miércoles, 20 de febrero de 2013

La función auditora básica en la supervisión

Jesús Aisa Díez.

En un arco de medio punto todas las piezas que lo componen son imprescindibles para conseguir la adecuada distribución de las fuerzas que han de soportar, pero de ellas la que cierra el conjunto por su parte superior, la denominada clave, es  básica para conseguir el objetivo perseguido, siendo la última en colocarse y con la que finaliza su construcción.
Algo similar ocurre con el Control Interno y la Auditoría Interna, pues como ya hemos comentado en otras ocasiones: No podrá haber un buen Control Interno si no existe un adecuado Gobierno Corporativo, mientras que éste no será posible si la Organización no cuenta con una Comisión de Auditoría que realice con eficacia su función, para lo cual  precisará de una función de auditoría interna que le apoye activa y fehacientemente en la realización de sus responsabilidades. Entre ellas la Supervisión del modelo de control aplicado,  que resultará clave para valorar y concluir sobre la situación real observada, aportando las recomendaciones de mejora que se entiendan oportunas proponer. Siendo esta actividad verificadora con la que se completa el proceso.

Debido a ello, múltiples son los protocolos que describen la forma de gestionar esta actividad, de los que destacaríamos la Guía para la Supervisión de Sistemas de Control Interno emitido por COSO en el año 2010,  que nos ayuda a desarrollar en forma integra la verificación de todo el sistema empleado, comprobando las distintas fases que en él deben intervenir. Tal y como se recoge en el siguiente gráfico:  
                  
Pero si del total del Sistema de Control Interno, descendemos a los distintos objetivos individuales que lo componen: (i) Fiabilidad de la información, (ii) cumplimiento de leyes y normas y (iii) eficiencia y eficacia de las operaciones, podremos observar que donde los reguladores se han centrado en forma predominante ha sido en la supervisión de la información financiera. Prueba de ello es la Ley Sarbanes-Oxley, cuyo fin es garantizar la fiabilidad de los EEFF de las sociedades cotizadas en la Bolsa de NY, de cuyo contenido destacaríamos, por lo que a la función de auditoría interna se refiere, las Secciones 302 y 404.

Dado que Sarbanes-Oxley solo afecta legalmente a las sociedades que coticen sus acciones en Wall Street, los supervisores de otros países se han visto “obligados” a recoger en sus ordenamientos jurídicos o en sus recomendaciones como mejores prácticas, versiones nacionalizadas de la misma. Un ejemplo de ello es la publicación de la Comisión Nacional del Mercado de Valores española, referente al Control Interno de la Información Financiera en las entidades cotizadas (SCIIF) en las bolsas españolas, encontrándose  entre sus objetivos los siguientes:

a)   Establecer un marco de referencia de principios y buenas prácticas relativas a los Sistemas de Control Interno de la Información Financiera, incluyendo la supervisión de su funcionamiento.

b)   Contribuir a mejorar la transparencia de la información que las entidades cotizadas difundan a los mercados de valores sobre su SCIIF.

Aun siendo varios los aspectos destacables de esta publicación, como anticipo de los mismos, y en lo que a la actividad supervisora se refiere, a continuación reproducimos los 16 aspectos que permitirán a las partes interesadas posicionarse sobre el grado de control existente en la Organización, y que podrían emplearse como  KRI´s al valorar la transparencia y bondad de la información financiera difundida a los mercados:

Respecto del ambiente de control: Se haría necesario conocer:

1.  Qué órganos y/o funciones son los responsables de: (i) la existencia y mantenimiento de un adecuado y efectivo SCIIF; (ii) su implantación; y (iii) su supervisión.

2.    Qué departamentos y/o mecanismos están encargados: (i) del diseño y revisión de la estructura organizativa; (ii) de definir claramente las líneas de responsabilidad y autoridad, con una adecuada distribución de tareas y funciones; y (iii) de que existan procedimientos suficientes para su correcta difusión en la entidad, en especial, en lo relativo al proceso de elaboración de la información financiera.

3. Si existen, especialmente en lo relativo al proceso de elaboración de la información financiera, los siguientes elementos:

o   Código de conducta, órgano de aprobación, grado de difusión e instrucción, principios y valores incluidos (indicando si hay menciones específicas al registro de operaciones y elaboración de información financiera), órgano encargado de analizar incumplimientos y de proponer acciones correctoras y sanciones.

o   Canal de denuncias, que permita la comunicación al comité de auditoría de irregularidades de naturaleza financiera y contable, en adición a eventuales incumplimientos del código de conducta y actividades irregulares en la organización, informando en su caso si éste es de naturaleza confidencial.

o   Programas de formación y actualización periódica para el personal involucrado en la preparación y revisión de la información financiera, así como en la evaluación del SCIIF, que cubran al menos, normas contables, auditoría, control interno y gestión de riesgos.

Respecto de la evaluación de riesgos de la evaluación financiera:

4. Cuáles son las principales características del proceso de identificación de riesgos, incluyendo los de error o fraude, en cuanto a:

  • Si el proceso existe y está documentado.
  • Si el proceso cubre la totalidad de objetivos de la información financiera,
  • (existencia y ocurrencia; integridad; valoración; presentación, desglose y comparabilidad; y derechos y obligaciones), si se actualiza y con qué frecuencia.
  • La existencia de un proceso de identificación del perímetro de consolidación, teniendo en cuenta, entre otros aspectos, la posible existencia de estructuras societarias complejas, entidades instrumentales o de propósito especial.
  • Si el proceso tiene en cuenta los efectos de otras tipologías de riesgos
  • (operativos,tecnológicos,financieros,legales,reputacionales,medioambientales etc.) en la medida que afecten a los estados financieros.
  • Qué órgano de gobierno de la entidad supervisa el proceso.

Sobre las actividades de control:

5. Documentación descriptiva de los flujos de actividades y controles (incluyendo los relativos al riesgo de fraude) de los distintos tipos de transacciones que puedan afectar de modo material a los estados financieros, incluyendo el procedimiento de cierre contable y la revisión específica de los juicios, estimaciones, valoraciones y proyecciones relevantes.

6. Políticas y procedimientos de control interno sobre los sistemas de información (entre otras, sobre seguridad de acceso, control de cambios, operación de los mismos, continuidad operativa y segregación de funciones) que soporten los procesos relevantes de la entidad en relación a la elaboración y publicación de la información financiera.

7. Políticas y procedimientos de control interno destinados a supervisar la gestión de las actividades subcontratadas a terceros, así como de aquellos aspectos de evaluación, cálculo o valoración encomendados a expertos independientes, que puedan afectar de modo material a los estados financieros.

8. Procedimientos de revisión y autorización de la información financiera y la descripción del SCIIF, a publicar en los mercados de valores, indicando sus responsables.

En la información y comunicación

9. Si se dispone de una función específica encargada de definir y mantener actualizadas las políticas contables (área o departamento de políticas contables), así como para resolver dudas o conflictos derivados de su interpretación, manteniendo una comunicación fluida con los responsables de las operaciones en la organización.

10. Un manual de políticas contables actualizado y comunicado a las unidades a través de las que opera la entidad.

11. Mecanismos de captura y preparación de la información financiera con formatos homogéneos, de aplicación y utilización por todas las unidades de la entidad o del grupo, que soporten los estados financieros principales y las notas, así como la información que se detalle sobre el SCIIF

Y en cuanto a la supervisión del sistema:

12. Si cuenta con una función de auditoría interna que tenga entre sus competencias la de apoyo al comité de auditoría en su labor de supervisión del sistema de control interno, incluyendo el SCIIF.

13. Si cuenta con un procedimiento de discusión mediante el cual, el auditor de cuentas, la función de auditoría interna y otros expertos, puedan comunicar a la alta dirección y al comité de auditoría o administradores de la entidad las debilidades significativas de control interno identificadas durante los procesos de revisión de las cuentas anuales o aquellos otros que les hayan sido encomendados. Asimismo informará de si dispone de un plan de acción que trate de corregir o mitigar las debilidades observadas.

14. Una descripción del alcance de la evaluación del SCIIF realizada en el ejercicio y del procedimiento por el cual el encargado de ejecutarla comunica sus resultados, si la entidad cuenta con un plan de acción que detalle las eventuales medidas correctoras, y si se ha considerado su impacto en la información financiera.

15. Una descripción de las actividades de supervisión del SCIIF realizadas por el comité de auditoría.

16. Si la información del SCIIF remitida a los mercados ha sido sometida a revisión por el auditor externo, en cuyo caso la entidad debería incluir el informe correspondiente. En caso contrario, debería informar de sus motivos.

Obviamente si las organizaciones, conjuntamente con la información que deban presentar a los Supervisores respecto a los Estados Financieros a la que estén obligados, incluyeran este cuestionario debidamente verificado por su Unidad de Auditoría Interna, es indudable que habremos aportado un plus de fiabilidad a los datos difundidos, que ahora complementarían a la opinión de los auditores externos respecto de la imagen fiel que se deriva de las prácticas contables empleadas. Por lo que en mi opinión esta forma de actuar deberíamos considerarla una buena práctica, incluyendo la sugerida auditoría de esta información como un ente auditable más en el Plan de Auditoría 

Si existiese interés por conocer en su integridad el documento SCIIF al que nos hemos referido, a este se puede acceder en la página web http://www.cnmv.es/ .

Espero les sea de utilidad.

Jesús Aisa Díez. Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.

¿Te ha gustado el post? ¡Dejamos saber tu opinión a través de un comentario!

No hay comentarios:

Publicar un comentario