Dados los cambios propuestos a las Normas Internacionales de Calidad, emitidos por el IAASB, ¿sabe si el PCAOB está planeando cambios similares a sus normas de calidad? ¿Y cuán desafiantes prevé estos cambios para las firmas de auditoría?

¡Sí! El PCAOB emitió un comunicado escrito a mediados de diciembre de 2019 para proponer cambios significativos a sus normas de control de calidad. El enfoque potencial propuesto por el PCAOB en el documento se basa en la Norma Internacional de Gestión de Calidad propuesta, ISQM 1. Esto fortalecerá las normas de control de calidad utilizando un marco integrado basado en el riesgo y ayudará a evitar diferencias innecesarias entre los marcos del PCAOB y del IAASB, y también reducen las evaluaciones costosas en torno a esas diferencias para garantizar que se aborden en firmas que necesitan cumplir con ambos conjuntos de normas.

Si bien debería ser escalable, es demasiado pronto para saber cómo funcionaría eso en la práctica. Sobre el documento emitido, actualmente se están buscando comentarios del público y, como resultado, aún no sabemos si la ISQM 1 y la propuesta en el documento del PCAOB serán la versión final adoptada. Creo que los esfuerzos necesarios para implementar la nueva norma, sean cuales sean las normas finales del IASSB y del PCAOB, valdrán la pena y pueden ayudar a reducir los costos en el futuro, ya que el modelo es un enfoque basado en el riesgo. Todavía hay muchas consideraciones que se estarán moviendo y pasará algún tiempo antes de que tengamos una regla final para que la implementen las firmas.

Given the proposed changes to the International Quality Standards, issued by the IAASB, do you know whether the PCAOB is planning on similar changes to its quality standards? And how challenging you foresee these changes to put in place for auditing firms?

Yes! The PCAOB has issued a concept release in mid-December 2019 to propose significant changes to its QC standards. The potential approach proposed by the PCAOB in the concept release is based on the proposed International Standard on Quality  Management, ISQM 1. This will strengthen the QC standards using an integrated risk-based framework and will help avoid unnecessary differences between PCAOB and IAASB frameworks, and also reduce costly evaluations around those differences to ensure they are addressed in firms that need to comply with both sets of standards. While it should be scalable, it is too early to tell how that would work in practice. The concept release is currently seeking feedback from the public and as a result, we don’t know yet whether ISQM 1 and the new PCAOB concept release will be the final adopted version.

I believe the efforts required to implement the new standard –whatever the final standards may be from IASSB and PCAOB– will be well worth it and can help reduce costs in the future since the model is a risk-based approach. There are still a lot of moving parts and it will be some time before we have a final rule for firms to implement.

Jackson, nuevamente aprecio la oportunidad de tener esta conversación con usted. Sus comentarios, retroalimentación y puntos de vista nos dan, a los que conformamos la más grande organización de profesionistas contables en México, un mensaje alentador sobre lo que tenemos que prever en el futuro cercano con respecto a la mejora de la calidad, no solo en la práctica de auditoría, sino también en nuestras prácticas profesionales contables generales. Le deseo todo el éxito en JGA y a su equipo por el trabajo que están haciendo hoy en día.

Jackson, again, I really appreciate the opportunity to have this chat with you. Your comments, feedback and points of view gives us, all what we compose the major professional accountancy organization in Mexico, an encouraging message on what we have to foresee in the near future regarding the improvement of quality, not only in the audit practice, but also, in our overall professional accountancy practices. Thank you very much, and all the success at JGA and your team for the work are currently doing.

Entrevista por C.P.C. Rogelio Ávalos Andrade | Presidente de la Comisión Administradora de Calidad del IMCP | roavalos@bakertilly.mx | Fotografía cortesía de Jackson Johnson