¿COSO III, cuál es su alcance?

Este pasado mes de mayo, después de varios años de preparación, ha sido publicado el Marco sobre Control Interno actualizado, pasando a identificarse de forma coloquial como COSO III. Dando así continuidad a la saga de los COSO´s, iniciada en 1992 con el Marco ahora actualizado (COSO I), y posteriormente ampliada con el Enterprice Risk Management (ERM), año 2004, o COSO II.

Desde mi perspectiva, si bien COSO I dedicaba toda su atención a la forma de entender, y atender, el control interno de las organizaciones, con el documento del año 2004, es decir con el ERM, se seguía manteniendo la preocupación por el control interno, pero se incidía y ampliaba un aspecto básico para conseguirlo, en concreto, la descripción del  proceso de  gestión de los riesgos, por lo que se detallaban, como nuevos elementos: (I) el establecimiento de los objetivos empresariales, (ii) la identificación de eventos que pudiesen afectarles y (iii) las respuestas a los riesgos. Aparte de considerar que los objetivos deben ser consecuentes con la estrategia fijada por la Organización.

Con esta ampliación, creo, que los que tuvimos oportunidad de apoyarnos en estos protocolos, entendimos que la administración de riesgos era uno de los elementos fundamentales del Sistema de Control Interno con el que lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes y el cumplimiento de leyes, normas y reglamentos, ya que dichos sistemas de gestión de riesgos no son independientes del Sistema de Control Interno, sino que forman parte integral del mismo. En sentido inverso la afirmación contraria también es cierta, ya que no puede existir una adecuada gestión de los riesgos, si en la empresa no impera un buen control interno. Por ello la versión de COSO relativa a la Gestión de Riesgos Empresariales, ERM por sus siglas en inglés, la entendimos que era COSO I, ampliado con un sistema de gestión de riesgos. Es decir, que mejorándolo, lo anulaba y sustituía, a todos los efectos.

Por todo ello, esta ampliación del año 2004 permitió “corregir” algunos de los aspectos del Marco original que necesitaban mejorarse, por ejemplo: que los objetivos del control interno no debían limitarse a la “fiabilidad de la información financiera”, sino que debía darse cabida a todo tipo de información, no solo la financiera. También que el orden de los elementos, fuesen 5 u 8, debían partir del “entorno de control”, situándolo en el nivel más alto del cubo que gráficamente lo representaba, reconociendo así la validez del criterio “Tone at the top”, que nos indicaba que un buen tono en la parte superior se consideraba como un requisito previo para conseguir un adecuado y sólido gobierno corporativo. Adicionalmente se consideró oportuno señalar que los objetivos, fuesen estos operacionales, de reporting o de cumplimiento normativo, debían fijarse de forma coherente con los objetivos estratégicos previamente definidos, los cuales derivaban de la estrategia de la Organización, que era lo primero que había que conocer.

Hasta aquí, al menos, lo que yo entendí, pero debía estar equivocado, puesto que 9 años después de publicarse ERM, se difunde una nueva versión de COSO I, actualizada y mejorada. En ella se admiten todos los cambios/mejoras ya introducidas por COSO II, salvo que los elementos vuelven a quedar reducidos a 5, no haciendo referencia explícita al: Establecimiento de objetivos, Identificación de eventos y Respuesta a los riesgos; aunque el correspondiente a “evaluación de riesgos” sí admite de  manera inequívoca que la evaluación de riesgos debe incluir la identificación de los riesgos, su análisis y la respuesta que sea precisa. Adicionalmente se da entrada a los conceptos de la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo, e incluyendo como novedad, ahora sí, los conceptos de: velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.

Además cuando se citan las mejoras que acompañan al nuevo Marco actualizado, se comenta que este ahora viene acompañado de dos nuevos y novedosos documentos: el correspondiente al Control Interno sobre la información financiera externa (ICEFR) y las herramientas de evaluación a emplear para valorar la eficacia del control interno; olvidándose, al parecer, que en el año 2006 el propio COSO publicó el documento “Control Interno para la información financiera para Pequeñas empresas cotizadas”, y en el 2009, la Guía para la Supervisión de Sistemas de Control Interno”.

Adicionalmente se expone que se habilita un proceso de transición para la entrada en vigor del nuevo Marco de 18 meses, fijándose esta en el 15 de Diciembre del 2014, siendo  efectiva hasta ese momento COSO I.

Algo, o su totalidad, no he debido interpretar adecuadamente, pues: (i) si los cambios son necesarios, por qué el periodo de transición de 18 meses, (ii) desde cuando COSO es de obligado cumplimiento en la gestión del Control Interno/ Sistemas de gestión de Riesgos para que haya que informar si hemos actuado según COSO I o COSO III, (iii) es realmente útil y, sobre todo factible, empezar a emplear mapas de riesgos multidimensionales.

Por último, no sé si los cambios de  COSO III conducirán a que pronto aparecerá un nuevo COSO IV, que sería el COSO II con los cambios que se deriven de la nueva versión del  Marco Integrado de Control Interno, o que ERM desaparece por haber sido subsumido en COSO III.

Si alguien me lo puede explicar, por favor, le ruego que me lo aclare. Hasta entonces, o al menos hasta el 15 de Diciembre de 2014, seguiré evaluando los riesgos según el método clásico midiendo “solo” su impacto y probabilidad.

Un saludo.

Jesús Aisa Díez 

24 de octubre de 2013

La Auditoría Interna y el Gobierno Corporativo

Uno de los ámbitos de actuación de la función auditora, de acuerdo con lo que las Normas The Institute of Internal Auditors establecen, es el correspondiente a hacer las recomendaciones apropiadas con las que mejorar el proceso de gobierno, en el cumplimiento, entre otros, del siguiente objetivo: Promover la ética y los valores apropiados dentro de la organización, así como asegurar la gestión y responsabilidad eficaces en el desempeño de la misma (N. 2110. Gobierno)

Pronunciamiento que entendemos suficientemente amplio como para que quepan en él muchos aspectos, por lo que sería conveniente que se delimitaran los temas que son propios de la labor de supervisión de Auditoría interna respecto del proceso de gobierno corporativo. En este sentido, personalmente creo que el posicionamiento del Institute viene recogido explícitamente por lo expresado en el Consejo para la Práctica 2110-1, punto 1, cuando señala literalmente que:

“El papel de auditoría interna, como se presenta en la definición de Auditoría interna, incluye la responsabilidad de evaluar y mejorar los procesos de gobierno como parte de su función de aseguramiento”.

En este sentido, cuando se procede a efectuar una evaluación de la calidad de la función de auditoría interna, consideramos que, un aspecto que también debe considerarse, es el correspondiente a los relacionados con el gobierno corporativo, sobre todo si estos tuvieran relación directa con la funcionalidad de los Comités de Auditoría, al ser considerado estos como el Órgano que tiene la autoridad y responsabilidad de supervisar cómo está siendo gestionado por la alta dirección de las compañías el control interno de las mismas.

Por ello, cuestiones relacionadas con la composición y responsabilidades de dichos Comités no consideramos que sean ajenas a las evaluaciones de la actividad y función de Auditoría Interna, ya que, de existir situaciones que pudiesen influir en su actuación, deberían ser aspectos a resaltar como “oportunidades de mejora”. Aunque somos conscientes que las medidas que se deban adoptar, normalmente, se escaparán a las capacidades de decisión de las Unidades de Auditoría, no obstante, en cualquier caso, sí deberían ser evidenciadas.

Para entender mejor a lo que nos estamos refiriendo, permítasenos poner algunos ejemplos con los que entender mejor la idea que subyace en las líneas precedentes.

Supongamos una Organización que sí dispone de un Comité/Comisión de Auditoría, pero que, por diversos motivos, no tiene formalmente nombrado a su Presidente, designándose como tal a uno de sus miembros en cada reunión. 

Siendo así, al DAI de esa empresa se le presentaría un problema cuando tuviese necesidad de trasladar con urgencia a dicho órgano algún aspecto relevante, ya que lo normal es que este tipo de temas se comenten directamente con el Presidente del Comité, pero, al no estar nombrado, con quién se contacta: con cualesquiera de sus componentes, con el último presidente en funciones, el más antiguo en el cargo, etc; pero sobre todo lo que habría que considerar es que la respuesta que se obtenga entendemos que sería a título personal del consejero, pues podría ser no representativa de todo el Comité. Situaciones como esta creemos que sí deberían ser reconocidos en la evaluación de calidad, permitiendo así que el DAI se apalanque en las recomendaciones de los evaluadores, al ser estos los que asumen la responsabilidad de la “denuncia” de la situación anómala existente, dada la incidencia que la misma tiene en la operativa de la propia función auditora. 

Otro aspecto no frecuente, pero sí posible, es que en los Comités/Comisiones de Auditoría estén presentes consejeros ejecutivos, ya que algunas legislaciones aplicables no lo prohíben, como sucede con la española, si bien esta recomienda que no sea así. En estos casos sería posible, como de hecho hemos podido comprobar, que dada esta permisividad, en el Comité/Comisión de Auditoría esté como miembro del mismo el Presidente Ejecutivo de la empresa, lo cual, permítasenos, lo consideramos improcedente, ya que, dada su condición jerárquica, su presencia en este órgano de control, como mínimo significaría una interferencia en la Comisión en su labor de supervisor de la gestión, ya que, dentro de ella, se encuentra el máximo responsable de la misma.

De ser esto así, personalmente no tenemos duda, estaríamos ante un caso flagrante de conflicto de intereses pues el citado Presidente sería “juez y parte”. Circunstancia que afectaría también negativamente al gobierno corporativo de la empresa y, en consecuencia, susceptible de poder ser identificado como una “oportunidad de mejora” por la unidad de Auditoría Interna. Ahora bien, atendiendo a su subordinación funcional al Comité de Auditoría, y en muchos casos jerárquica al propio Presidente ejecutivo, esto limitaría su capacidad de “denuncia”, por lo que una opinión adversa hacía la situación existente por parte de los evaluadores de calidad, quizás, podría ser empleada para poder discutir en los ámbitos adecuados esta “anomalía”.

Otro aspecto que también es frecuente encontrarse en las evaluaciones de calidad, es el de la dependencia jerárquica del responsable de Auditoría Interna, pues dado lo ambiguo de la Norma 1110, que solo exige el que este responda ante un nivel jerárquico tal dentro de la organización que permita a la actividad de auditoría interna cumplir con sus responsabilidades, nos podríamos preguntar si la dependencia del CFO, o responsable financiero,  cumpliría con esta condición. Ya sé que la respuesta dependerá de quién sea el CFO, su talente, su compromiso con el control interno, etc, etc; pero si somos prudentes entiendo que tampoco sería una buena decisión, ya que el área de Finanzas es una de las que aporta más entes auditables al Plan de Auditoría.

Antes de acabar quisiera comentar que soy un convencido de que la independencia de la función auditora es consecuencia, fundamentalmente, más que de otros temas, del posicionamiento ético y responsable del Director de la actividad, pero, asumido esto, también creo que, como sucedía con la mujer del Cesar, “no solo hay que serlo, hay que aparentarlo”.

En resumen, personalmente creo, en base a las propias manifestaciones del Marco Internacional para la Práctica Profesional de Auditoría Interna, que las evaluaciones de calidad de la función auditora, no solo deberían centrarse en la supervisión de los procesos de control y riesgos, sino también en el de gobierno corporativo, ya que de él dependerá, en gran medida, la eficacia de la supervisión de los otros dos. Motivo por el que, aparte de la supervisión relativa al cumplimiento normativo (Estatuto, Código de ética, definición de Auditoría recogido en los protocolos, Programa de Aseguramiento y Mejora de la Calidad, etcétera, etcétera), también se deberían evaluar los aspectos que puedan condicionar el gobierno corporativo, proponiendo las mejoras que se entiendan oportunas.

Jesús Aisa Díez

17 de Octubre de 2013.

Comentarios sobre la determinación del rating de los informes

Una mejor práctica aplicada por algunas Unidades de Auditoría Interna, es la de incorporar en sus informes un rating o semáforo con el que informar y resumir la gravedad/trascendencia de las conclusiones alcanzadas. Para ello se hace preciso disponer de un sistema de valoración, mediante el otorgamiento de una calificación homogénea,  tanto de la situación global del ente auditado, como específica de cada uno de los riesgos vinculados al mismo.

La valoración final del rating, que suele ser único en cada informe, no es más que la ponderación de los valores otorgados a cada uno de los subfactores que lo componen. 

Recientemente hemos tenido la oportunidad de conocer la metodología aplicada por la Unidad de Auditoría Interna de una gran empresa española, según la cual, la otorgación de los valores de cada subfactor se realiza con una puntuación entera de 0 a 100.

La escala aplicable estaba subdividida en los siguientes niveles:  

Obteniéndose, por ponderación de la valoración individual de cada subfactor, el rating agregado.

Con la finalidad de poder aportar algunas sugerencias a la Unidad de Auditoría que emplea esta metodología, y con el objetivo de que se puedan adoptar las decisiones precisas para que se posibilite a la áreas auditadas una mayor transparencia y detalle de la calificación asignada, así como complementar la visión que se derivará de los indicadores aplicados. Nos permitimos identificar, y proponer, algunas “oportunidades de mejora”. Que a continuación reproducimos:

1º) Que el sistema de puntuaciones aplicado lo considerábamos poco operativo, ya que el dato cuantitativo empleado, en realidad, se deduce de la valoración cualitativa concluida por los auditores sobre la situación del ente auditado, y no al revés, tal como señalaba el procedimiento.

Creímos más adecuado que se valoren los riesgos residuales según las  incidencias detectadas, dándole una calificación cualitativa (buena, mala, regular, ….) de la que se derivaría la cifra que finalmente se ponderase con el peso de cada uno de ellos establecido en la normativa. Agregando finalmente el valor asignado a cada uno de ellos; con lo que habremos estimado la probabilidad de ocurrencia de los riesgos.

(Esta forma de proceder permitirá, en la presentación de los resultados, justificar la puntuación finalmente deducida, partiendo de las valoraciones cualitativas de cada factor, según la situación observada, según la criticidad de las conclusiones/observaciones evidenciadas, según su frecuencia).

2º) Una vez ya evaluada la probabilidad del riesgo, según lo descrito en el punto anterior, consideramos oportuno que también se evalúe su severidad, es decir el impacto que produciría en el ente auditable la materialización de los riesgos, para lo cual estimamos oportuno que se debería considerar la entidad económica de dichos entes. Empleando para ello los indicadores que se entiendan oportunos, como por ejemplo: volumen de negocio, patrimonio, etcétera. Dando lugar a un segundo rating, que se debería añadir al actualmente existente, empleándose niveles, por ejemplo, tales como: 

Impacto financiero: Grave, de X millones de euros a Y millones de euros; Importante de Y millones de euros a Z millones de euros; Significativo, de Z millones a ….; Leve, de M a B miles de euros. 

3º) Por último, y considerando la posible falta de correlación que puede existir entre la importancia de los riesgos (impacto y probabilidad) y la “calidad” de la gestión realizada por los responsables de la actividad, consideramos conveniente que los dos rating anteriores se complementasen con un tercero que evalúe la eficacia de la gestión realizada. Para ello podría ser útil hacer un seguimiento sobre la evolución de determinados indicadores de desempeño que se ajusten a cada proceso auditado.

Este tercer rating creemos que es estrictamente necesario, ya que es el que intenta medir el grado de eficacia de la gestión realizada por los responsables del proceso/ente auditable, puesto que, como podemos observar en un ejemplo sencillo, un aspecto será la situación del enfermo (grave, pronóstico reservado, leve, etc) que es lo que miden los rating 1ª y 2º, y otro aspecto diferente es la calidad del tratamiento aplicado, que es lo que pretende evaluar el tercero de los rating, que consideramos necesario también medir; sobre todo si del rating de nuestros trabajos se pudieran derivar “bonus” o “retribuciones variables por desempeño”.

4º) En cualquier caso, y como medida de prudencia, también entendimos oportuno comentar que, de considerarse aprovechables estas ideas, se debería profundizar en su desarrollo, difundiendo su aplicación entre los ámbitos gerenciales correspondientes, solicitando su opinión sobre la oportunidad de aplicarlas.

En el mismo sentido, y de compartirse lo señalado, antes de aplicarlo, creo que deberíamos explicar su necesidad y metodología, sobre todo porque una cosa es la situación del enfermo, y otra muy distinta la profesionalidad del facultativo.

Madrid, octubre de 2013    

Nuevas reflexiones sobre la recomendación de las rotaciones de los auditores

Entre las recomendaciones que se han presentado a la Unidad de Auditoría Interna de la Organización que se ha sometido recientemente a la evaluación externa periódica recogida en la Norma 1312, se ha recogido la correspondiente a la conveniencia de someter a su equipo de auditores a una dinámica de rotaciones, ya que, como mejor práctica, así está reconocida por el Instituto.

Ante esta recomendación, que era asumida por el responsable de Auditoría Interna como muy favorable, pero dado que su implantación no podía ser decidida por él, ya que era algo que debía ser aprobada por el área de Recursos Humanos, al afectar a otras unidades de la Compañía, se solicitó que aportásemos razones suficientes para poder justificar los beneficios que de esta práctica podrían derivarse y,  así, fortalecer el proyecto. Al tiempo que se nos demandaba opinión sobre las distintas formas de aplicar estas rotaciones.

Antes de entrar a valorar los posibles modelos que podrían aplicarse al proyecto, entendemos conveniente argumentar que, como en toda decisión empresarial, la rotación conllevará oportunidades y riesgos. Debiendo aceptarse esta operativa siempre que las oportunidades superasen a los riesgos o costes de su aplicación.

Adicionalmente, y como descripción del contexto en el que desarrollamos nuestra actividad, se entendió oportuno aportar alguna referencia que, aunque referida a los auditores externos, entendemos es también aplicable a los auditores internos:

En ese sentido, y como ya hemos tenido oportunidad de comentar en este blog,  la postura que la Unión Europea ha adoptado es clara y viene recogida en su Libro Verde, con el título “Política de auditoría: lecciones de la crisis”, incidiendo en la conveniencia de la rotación obligatoria, ya que considera que:  “las situaciones en las que una empresa lleva décadas nombrando a la misma sociedad de auditoría interna parecen incompatibles con las normas que sería deseables en materia de independencia. Por mucho que los principales socios auditores roten con regularidad, conforme establece actualmente la Directiva, todavía persiste la amenaza de familiaridad.

En este contexto habría que plantearse la rotación obligatoria de las sociedades de auditoría y no de los socios auditores.” Conclusión que, en nuestro caso, debiéramos equiparar con los “equipos” de auditoría, dado que los argumento esgrimidos son válidos a nuestra actividad.

 

En todo caso debemos admitir que la posibilidad de rotar a los auditores internos  dependerá, aparte de la voluntad y oportunidad de actuar de esta manera, de otras circunstancias, como por ejemplo: la dimensión de la Unidad de Auditoría; de su estructura, ya que si fuese descentraliza habría más oportunidades de practicar la rotación; o si se emplea o no el outsourcing; o si en su  organigrama figurasen diversos equipos según la especialidades u ámbitos de actuación, etcétera. Aspectos que entendíamos  sí se cumplían en la División de Auditoría evaluada.

Centrándonos en las ventajas que conlleva este proceso, entendemos que las rotaciones intra-departamentales de la División de Auditoría comportarán las siguientes ventajas:

a) Incrementar el conocimiento multidisciplinar de los miembros de la División, lo que posibilitará identificar en ellos los ámbitos de actuación más acordes con sus aptitudes y actitudes.

b) Hacer más equitativa la distribución de las ventajas/inconvenientes de actuar profesionalmente en un determinado área de la División de Auditoría, con lo que mejoraríamos el clima laboral (posibilidades de viajar, conocimiento más amplio del negocio y del Grupo, mejorar su empleabilidad, por ejemplo)

c) La rotación en los equipos de trabajo adscritos a las distintas áreas, permitirán que, de existir hábitos no adecuados en la forma de atender los desarrollos de los trabajos, estos puedan ser evidenciados y corregidos con la incorporación de nuevos recursos.

d) En la ejecución de trabajos reiterativos, la actuación periódica de los mismos equipos de trabajo sobre los mismos procesos o entes auditables, podrían ocasionar una cierta falta de entusiasmo para incidir sobre nuevos aspectos auditables, ya que de ello se podrían observar malas prácticas de actuaciones previas.

e) Adicionalmente la permanencia de los auditores en un mismo área, podría generar empatía con los auditados, afectando a su objetividad.

En cuanto a la rotación entre Auditoría Interna y el resto de los Departamentos de la Organización, ésta puede contemplarse en dos niveles: el temporal y el definitivo.

La rotación con salida permanente debería ser una práctica habitual de todas la Unidades de Auditoría Interna, ya que ello supondría materializar la posibilidad de convertir a las Unidades de Auditoría Interna en “vivero” de ejecutivos, o de responsables en las áreas operativas, lo cual nos permitirá ampliar el Plan de Carrera de los auditores, al abrirse las posibilidades de promoción.

En lo que se refiere a la rotación temporal, la cual entendemos como más recomendable en la incorporación de nuevos recursos a la División de Auditoría procedentes de ambientes ajenos a la Organización.  Con este colectivo, la idea es que durante un periodo de varios meses, estos nuevos apoyos se incorporen a unidades operativas y administradoras de riesgos relevantes, de forma que puedan acceder a las prácticas de gestión empleadas, lo que mejoraría su conocimiento sobre la forma de desarrollar dichos procesos. Transcurrido el periodo temporal que se establezca, retornarían a Auditoría Interna con los conocimientos ya adquiridos, con lo que se podrán incorporar a los equipos de trabajo aportando un mayor valor.

Adicionalmente a esta rotación temporal focalizada en los nuevos ingresos, consideramos que podría ser útil el que los auditores ya consolidados en la Unidad, y que: ante cambios regulatorios, nuevas incorporaciones al perímetro societario, modificación de procedimientos de gestión empleados por las distintas áreas, etcétera, con el objetivo de entender las nuevas realidades, se podría pensar en adscribir temporalmente en esos entornos a diversos auditores que colaboren con las unidades afectadas, interiorizando los detalles de las nuevas realidades, lo que les permitiría un conocimiento más exacto de los procedimientos aplicados, posibilitando en análisis más riguroso y exacto de los mismos, lo que abriría mayores oportunidades de hacer recomendaciones de mejora más eficaces.

Por todo lo anterior, consideramos que la rotación de los auditores es una necesidad y una oportunidad que deberemos aplicar para seguir mejorando la capacitación de lo recursos de nuestras unidades, pero también como una forma de poder mejorar las expectativas profesionales de nuestros colaboradores.

Pero antes de acabar, nos surge una duda, esta rotación de auditores, interna y externa hacia otras áreas de la Organización, ¿no debería complementarse/compensarse con una rotación de los empleados de esas Unidades operativas hacia Auditoría?.

La respuesta es muy sencilla, si la ubicación en áreas ajenas a nuestra propia función, tiene como objeto el que podamos interiorizar, comprender y asimilar las prácticas de gestión en donde nos ubiquemos de forma provisional, el que ajenos a Auditoría Interna conozcan nuestros procedimientos de gestión, para después retornar a sus puestos de trabajo habituales, entendemos que no es lo apropiado, ya que su presencia en Auditoría, les habrá permitido, como la nuestra en sus departamentos, conocer las debilidades que existan en el desarrollo de la función. Lo que dicho de forma muy coloquial, sería como “darle armas al enemigo”. Por tanto rotundamente no, en mi opinión.

Esperando que estas ideas puedan ser consideradas aplicables, quedamos a vuestra disposición para ampliar, o aclarar, los comentarios realizados.

Un abrazo.

Madrid, 10 de octubre de 2013