Jesús Aisa Díez.
En un arco de medio punto
todas las piezas que lo componen son imprescindibles para conseguir la adecuada
distribución de las fuerzas que han de soportar, pero de ellas la que cierra el
conjunto por su parte superior, la denominada clave, es básica para
conseguir el objetivo perseguido, siendo la última en colocarse y con la que
finaliza su construcción.
Algo similar ocurre con el Control Interno y la Auditoría Interna, pues
como ya hemos comentado en otras ocasiones: No
podrá haber un buen Control Interno si no existe un adecuado Gobierno
Corporativo, mientras que éste no será posible si la Organización no cuenta con
una Comisión de Auditoría que realice con eficacia su función, para lo cual precisará de una función de auditoría interna
que le apoye activa y fehacientemente en la realización de sus responsabilidades.
Entre ellas la Supervisión del
modelo de control aplicado, que resultará clave para valorar y
concluir sobre la situación real observada, aportando las recomendaciones de
mejora que se entiendan oportunas proponer. Siendo esta actividad verificadora
con la que se completa el proceso.
Debido a ello, múltiples son los protocolos que describen la forma de
gestionar esta actividad, de los que destacaríamos la Guía para la Supervisión de Sistemas
de Control Interno emitido por COSO en el año 2010, que nos ayuda a
desarrollar en forma integra la verificación de todo el sistema empleado,
comprobando las distintas fases que en él deben intervenir. Tal y como se
recoge en el siguiente gráfico:
Pero si del total del Sistema de Control Interno, descendemos a los
distintos objetivos individuales que lo componen: (i) Fiabilidad de la
información, (ii) cumplimiento de leyes y normas y (iii) eficiencia y eficacia
de las operaciones, podremos observar que donde los reguladores se han centrado
en forma predominante ha sido en la supervisión de la información financiera. Prueba
de ello es la Ley Sarbanes-Oxley, cuyo fin es garantizar la fiabilidad de los
EEFF de las sociedades cotizadas en la Bolsa de NY, de cuyo contenido destacaríamos,
por lo que a la función de auditoría interna se refiere, las Secciones 302 y
404.
Dado que Sarbanes-Oxley solo afecta legalmente a las sociedades que
coticen sus acciones en Wall Street, los supervisores de otros países se han
visto “obligados” a recoger en sus ordenamientos jurídicos o en sus
recomendaciones como mejores prácticas, versiones nacionalizadas de la misma.
Un ejemplo de ello es la publicación de la Comisión Nacional del Mercado de
Valores española, referente al Control
Interno de la Información Financiera en las entidades cotizadas (SCIIF) en
las bolsas españolas, encontrándose
entre sus objetivos los siguientes:
a)
Establecer un marco
de referencia de principios y buenas prácticas relativas a los Sistemas de
Control Interno de la Información Financiera, incluyendo la supervisión de
su funcionamiento.
b)
Contribuir a
mejorar la transparencia de la información que las entidades cotizadas difundan
a los mercados de valores sobre su SCIIF.
Aun siendo varios los
aspectos destacables de esta publicación, como anticipo de los mismos, y en lo
que a la actividad supervisora se refiere, a continuación reproducimos los 16
aspectos que permitirán a las partes interesadas posicionarse sobre el grado de
control existente en la Organización, y que podrían emplearse como KRI´s al valorar la transparencia y bondad de
la información financiera difundida a los mercados:
Respecto del ambiente de control: Se haría necesario conocer:
1. Qué órganos y/o funciones son los responsables de:
(i) la existencia y mantenimiento de un adecuado y efectivo SCIIF; (ii) su
implantación; y (iii) su supervisión.
2.
Qué departamentos
y/o mecanismos están encargados: (i) del diseño y revisión de la estructura
organizativa; (ii) de definir claramente las líneas de responsabilidad y
autoridad, con una adecuada distribución de tareas y funciones; y (iii) de que
existan procedimientos suficientes para su correcta difusión en la entidad, en
especial, en lo relativo al proceso de elaboración de la información
financiera.
3. Si existen, especialmente en lo relativo al proceso de elaboración
de la información financiera, los siguientes elementos:
o Código de conducta, órgano de aprobación, grado de
difusión e instrucción, principios y valores incluidos (indicando si hay
menciones específicas al registro de operaciones y elaboración de información financiera),
órgano encargado de analizar incumplimientos y de proponer acciones correctoras
y sanciones.
o Canal de denuncias, que permita la comunicación al
comité de auditoría de irregularidades de naturaleza financiera y contable, en
adición a eventuales incumplimientos del código de conducta y actividades
irregulares en la organización, informando en su caso si éste es de naturaleza confidencial.
o Programas de formación y actualización periódica
para el personal involucrado en la preparación y revisión de la información
financiera, así como en la evaluación del SCIIF, que cubran al menos, normas contables,
auditoría, control interno y gestión de riesgos.
Respecto de la evaluación de riesgos de la
evaluación financiera:
4. Cuáles son las
principales características del proceso de identificación de riesgos,
incluyendo los de error o fraude, en cuanto a:
- Si el proceso existe y está documentado.
- Si el proceso cubre la totalidad de objetivos de la información financiera,
- (existencia y ocurrencia; integridad; valoración; presentación, desglose y comparabilidad; y derechos y obligaciones), si se actualiza y con qué frecuencia.
- La existencia de un proceso de identificación del perímetro de consolidación, teniendo en cuenta, entre otros aspectos, la posible existencia de estructuras societarias complejas, entidades instrumentales o de propósito especial.
- Si el proceso tiene en cuenta los efectos de otras tipologías de riesgos
- (operativos,tecnológicos,financieros,legales,reputacionales,medioambientales etc.) en la medida que afecten a los estados financieros.
- Qué órgano de gobierno de la entidad supervisa el proceso.
5. Documentación
descriptiva de los flujos de actividades y controles (incluyendo los relativos
al riesgo de fraude) de los distintos tipos de transacciones que puedan afectar
de modo material a los estados financieros, incluyendo el procedimiento de
cierre contable y la revisión específica de los juicios, estimaciones,
valoraciones y proyecciones relevantes.
6. Políticas y
procedimientos de control interno sobre los sistemas de información (entre
otras, sobre seguridad de acceso, control de cambios, operación de los mismos,
continuidad operativa y segregación de funciones) que soporten los procesos
relevantes de la entidad en relación a la elaboración y publicación de la
información financiera.
7. Políticas y
procedimientos de control interno destinados a supervisar la gestión de las
actividades subcontratadas a terceros, así como de aquellos aspectos de evaluación,
cálculo o valoración encomendados a expertos independientes, que puedan afectar
de modo material a los estados financieros.
8. Procedimientos
de revisión y autorización de la información financiera y la descripción del
SCIIF, a publicar en los mercados de valores, indicando sus responsables.
En la información y comunicación
9. Si se dispone de
una función específica encargada de definir y mantener actualizadas las políticas
contables (área o departamento de políticas contables), así como para resolver
dudas o conflictos derivados de su interpretación, manteniendo una comunicación
fluida con los responsables de las operaciones en la organización.
10. Un manual de
políticas contables actualizado y comunicado a las unidades a través de las que
opera la entidad.
11. Mecanismos de
captura y preparación de la información financiera con formatos homogéneos, de
aplicación y utilización por todas las unidades de la entidad o del grupo, que
soporten los estados financieros principales y las notas, así como la
información que se detalle sobre el SCIIF
Y en cuanto a la supervisión del sistema:
12. Si cuenta con
una función de auditoría interna que tenga entre sus competencias la de apoyo
al comité de auditoría en su labor de supervisión del sistema de control
interno, incluyendo el SCIIF.
13. Si cuenta con
un procedimiento de discusión mediante el cual, el auditor de cuentas, la
función de auditoría interna y otros expertos, puedan comunicar a la alta
dirección y al comité de auditoría o administradores de la entidad las
debilidades significativas de control interno identificadas durante los
procesos de revisión de las cuentas anuales o aquellos otros que les hayan sido
encomendados. Asimismo informará de si dispone de un plan de acción que trate
de corregir o mitigar las debilidades observadas.
14. Una descripción
del alcance de la evaluación del SCIIF realizada en el ejercicio y del
procedimiento por el cual el encargado de ejecutarla comunica sus resultados,
si la entidad cuenta con un plan de acción que detalle las eventuales medidas
correctoras, y si se ha considerado su impacto en la información financiera.
15. Una descripción
de las actividades de supervisión del SCIIF realizadas por el comité de
auditoría.
16. Si la
información del SCIIF remitida a los mercados ha sido sometida a revisión por
el auditor externo, en cuyo caso la entidad debería incluir el informe
correspondiente. En caso contrario, debería informar de sus motivos.
Obviamente si las
organizaciones, conjuntamente con la información que deban presentar a los
Supervisores respecto a los Estados Financieros a la que estén obligados,
incluyeran este cuestionario debidamente verificado por su Unidad de Auditoría Interna,
es indudable que habremos aportado un plus de fiabilidad a los datos
difundidos, que ahora complementarían a la opinión de los auditores externos
respecto de la imagen fiel que se deriva de las prácticas contables empleadas.
Por lo que en mi opinión esta forma de actuar deberíamos considerarla una buena
práctica, incluyendo la sugerida auditoría de esta información como un ente
auditable más en el Plan de Auditoría
Si existiese
interés por conocer en su integridad el documento SCIIF al que nos hemos
referido, a este se puede acceder en la página web http://www.cnmv.es/ .
Espero les sea de
utilidad.
Jesús Aisa Díez. Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica
SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director
Técnico de FSH Consulting.
¿Te
ha gustado el post? ¡Dejamos saber tu opinión a través de un comentario!
No hay comentarios:
Publicar un comentario