¿Hasta dónde debemos negociar los auditores?

Echando un vistazo al Plan de  Formación vigente en uno de los especialistas en la impartición de conocimientos para los auditores internos, he podido observar que, dentro del Capítulo correspondiente a las Técnicas de desarrollo, se incluyen diversos seminarios, tales como Taller de escritura eficaz,Técnicas de entrevistas, Arte de las presentaciones, pero también otro titulado " Negociación para auditores internos".
 
Este último taller me recuerda que, no hace muchos años, creo que fue en el 2010, tuve la oportunidad de participar en unas jornadas sobre control Interno promovidas por AHCIET, Asociación Hispanoamericana de Centros de Investigación y Empresas de Telecomunicación, en las que se expuso una ponencia sobre: Comunicación y Negociación de los auditores internos. 
 

Si no recuerdo mal, creo que, si bien en la parte correspondiente a la Comunicación hubo un consenso total sobre la necesidad de disponer por parte de los auditores de este atributo, al ser este un aspecto significativo en la relación con nuestros clientes y los responsables jerárquicos o funcionales, ya que, en gran medida, el éxito o fracaso de nuestra actividad dependerá de cómo sepamos trasladar las: conclusiones, evidencias, recomendaciones, resultados/beneficios obtenidos, e incluso necesidades,  etc; motivo por el que debemos ser muy cuidadosos, no solo en la forma elegida para trasladar la información seleccionada, sino obviamente en el fondo. En resumen,  un buen auditor interno  debe ser necesariamente un buen comunicador, por lo que su capacitación en este aspecto es también una necesidad a cubrir por los planes de formación, ya que las  habilidades comunicativas en los auditores resultarán imprescindibles si queremos hacer bien nuestro trabajo.

 

En este contexto no debe sorprendernos que el IIA en el Marco Internacional para la Práctica Profesional de la Auditoría Interna dedique varios artículos y consejos a tratar este aspecto. Así la Norma 2020-1 se refiere a la necesidad de trasladar los Planes y necesidades de recursos a la alta dirección y al Consejo; la Norma 2060 refleja la obligación del DAI de informar (comunicar) periódicamente sobre la actividad desarrollada, el propósito, la autoridad, la responsabilidad y desempeño del Plan; asimismo la Norma 2410 describe los criterios para una adecuada comunicación, en tanto que la  Noma 2420 centra su atención en la calidad de las comunicaciones, recordándonos que estas han de ser: precisas, objetivas, claras, concisas, constructivas, completas y oportunas. Añadiendo por nuestra parte otra característica adicional, y es que las comunicaciones deben ser de fácil interpretación.

 

Donde no estoy tan convencido es en la necesidad de potenciar las capacidades relativas a la  Negociación, puesto que, si bien hay aspectos dentro de la actividad auditora que sí son claramente  negociables, hay otros que, desde mi perspectiva, no lo son, o no debieran serlo, pues pondrían en cuestión la objetividad del trabajo. Veamos por qué.

 

Dentro de los temas que son perfectamente negociables, estaría por ejemplo nuestro sueldo, los recursos disponibles, sus capacidades,….., de forma y manera que si no los obtenemos en la cuantía que el Plan Anual requiere, se traslade a la alta dirección y al Consejo/Comité de Auditoría las limitaciones que tendremos para desarrollar, con la necesaria seguridad razonable, nuestra función de supervisión del entorno de control interno de la organización. También estaría dentro de lo negociable el propio contenido del Plan Anual al ser presentado para su conocimiento a los responsables de las áreas, proceso en el que es posible modificar las prioridades de algunos entes auditables en base a la opinión de los propios gestores, e incluso sustituyendo algún trabajo previamente seleccionado por otros en función de las solicitudes de nuestros clientes.

 

La  fecha de realización de los trabajos de campo, ajustándola a las necesidades o actividad de los negocios, es otro aspecto perfectamente  negociable. 

 

Obviamente, aunque con ciertas restricciones - las que afectasen a la adecuada valoración del hecho auditado -, también entrarían dentro de lo relativamente negociable la introducción de ciertas matizaciones a las conclusiones del informe, o la sustitución de un verbo o calificativo por otro (en este sentido nadie debería objetar cambiar el verbo coger por tomar, ya que, según qué países, su significado puede ser muy diferente).

 

Pero hasta aquí, más o menos,  entiendo es hasta donde debe llegar el proceso negociador del auditor, pues el resto de la actividad: programa de trabajo, elección de las muestras, evidencias encontradas, conclusiones, recomendaciones, responsabilidades, distribución de los informes,  ”rating”  global o estimación ponderada  sobre el nivel de control interno apreciado, nivel de supervisión del grado de cumplimiento de los compromisos asumidos con los que superar las debilidades evidenciadas, grado de avance observado en la implementación de las recomendaciones, etc, difícilmente permiten una negociación que no adultere el contenido de nuestra función.

 

Las  reservas  que acabamos de señalar adquieren su máxima expresión cuando la supervisión se refiere a una investigación sobre el riesgo de fraude, lo que habitualmente venimos denominamos “inspección” o recientemente “auditoría forense”, en la que los auditores especializados en este riesgo deben identificar las causas que han permitido la apropiación indebida investigada, el/los responsable/s  de la misma y su cuantía; análisis en el  que cualquier transacción no solo sería inadecuada, sino contraria a los intereses de la organización.   

 

Es posible que, atendiendo a los distintos tipos de negociaciones existentes, mi posición se adscribiera, probablemente, dentro del grupo de los denominados Win/Lose. Que es aquella negociación competitiva que se caracteriza por: 

• Las partes miran exclusivamente sus intereses e ignoran los del oponente.
• No se busca una solución común para ambas partes, los objetivos del otro son un obstáculo para cada parte.
• Se utiliza la presión y  el poder. No existen concesiones.

Si fuese así, debo señalar que no participo ni reconozco que  esas tres situaciones sean las que predominan en la posición que defiendo, que no es otra que la de señalar  la inoportunidad de la propia negociación, circunstancia que  de hecho también sucede otras profesiones, como, por ejemplo, en medicina, pues no imaginamos a un facultativo negociando con su paciente el diagnostico, o las terapias, las dosis, o las medicinas a recetar. Estaría fuera de lugar; el médico, al igual que el auditor, pues también lo es respecto de la salud del paciente, basa su diagnóstico en una serie de pruebas objetivas, concluye en un diagnóstico (sus conclusiones) y emite unas recomendaciones (el tratamiento a seguir), para después hacer un seguimiento de las recomendaciones facilitadas (controles futuros).  Aspectos todos ellos, eso sí,  que deben ser comunicados de forma adecuada, pero sin que estén sometidos a negociación, pues no procede.

 

Para ir acabando no resisto la tentación de recordar que la “negociación” fue la causa de que ocasionó sucesos como el de ENRON, ya que la desaparecida Arthur Andersen sí practicaba de forma implícita esta habilidad,  anteponiendo sus intereses comerciales al rigor de sus conclusiones, debido al conflicto de intereses en el que se encontraba inmensa. 

 

En resumen, la habilidad directiva de la comunicación es muy necesaria para ejercer adecuadamente la función auditora, pues en gran medida el que un Departamento de Auditoría consiga aportar verdadero valor a la organización, dependerá en un gran porcentaje de la habilidad comunicadora de que disponga.

No solo hay que trabajar bien, hay que difundir el resultado de nuestro trabajo en forma conveniente

Sin embargo, la negociación a realizar por el auditor debería limitarse a aquellos aspectos colaterales a los que se circunscriben su actividad, pero sin afectar al contenido, presentación y distribución de los trabajos individual y colectivamente considerados, de forma que queden salvaguardados los principios de independencia de criterio y nuestra objetividad,  todo ello sin olvidar que cuando hablamos de negociación nos estamos refiriendo a un proceso de múltiples acepciones entre dos partes, de las que nos decantamos por la de L. Munduate: ¨ La negociación es un proceso de toma de decisiones en el que dos o más partes interdependientes hablan entre sí en un esfuerzo por resolver sus intereses antagónicos ¨. Lo que sucede es que los intereses antagónicos, son por un lado los de la empresa y por otro los individuales del auditado, bien por impericia, comodidad o beneficios económicos. 

 

Permítanme recordar un símil antinuclear muy usado hace unos años, “Nuclear, no gracias”, que creo que podríamos transformarlo y aprovecharlo en un: “Negociar, no gracias”

 

Jesús Aisa Díez

23 de Junio de 2013

 

Cambios propuestos por la Comisión Europea respecto al Gobierno Corporativo

Un aspecto que resulta imprescindible para disponer de un adecuado control interno en las organizaciones, sean estas del tipo que sea: cotizadas, públicas, privadas,…., es la existencia en ellas de un buen gobierno corporativo. Entendiendo que este: 

 “Se refiere a las estructuras y procesos para la dirección y el control de las compañías. Ocupándose de las relaciones entre la alta gerencia, la junta directiva, los accionistas controladores, los accionistas minoritarios y otras partes interesadas. El buen gobierno corporativo contribuye al desarrollo económico sostenible al mejorar el desempeño de las compañías e incrementar su acceso al capital externo”. El concepto surge en el mundo anglosajón, como consecuencia de la necesidad que tenían los accionistas minoritarios de las empresas  para conocer la situación real en la que se encontraban  sus inversiones.

La existencia de un buen gobierno corporativo es básico, por no decir imprescindible, para que exista en las Organizaciones un adecuado control interno. Por ello, la OCDE (Organización para la Cooperación y Desarrollo Económicos) emitió en mayo de 1.999, y revisó en el 2.004, sus 6 Principios con los que incidir en ello. Recordemos estos Principios y sus objetivos:

I. Garantizar la Base de un Marco Eficaz para el Gobierno Corporativo:

Objetivo: El marco para el gobierno corporativo deberá promover la transparencia y eficacia de los mercados, ser coherente con el régimen legal y articular de forma clara el reparto de responsabilidades entre las distintas autoridades supervisoras, reguladoras y ejecutoras.

II. Los Derechos de los Accionistas y Funciones Clave en el Ámbito de la Propiedad

Objetivo: El gobierno corporativo deberá amparar y facilitar el ejercicio de los derechos de los accionistas. 

III. Tratamiento Equitativo de los Accionistas

Objetivo: El marco para el gobierno corporativo deberá garantizar un trato equitativo a todos los accionistas, incluidos los minoritarios y los extranjeros.

Todos los accionistas deben tener la oportunidad de realizar un recurso efectivo en caso de violación de sus derechos.

IV. El Papel de las Partes Interesadas en el Ámbito del Gobierno Corporativo

Objetivo: El marco para el gobierno corporativo deberá reconocer los derechos de las partes interesadas establecidos por ley o a través de acuerdos mutuos, y fomentar la cooperación activa entre sociedades y las partes interesadas con vistas a la creación de riqueza y empleo, y a facilitar la sostenibilidad de empresas sanas desde el punto de vista financiero.

V. Divulgación de Datos y Transparencia

Objetivo: El marco para el gobierno corporativo deberá garantizar la revelación oportuna y precisa de todas las cuestiones materiales relativas a la sociedad, incluida la situación financiera, los resultados, la titularidad y el gobierno de la empresa.

VI. Las Responsabilidades del Consejo

Objetivo: El marco para el gobierno corporativo deberá garantizar la orientación estratégica de la empresa, el control efectivo de la dirección ejecutiva por parte del Consejo y la responsabilidad de éste frente a la empresa y los accionistas.

Es evidente que la situación a nivel global en estos 13 años de vigencia de los Principios no ha empeorado, puesto que las empresas han ido adecuando sus políticas y pronunciamientos a los mismos, así como también a los requerimientos de los diversos Códigos de Buen Gobierno existentes en la actualidad. 

Sin embargo, el balance recientemente hecho por la Comisión Europea no es del todo favorable, tal y como se desprende de la Nota de prensa de la misma Organización del pasado 12-12-12 (¡¡qué buena fecha, que bien elegida!!),  en la que se señalaba que:  ese mismo día se había adoptado un plan de acción que resumía las futuras iniciativas en los ámbitos del Derecho de sociedades y el gobierno corporativo, a fin de que las normas de gobierno corporativo de la Unión Europea para las empresas, los inversores y los empleados se adaptasen a las necesidades de la sociedad actual y al cambiante entorno económico. Destacando entre los cambios los siguientes objetivos:

1. El aumento del nivel de transparencia entre las empresas y sus accionistas a fin de mejorar el gobierno corporativo, incidiendo, sobre todo, en lo siguiente:

• Aumentar la transparencia de las empresas en lo que respecta a la diversidad de su consejo de administración y las políticas de gestión de riesgos;
• Mejorar la información sobre el gobierno corporativo;
• Mejor identificación de los accionistas por los emisores;
• Reforzar las normas de transparencia de los inversores institucionales sobre sus políticas de voto y compromiso.

2. Iniciativas encaminadas a fomentar y facilitar el compromiso de los accionistas a largo plazo, tales como:

• Mayor transparencia sobre las políticas de remuneración y la remuneración individual de los administradores, así como derecho de voto de los accionistas sobre la política de remuneración y el informe de remuneración;
• Mejor supervisión por los accionistas de las transacciones con partes vinculadas, es decir, relaciones entre la empresa y sus directivos o accionistas de control;
• Creación de las normas operativas adecuadas sobre los asesores de voto (es decir, las empresas que prestan servicios a los accionistas, sobre todo el asesoramiento de voto), especialmente en lo que se refiere a la transparencia y los conflictos de intereses;
• Aclaración de la noción de «actuación de concierto» para facilitar la cooperación de los accionistas en los asuntos de gobierno corporativo;
• Investigar si se puede alentar el accionariado de los trabajadores.

Cambios que esperamos no se queden solo en un decálogo de buenas intenciones, sino que de verdad sean atendidos por las distintas empresas a las que van dirigidas. Para ello los  auditores internos deberíamos asumir el rol determinante que podemos, y debemos, realizar en este contexto, pues no olvidemos que entre nuestras “responsabilidades” se encuentra la evaluación y mejora del proceso de gobierno corporativo, tal y como señalan las Normas del Institute of Internal Auditors, al respecto. No resultará fácil, pero, tampoco podemos “mirar para otro lado” si observamos flagrantes incumplimientos. Los Comités de Auditoría deberían apoyarnos, respaldarnos y agradecerlo. Si no fuese así, lo lamento, pero creo que entonces podríamos decir aquello de que “algo huele a podrido en Dinamarca”.

Siendo también algo utópico, sugiero que veamos si es posible que en los próximos Planes de Auditoría que propongamos a la alta dirección y al Comité de Auditoría tuviera cabida la verificación del cumplimiento de estas mejores prácticas. Ojala que sea posible, sería un buen indicador de la calidad de los supervisores.

Jesús Aisa Díez

Madrid, 14 de Junio de 2013.:

¿Es lo mejor, enemigo de lo bueno?

Hace muchos años, allá por los años 70 del siglo pasado, cuando empecé a trabajar en estos temas de auditoría, mi primer jefe, del que, como de todos los que después he tenido, aprendí mucho, en algunas ocasiones me corregía lo que le presentaba, señalándome lo que aparece en el título de este artículo, pero sin interrogantes, ya que era una expresión plenamente afirmativa, pues él estaba convencido de que: rizar el rizo puede ser contraproducente.

Desde entonces siempre he pretendido tenerlo presente, pues creo que es algo importante que debemos considerar en nuestras actividades, donde las recomendaciones sobre las oportunidades de mejora a introducir en los procesos, es algo que está asociado con nuestro trabajo.

He recordado esta expresión, dado que, entre los nuevos cambios que se han producido en COSO I, están los correspondientes a los nuevos atributos a considerar a la hora de ponderar los riesgos; que siendo hasta ahora dos los atributos que se debían estimar, el impacto y la probabilidad. A partir de ahora, y dada la interrelación que existe entre COSO I y COSO II, los cambios introducidos en el Marco sobre Control Interno, el denominado I, repercutirán en el II, el correspondiente a la Gestión Empresarial de Riesgos.

Motivo por el que los mapas de riesgos deberán ser, como ya hemos comentado anteriormente en estas mismas páginas, a cuatro dimensiones, ya que a los dos habituales ya citados (impacto y probabilidad) habrá que incorporar los correspondientes a la velocidad a  la que impacta el riesgo en la organización una vez este se ha materializado, es decir, el ritmo con el que se espera que la entidad experimente el impacto; así como también la persistencia del riesgo, o sea la duración del impacto después de que el riesgo se haya desencadenado.

Aparte de las dificultades de representación que ello conllevará, pues a más de tres dimensiones no estamos acostumbrados a hacer representaciones, creo que, además, lo que se nos propone amerita una reflexión.

Hasta ahora, los dos atributos, el impacto y la probabilidad, eran los dos  aspectos que debían ser debidamente administrados para controlar los riesgos. En el primer caso reduciendo las consecuencias de los daños que se podrían materializar  si se producía la amenaza, a través de determinadas medidas (los controles), como por ejemplo: el mantener menos efectivo en la caja por si nos atracaban, suscribiendo  pólizas de seguros con los que paliar el perjuicio que nos produciría tener un accidente con el coche, etcétera, etcétera.

En el ámbito de la probabilidad de ocurrencia también estamos acostumbrados a identificar medidas con las que reducirla. Cruzar la calle cuando el semáforo está abierto para los viandantes, no hacer ostentación cuando circulamos por zonas conflictivas, vacunándonos para evitar enfermedades, y así miles de ejemplos.

Es decir, estos dos atributos de los riesgos son los elementos sobre los que estamos habituados a actuar, aplicando los controles que estimemos necesarios, para reducir su agresividad, bien disminuyendo su impacto y/o probabilidad de ocurrencia.

Con los cambios el problema de gestionar los riesgos se amplía, puesto que si los controles son las medidas con las que influimos en sus componentes, tendremos que pensar que controles implementaremos para administrar el componente velocidad de ocurrencia y el de persistencia. Personalmente no lo veo fácil.

En lo que se refiere a la velocidad de ocurrencia, supongamos que viajamos en un avión, está claro que el impacto es importante, nuestra vida; la probabilidad de ocurrencia también está claramente definida, dependerá de las labores de mantenimiento que se hayan aplicado, así como de la pericia de la tripulación y de las condiciones atmosféricas en las que realizar el viaje, entre otras. Pero todas ellas controlables.

Pero tengo una duda, ¿qué controles estarían en nuestras manos establecer para administrar/gestionar/ disminuir la velocidad de ocurrencia del accidente aviación al que nos hemos referido?. Lo mismo podemos señalar con el nuevo atributo de la persistencia del efecto perjudicial. Pongamos un ejemplo: Si se desencadena una pandemia, lo que podemos hacer es tomar medidas para evitar sus repercusiones, es decir reducir el impacto, así como reducir las probabilidades, pero si esta estalla, ahí la tenemos, y durará lo que tenga que durar. En España tenemos como bien sabemos una gran crisis, cómo luchamos para reducir su permanencia. La respuesta sería: Estamos en ello, como diría un antiguo presidente del gobierno, pero sin ninguna concreción, como de hecho sucede.

En mi opinión, la velocidad de ocurrencia y la persistencia son dos características de los riesgos, que lo que definen es la variedad del riesgo al que nos enfrentamos, y que deben ser tenidos en consideración a la hora de definir los tipos de controles que debemos aplicar, lo mismo que ya hacemos cuando analizamos un riesgo y este se evidencia  en proceso desarrollado en un ámbito terrestre o marítimo,………..

Me explico, si estamos analizando los controles que podemos aplicar ante un caso de incendio en unas instalaciones, deberíamos considerar su ubicación, observando si el parque de bomberos está próximo o no, pues de ello dependerán las medidas que apliquemos: Solo extintores y a esperar, o nos proveemos de unas medidas propias que nos permitan actuar de forma adecuada hasta que lleguen los profesionales, incorporando una pequeña dotación de bomberos propios.

De la misma manera, si lo que nos tememos es una crisis económica, lo que habrá que hacer es tomar medidas para que ésta no se pueda presentar (probabilidad) o minimizando su impacto, adoptando las medidas para sustituir el consumos/inversión privada por la pública, tal como nos enseñó Keynes, hace ya muchos años, y que algunos han olvidado.

En resumen, los nuevos atributos incorporados en el COSO I, son dos características que no negamos que debamos tenerse en consideración, pero para decidir el tipo de controles que deberíamos aplicar, al igual que hacemos con otras muchas características: ámbito de desarrollo, posibilidades de propagación, infraestructuras afectadas, etc., pero que no creo afecten a la importancia de los riesgos.

Llegado a este punto no quisiera terminar sin comentar una anécdota vivida hace unos cuantos años, exactamente 14; que espero se entienda el sentido con el que la comento.

Los que son de mi generación recordarán que llegando al fin del siglo pasado, hubo una gran pregunta trasladada a las empresas: ¿Están Vdes. preparados para abordar con sus sistemas informáticos al cambio de milenio?. La respuesta era. ¿Qué me dice Vd.?

Se nos comentó que los ordenadores sabían contar hasta 1999, es decir: 1995, 1996, 1997, 1998 y 1999. Pero ¿sabrían continuar con el 2000, 2001,…?, y así sucesivamente. Bueno, pues manos a la obra, todas la organizaciones a  revisar los  sofwares de sus aplicaciones. En resumen un coste adicional.

Bueno hasta aquí normal. Pero realizadas las verificaciones aconsejadas y hechos los cambios recomendados, hubo, al menos en mi empresa, una pregunta posterior. ¿Tienen Vdes. diseñado el plan de contingencias?, Respuesta fué: ¿Qué?.

Aclaración: “No, mire Vd. como no estamos muy seguros de que lo que hemos hecho (y cobrado) surta el efecto buscado, se hace necesario que tengan Vds. un plan de emergencias por si acaso lo hecho no funciona”. Conclusión, nuevo proyecto y más gastos.

Con esto creo que estamos dando respuesta a la pregunta con la que encabezábamos estas líneas. ¿Es lo mejor, enemigo de lo bueno?. Pues creo sinceramente que sí.

Conclusión: consolidemos nuestros Sistemas de Gestión de Riesgos en la forma tradicional, y dejemos las mejoras para cuando sea procedente.

Jesús Aisa Díez. Madrid 10 de Junio de 2013