Javier Fernando Klus, MBA, CIA
Este artículo surgió como consecuencia de un artículo que vi en el Financial Time del 30 de Noviembre del 2022 cuyo título era "¿Ya nadie hace la debida diligencia?"En este artículo se hace mención a los, cada vez más numerosos, casos de inversiones fallidas por parte de fondos soberanos y el financiamiento que se le dio a las criptoempresas. Sin embargo, en el pasado ya existieron otros casos similares, como el de Theranos, una empresa que proponía un revolucionario método de análisis de sangre, pero que nadie realmente se puso a analizar el plan de negocio, tecnología utilizada y si realmente funcionaba, sino, simplemente, se le dieron millones y millones pensando que su fundadora, Elizabeth Holm, sería el próximo Steve Jobs.
En ese artículo se plantea una pregunta que después, como veremos, también es aplicable a nosotros como auditores y es: "¿Ya nadie hace la debida diligencia?". Sobre todo, en una empresa de inversión que, se supone, va a destinar fondos de sus clientes a financiar proyectos que, tal vez, no tengan el menor sustento económico.
Como dice el artículo, en el pasado, la debida diligencia suponía:
- Enviar a un banquero a una mina de oro para verificar que dicha mina realmente producía oro
- Contratar contadores para examinar los libros
- Pedir a los abogados que identificaran los contratos que podrían resultar problemáticos en caso de quiebra
Este razonamiento viene de la mano del temor de los inversionistas, como dice el artículo, de perderse el próximo Amazon o Google. Se resalta que: “los inversionistas comenzaron a elegir a empresas en función a quien era la primera en formar parte de la ronda de financiación en lugar de si el plan de negocios del emprendedor tenía sentido”.
Además, todo esto sumado a una época en que las tasas de interés se mantenían bajas, los fondos de inversión institucionales asignaban más y más dinero a los fondos de inversión privada, quienes levantaron todo tipo de barreras para poder invertir el gran volumen de dinero disponible en cualquier inversión, sin importar el riesgo.
¿Ya nadie hace un análisis racional del riesgo?
De este primero razonamiento surge un segundo concepto relevante: los bajos tipos de interés movilizaron a muchos inversores a buscar rentabilidad más allá de lo que cualquier análisis razonable de riesgo permitiría.
La tolerancia al riesgo, que es ese porcentaje de riesgo que cualquier organización está dispuesta a aceptar, siempre teniendo en cuenta parámetros razonables, de tal forma que este riesgo no pueda afectar la continuidad del negocio, llegaron a límites desconocidos. Los procedimientos de gestión de riesgos o bien no fueron tenidos en cuenta o bien no se realizaron de forma apropiada, dejando librados al azar numerosos riesgos, no considerándolos o, finalmente, teniendo márgenes de riesgo residual que, prácticamente, no mitigaban de forma apropiada o ni siquiera mitigaban los riesgos existentes. Esto es aplicable tanto para quienes invirtieron en esas empresas como para quienes las dirigían.
En unas declaraciones realizadas por John Ray III, el nuevo CEO de FTX designado, dado el acogimiento de la empresa al capítulo 11 de la ley de quiebras estadounidense dice “Esto es un desfalco anticuado. Es simplemente tomar dinero de los clientes y usarlo para su propio propósito. Nada sofisticado”.
Evidentemente, ni quienes invirtieron, ni quienes estaban dentro de la organización vieron estos riesgos, ni las entidades de gobernanza, ni tal vez quienes tienen que regular estas nuevas actividades se pusieron a pensar en los riesgos que podían generar estas nuevas actividades.
No por nada, una noticia del 6 de diciembre nos informa que el Instituto de Auditores Internos (IIA) pide al congreso de los EE. UU. que promulgue políticas de gobierno corporativo adecuadas para las criptoempresas con sede en este país después del fiasco de FTX.
En esta propuesta el IIA demanda dos aspectos:
- El congreso debe exigir que todas las entidades criptográficas con sede en los EE. UU. y sus socios tengan funciones de auditoría adecuadas que satisfagan todos los requisitos de la industria
- Todas las criptoempresas con sede en EE. UU. también deberían estar obligadas a proporcionar certificaciones anuales de idoneidad en su control interno, con una evaluación realizada por una entidad de auditoría externa independiente
Como vemos, es fácil opinar con el diario de ayer, pero de lo que sí nos damos cuenta es que fallaron todos los métodos relacionados con análisis y gestión de riesgos en estos casos.
¿Ya nadie tiene en cuenta el control interno?
Tomando otro comentario del nuevo CEO de FTX quien dijo “nunca había visto un falla tan completa de los controles corporativos. Y una ausencia tan completa de información financiera en la que se pueda confiar”.
Es evidente que, en la decisión de inversión, no se tuvo en cuenta el marco de control interno existente en este tipo de empresas, lo que debió haber sido una “bandera roja” no fue tenido en cuenta en pos de la rentabilidad, de privilegiar el invertir primero en empresas que, tal vez, pudieran convertirse en futuros Apple, Amazon o Google. Pero, con tal de llegar primero, se levantaron cualquier tipo de mecanismos de análisis previos como son las diligencias debidas, análisis de riesgos y evaluación del marco de control interno de la empresa en la que se invertirá.
En este sentido, es destacable que todos los que forman parte de esta cadena, en la cual también podemos incluir a los organismos regulatorios, empresas de auditoría, etc. fueron afectados por una especie de “canto de sirena” que, finalmente, a diferencia de la Ilíada de Homero, terminó llevando al barco a estrellarse contra los rocas.
En cuanto a los auditores, muchas veces es difícil no caer bajo el embrujo de lo sofisticado y lo complejo; sin embargo, hasta ahora, siempre he podido aplicar un sencillo razonamiento: el dinero no surge de la nada, el dinero no se multiplica a tasas irracionales, si no logramos entender el ciclo del negocio y de generación de la rentabilidad de una empresa, empecemos a sospechar.
Por último, el control interno no es algo que pasa de moda, sino que, según el informe COSO
Es un proceso llevado a cabo por la dirección y el resto de las personas de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:
-Eficacia y eficiencia de las operaciones
-Confiabilidad de la información financiera
-Cumplimiento de las leyes, reglamentaciones y normas que sean aplicables
Como vemos en su definición, el control interno no es una moda, es una obligación que cualquier empresa e inversionista debe exigir para garantizar transparencia.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!