Sin evidencias no puede haber conformidad

Por Jesús Aísa Díez

Como es bien conocido, una de las actividades básicas de las Unidades de Auditoría Interna, es la correspondiente a la supervisión del control interno existente en la empresa, que permita, entre otros objetivos, una garantía razonable de la fiabilidad de la información financiera y operativa, por lo que dentro de los Planes anuales que se someten a aprobación, han de incluirse aquellos trabajos de evaluación de los sistemas diseñados por las organizaciones con los que atender los requerimientos regulatorios, así como también la de aquellos otros procesos relacionados con la gestión empresarial, bien sean estratégicos, operativos y de apoyo o soporte.

Con respecto a la supervisión de los procesos de gestión, el alcance de las auditorías suele focalizarse en la supervisión de los mismos desde una perspectiva de riesgos y controles, de forma que analizados los procesos aplicados podamos concluir: (i) si la operativa empleada es la adecuada para conseguir los objetivos deseados, (ii) si los controles existentes son válidos para mitigar los riesgos detectados, y (iii) si los controles se aplican de forma eficiente. Recogiendo las conclusiones alcanzadas en los respectivos informes de los trabajos realizados, en los que se describen las debilidades observadas, las recomendaciones estimadas pertinentes para resolverlas, así como los planes de acción comprometidos por los responsables de los procesos auditados.

En base a esta forma de actuar podríamos señalar que auditoría, una vez analizado los procesos, justifica y describe las partes mejorables de los mismos, referenciando las evidencias que les hayan permitido concluir sobre las debilidades observadas, de manera que quede de manifiesto el por qué de las recomendaciones aportadas.

Esta forma de actuar, dicho en términos legales, y sin pretender con ello recuperar las viejas prácticas de las auditorías policiacas, que no es mi objetivo ni mi deseo,  podríamos señalar que a los auditores nos corresponde la “carga de la prueba” de lo que no se hace bien, admitiendo que el resto está bien gestionado, es decir se aplica la teoría de la “presunción de inocencia”, entendiendo que todo está bien gestionado, salvo que se demuestre lo contrario, en base a las evidencias aportadas.

Sin embargo esta forma de proceder, cuando actuamos en el ámbito de trabajos de evaluación de los sistemas diseñados con los que atender los requerimientos regulatorios, no debe ser la misma, ya que, con alguna variante, todos ellos, como por ejemplo se recoge en el correspondiente al Sistema de Control Interno de la Información Financiera de la CNMV Española (SCIIF), se debe centran en:

Velar por su eficacia, obteniendo evidencias suficientes de su correcto diseño y funcionamiento, lo que exige evaluar el proceso de identificación de los riesgos que puedan afectar a la imagen fiel de la información financiera, verificando que existen controles para mitigarlos y comprobar que funcionan eficazmente.

Como vemos, aquí ya no hay “presunción de inocencia”, sino todo lo contrario, lo que debe guíar nuestro trabajo ha de ser la “presunción de incumplimiento”, por lo que deberemos comprobar dónde la organización actúa de forma correcta. Por ello, para lograr una supervisión eficaz y eficiente, se deberá cubrir determinados aspectos. Como por ejemplo los que señala en el propio documento regulatorio de la CNMV, los correspondientes a:

1. Documentación del SCIIF y del proceso de evaluación.
2. Evaluación del diseño del SCIIF.
3. Evaluación del proceso de identificación de riesgos.
4. Identificación de los controles que mitigan los riesgos sobre la información financiera.
5. Evaluación del funcionamiento eficaz del SCIIF.
6. Nivel de evidencia. Señalando al respecto que: El nivel de evidencia requerido para concluir acerca del adecuado funcionamiento de un control será directamente proporcional a dos factores: (i) el riesgo inherente de los controles del SCIIF; y (ii) el riesgo de error material en la información financiera.

En el mismo sentido, pero desde la perspectiva del Banco de España, su Comisión Ejecutiva, con fecha 27 de Junio del 2012, hizo suya la Guidelines of Internal Governance (GL 44) de la Autoridad Bancaria Europea (EBA), cuyo objetivo es la implantación por las entidades financieras de las mejores prácticas de gobierno interno. La cual considera, en su apartado 29.1, que: la función de auditoría interna evaluará si la calidad del marco de control interno de una entidad es eficaz y eficiente.

En tanto que en su apartado 29.4. señala que: la función de auditoría interna verificará, en particular, la integridad de los procesos que garantizan la fiabilidad de los métodos y técnicas de la entidad, los supuestos y las fuentes de información utilizadas en sus modelos internos (p. ej., la modelización de riesgos y la valoración contable). Deberá evaluar asimismo la calidad y la utilización de herramientas cualitativas de identificación y evaluación de riesgos. No obstante, con el fin de reforzar su independencia, la función de auditoría interna no deberá intervenir directamente en el diseño ni en la selección de modelos u otras herramientas de gestión de riesgos.

La estructura de la Guía está compuesta de seis secciones que en conjunto recogen disposiciones sobre treinta aspectos distintos, que serán los que deberán ser objeto de evaluación por parte de Auditoría Interna, pero, para ello, se deberá verificar la existencia de las evidencias que permitan concluir sobre la  situación real observada, la cual podría verse recogida en forma resumida en un cuadro recopilatorio de los treinta aspectos a evaluar, como el que recoge, por su extensión, pero también por su indudable interés, no solo para las entidades financieras afectadas, sino también para el resto de las empresas con independencia de su actividad, en el anexo que se acompaña (pinchar aquí para descargar anexo) al considerarlo una buena práctica que debería tenerse en consideración y aplicarse.

Como se habrá podido observar si se ha analizado el anexo, por las cuestiones que se recogen en la Guía GL 44, no parece oportuno que nos limitemos a identificar solo los aspectos mejorables, aunque se aporten las recomendaciones pertinentes, pues entendemos que en estos casos no sería suficiente, puesto que, para que el trabajo de Auditoría Interna tenga auténtico valor, deberían explicitarse las evidencias que han permitido calificar como satisfactorios los apartados que así lo hayan sido. En caso contrario estaremos sometiendo a las partes interesadas que reciban nuestro informe a un acto de fe, que estimamos que no es lo adecuado.

La forma de actuar que hemos señalado para estos casos relacionados con exigencias regulatorias, en lo único que afectaría al trabajo de auditoría, es en la presentación de los resultados de la supervisión realizada, reflejando en los informes también lo que se haya estimado adecuado, aportando y referenciado las evidencias correspondientes, lo que facilitará el análisis e interpretación de los distintos supervisores, tanto internos, entre ellos el Comité de Auditoría, como externos, los reguladores. Para ello un formato como el que aparece en el anexo entendemos que podría ser adecuado.

Jesús Aísa Díez. Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting. Para mayor información visita el Blog de Don Jesús “Auditoría Interna del Siglo XXI”.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!