El pulso de la auditoría interna. Perspectivas 2013.

Encabezamos y graficamos estas líneas con el título de un interesante documento elaborado por el Instituto de Auditores Internos de España, difundido el pasado lunes día 20 del presente mes de Mayo. En dicho documento aparecen unos indicadores de la gestión de la profesión, tanto en España, como en Europa y Norteamérica, con los que se puede tener una visión amplia del estado en el que se encuentra la función de auditoría en estos entornos empresariales.

 

Según se señala en el informe, para su elaboración se han empleado las opiniones de 1700 profesionales de la actividad auditora, fundamentalmente Directores de Unidades de Auditoría; entre ellos los correspondientes a 43 entidades españolas que respondieron a la encuesta. En base a los datos agregados aportados creo que se pueden sacar algunas conclusiones  muy interesantes, que nos gustaría  compartir.

En primer lugar, y por su incidencia en la independencia con la que se podrá, en su caso, ejercer la actividad auditora, destacaríamos que, según los datos recogidos, en España un 80% de las Unidades de Auditoría Interna (UAI) dependen funcionalmente del Consejo de Administración, bien directamente o a través del Comité de Auditoría. Superando este porcentaje la situación global reconocida en Europa (58%), e incluso de Norteamérica (76%). Adicionalmente también se indica que el 44% de las UAI en España tienen una dependencia jerárquica del Consejo/Comité de Auditoría, porcentaje que se reduce a un 21% en Europa y a un 10% en Norteamérica. Situaciones que entiendo podemos considerar muy satisfactoria en todos los niveles geográficos analizados.

 

Sin embargo, cuando observamos las otras posibles dependencias de las UAI´s, se hallan informaciones que no son del todo apropiadas, como por ejemplo, y en lo que afecta a las dependencias funcionales, en España un 7% la tienen del Director Financiero (que es similar a la situación reconocida en Europa y un 6% en Norteamérica), en tanto que la dependencia jerárquica de los CFO es del 12%  en España y en Europa, pero de un altísimo  37% (¡!) en Norteamérica, lo que nos debería alertar sobre los posibles conflictos de intereses que pudieran manifestarse, ya que no debemos olvidar que las áreas financieras son las propietarias de entes auditables prioritarios.

 

En esta línea de posibles influencias negativas en la objetividad e independencia de los auditores, el informe incluye unos datos interesantes, como por ejemplo que, cuando se pregunta sobre quienes han intentado interferir en los resultados de los trabajos de Auditoría Interna, en un 3% estas influencias se ubican en el Consejo de Administración. Lo que nos permite  llegar a concluir que aún en no todos estos Órganos de Gobierno de las Sociedades, existe una total asunción de sus responsabilidades como ente de control a su máximo nivel. Asimismo, y enlazando con lo comentado del párrafo anterior, a los CFO se les imputa adicionalmente un 5% de las interferencias que deben combatir las UAI´s.

 

En lo que se refiere al contenido de los Planes de Auditoría, y en concreto a  los facilitadores  de la información en la que se apoyan los Directores de Auditoría para establecer los trabajos a proponer su realización, el ranking obtenido es que, en gran medida, estos se deben a los datos facilitados por el: Consejo de Administración /Comité de Auditoría, 53%, seguido del máximo ejecutivo con el 31%, y de los Directores de Gestión de Riesgos y del de Operaciones, ambos con un 14%, en tanto que solo en un 10% por el Director Financiero.

 

Continuando con el epígrafe correspondiente a la composición de los Planes de Auditoría, el informe nos indica que estos actualmente se vienen a ocupar de los Riesgos Operacionales adscribiendo a ellos un 31% de los recursos, a los Riesgos Financieros con un 19%, al Cumplimiento normativo un 17%, Aseguramiento/ efectividad de la gestión de riesgos, 8%, Tecnologías de la información no cubiertos en otras auditorías 5%, Riesgos estratégicos del negocio 4%, requerimientos de Sarbanes-Oxley 4%, Gobierno Corporativo 3% y Reducción de costes 2%. Resultando llamativo que si nuestra función debe abarcar tres grandes áreas (riesgos, controles y gobierno), que solo enfoquemos un 3% de nuestros recursos a la faceta correspondiente al Gobierno Corporativo, de donde podríamos concluir que sigue siendo el gran olvidado de nuestras responsabilidades. En este contexto, no debería sorprendernos que, cuando se pregunta sobre qué áreas del Plan de Auditoría Interna se verán incrementadas en el próximo ejercicio; las respuestas recibidas se decanten prioritariamente por los siguientes aspectos, por orden de prelación: Riesgos estratégicos del negocio, Cumplimiento normativo, Tecnología de la información no cubierto en otras auditorías, aseguramiento/efectividad de la gestión de riesgos, reducción de costes, gobierno corporativo y fraude.

 

Expresión de cambios cuantitativos en el empleo de los recursos que entendemos coherente con la situación de partida, dada la “escasa” atención que parece se presta, fundamentalmente,  a los epígrafes correspondientes al Gobierno Corporativo y al Fraude, pero estas previsiones de incremento de atención en determinados capítulos, sin que aparezcan identificados los apartados en los que se prevén minoraciones, sobre todo  cuando la conclusión generalizada es que los recursos disponibles seguirán siendo similares a los existentes, con una tendencia a la disminución, creo que hacen inviable potenciar la supervisión de partidas deficitariamente atendidas, sin sacrificar otras. Motivo por el que la mayor atención a las partidas de Gobierno Corporativo y el Fraude se quedará, lamentablemente en una exposición de buenas intenciones, posponiéndolo para otro mejor momento. 

 

Para acabar nos gustaría también referirnos a las habilidades y competencias más buscadas por los Directores de Auditoría en sus equipos, destacando, por este orden las siguientes:

Pensamiento analítico y crítico, Finanzas, Habilidades de comunicación, TI, Conocimiento específico del sector, Aseguramiento de la gestión de riesgos, Contabilidad, Visión del negocio, Auditoría de fraude, análisis y extracción de datos, etcétera, lo que determinará el perfil en el futuro de nuestros colaboradores, en los que deberemos buscar un perfil multidisciplinar.

 

En resumen, de acuerdo con las respuestas incluidas en los cuestionarios, entiendo que se puede señalar que la salud de la profesión es buena, pero que existen determinados aspectos de mejora en los que debemos incidir para conseguir alcanzarlos en el menor plazo posible, siempre que las condiciones del entorno socio-económico nos lo permitan. Un abrazo.

Jesús Aisa Díez

Madrid, 26 de Mayo de 2013

 

El pasado 14 de mayo se publicó la actualización de COSO I

Ya es oficial, el Committe of Sponsoring Organizations of the Treadway Commission acaba de publicar la esperada actualización del Marco sobre Control Interno editado en 1992. No puede decirse que haya sido una labor breve, pues como en la propia power point que ha sido difundida por el citado Committe las etapas para conseguirlo han sido:

2010. Evaluación y encuestas a las partes interesadas.

2011. Diseño y estructura marco actualizado

2012. Exposición pública, evaluación y mejoras

2013. Finalización.

El camino recorrido en la actualización ha permitido que se haya podido seguir con detalle la evolución de los cambios que finalmente se han materializado, por lo que la primera conclusión es que esta nueva edición no aporta sorpresas, pues sus previsibles modificaciones la hemos podido conocer a lo largo del proceso, fundamentalmente desde la exposición pública del borrador sometido a consulta.

Aunque a continuación podamos verlo con algún detalle, podemos decir que los 5 componentes de Control Interno no varían con respecto al Marco original de 1992. No obstante, los principios y puntos de enfoque sí que han introducido cambios claves en cada uno de los componentes, todo ello con el objetivo de mejorar y facilitar la implantación y mantenimiento de Sistema de Control Interno. A continuación enumeramos dichos cambios:

 

1) Se aplica un enfoque basado en 17 principios.

2) Aclara la necesidad de establecer los objetivos estratégicos como condición previa a la fijación de los objetivos de Control Interno.

3) Refleja la relevancia incrementada de la Tecnología de la Información

4) Fortalece los conceptos de Gobierno Corporativo.

5) Amplía el objetivo del reporte financiero, pasando a ser reporte en general.

6) Fortalece la consideración de las expectativas contra el fraude.

7) Considera los diferentes modelos de negocio y estructuras organizacionales.

A continuación detallamos estos diecisiete principios con los que implementar un adecuado Control Interno, relacionándolos con sus correspondientes elementos:

Entorno de Control

1.- La Organización ha de demostrar su compromiso con la integridad y los valores éticos.

2.- El Consejo de Administración debe demostrar independencia en la gestión y ejercer la supervisión del desarrollo y ejecución del control interno.

3.- La alta dirección debe establecer, con la supervisión del Consejo de Administración: la estructura, líneas de reporting, autoridad y responsabilidad en la consecución de objetivos.

4.- En sinfonía con los objetivos, la Organización debe demostrar su compromiso para atraer, desarrollar, y retener personas competentes.

5.- En la consecución de los objetivos, la Organización debe disponer de personas responsables para atender sus responsabilidades de Control Interno.

Evaluación de Riesgos

6.- La Organización ha de especificar los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados.

7.- La Organización debe identificar y evaluar sus riesgos.

8.- La Organización gestionará el riesgo de fraude.

9.- La Organización debe identificar y evalúar los cambios importantes que podrían impactar en el sistema de control interno.

Actividades de Control

10.- La Organización ha de seleccionar y desarrollar actividades de control que contribuyan a la mitigación de los riesgos para el logro de sus objetivos.

11.- La Organización seleccionará y desarrollará Controles Generales sobre Tecnología de la Información

12.- La Organización implementa sus actividades de control a través de políticas y procedimientos adecuados

Información y Comunicación

13.- La Organización ha de generar la información relevante para respaldar el funcionamiento de los otros componentes de Control Interno.

14.- La Organización compartirá internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar el funcionamiento de los otros componentes de Control Interno.

15.- La Organización comunicará externamente las materias que afecten al funcionamiento de los otros componentes de Control Interno.

Actividades de Monitorización

16.- La Organización llevará a cabo evaluaciones continuas e individuales, con el fin de comprobar si los componentes del control interno están presentes y están funcionando.

17.- La Organización evalúa y comunica las deficiencias de control interno.

Principios que lógicamente introducen ciertos cambios en los componentes del Control Interno, de los que destacaríamos el correspondiente a la evaluación de los riesgos que, a partir que ahora, han de incluir los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.

• La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la organización una vez este se ha materializado, es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto.
• La persistencia de un riesgo hace referencia a la duración del impacto después de que le riesgo se haya materializado.

Adicionalmente a la actualización de los 5 componentes de Control Interno, también se ha modificado la información acerca de los Roles y Responsabilidades de los distintos participantes en el proceso, tales como:

• Las responsabilidades del CEO y CFO para que formalmente asuman la efectividad del control interno en ciertas jurisdicciones.
• La actividad a desarrollar por los distintos tipos de Comités y su campo de actuación.
• Se insiste en la necesidad de incorporar, aparte de los auditores externos, a otros proveedores de aseguramiento evaluadores con los que completar los diferentes tipos de revisión que puede realizar una entidad sobre su control interno (riesgos medioambientales, prácticas de comercio justo o seguridad laboral, entre otros)..
• Se recogen las exigencias reguladoras y legislativas, como por ejemplo Sarbanes-Oxley o el Sistema de Control Interno de la Información Financiero español, sobre la información distribuida a los mercados, por la que la Gerencia de las compañías deben certificar la eficacia del control interno de su compañía sobre el reporte financiero.
• Se incluye una sección específica para los proveedores externos de servicios, señalando que la Dirección no puede olvidar su responsabilidad en la gestión de los riesgos de los procesos externalizados. Debiendo implantar un programa para evaluar dichas actividades realizadas por otros en su nombre, y evaluar la eficacia del sistema de control interno sobre las actividades realizadas por los proveedores externos de servicios.

Como vemos los cambios no son complicados de entender, ya que son consecuencia de la evolución acontecida a lo largo de los 20 años de existencia de este protocolo. En concreto, y en opinión de los expertos que han opinado sobre el tema, debido fundamentalmente por:

• La variación de los modelos de negocio como consecuencia de la globalización.
• Una mayor necesidad de información a nivel interno, fruto de los cambios cada vez más rápidos en el entorno.
• El incremento del número y complejidad de las normativas aplicables al mundo empresarial a nivel internacional.
• Las nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones.
• El incremento de las expectativas de determinados grupos de interés (inversores, los reguladores, etc.) sobre la prevención y detección del fraude.
• El uso de las nuevas tecnologías y su constante desarrollo.
• Las nuevas exigencias de los reguladores y otros grupos de interés en relación a la fiabilidad de la información reportada.

Motivos por lo que, en mi opinión, el nuevo COSO no nos obligará a introducir cambios inesperados en los procedimientos de Control Interno aplicables en las Organizaciones, pues lo que esta nueva edición representa la  materialización formal  de los cambios que evolutivamente se habían observado necesarios introducir con los que eficienciar el Control Interno de nuestras empresas, sin olvidar la inter-relación que existe entre el denominado COSO II (ERM) y el COSO I, que ahora se ve explícitamente reconocida.

Jesús Aisa Díez

20 de Mayo de 2013