Sin evidencias no puede haber conformidad

Como es bien conocido, una de las actividades básicas de las Unidades de Auditoría Interna, es la correspondiente a la supervisión del control interno existente en la empresa, que permita, entre otros objetivos, una garantía razonable de la fiabilidad de la información financiera y operativa, por lo que dentro de los Planes anuales que se someten a aprobación, han de incluirse aquellos trabajos de evaluación de los sistemas diseñados por las organizaciones con los que atender los requerimientos regulatorios, así como también la de aquellos otros procesos relacionados con la gestión empresarial, bien sean estratégicos, operativos y de apoyo o soporte.

Con respecto a la supervisión de los procesos de gestión, el alcance de las auditorías suele focalizarse en la supervisión de los mismos desde una perspectiva de riesgos y controles, de forma que analizados los procesos aplicados podamos concluir: (i) si la operativa empleada es la adecuada para conseguir los objetivos deseados, (ii) si los controles existentes son válidos para mitigar los riesgos detectados, y (iii) si los controles se aplican de forma eficiente. Recogiendo las conclusiones alcanzadas en los respectivos informes de los trabajos realizados, en los que se describen las debilidades observadas, las recomendaciones estimadas pertinentes para resolverlas, así como los planes de acción comprometidos por los responsables de los procesos auditados.

En base a esta forma de actuar podríamos señalar que auditoría, una vez analizado los procesos, justifica y describe las partes mejorables de los mismos, referenciando las evidencias que les hayan permitido concluir sobre las debilidades observadas, de manera que quede de manifiesto el por qué de las recomendaciones aportadas.

Esta forma de actuar, dicho en términos legales, y sin pretender con ello recuperar las viejas prácticas de las auditorías policiacas, que no es mi objetivo ni mi deseo,  podríamos señalar que a los auditores nos corresponde la “carga de la prueba” de lo que no se hace bien, admitiendo que el resto está bien gestionado, es decir se aplica la teoría de la “presunción de inocencia”, entendiendo que todo está bien gestionado, salvo que se demuestre lo contrario, en base a las evidencias aportadas.

Sin embargo esta forma de proceder, cuando actuamos en el ámbito de trabajos de evaluación de los sistemas diseñados con los que atender los requerimientos regulatorios, no debe ser la misma, ya que, con alguna variante, todos ellos, como por ejemplo se recoge en el correspondiente al Sistema de Control Interno de la Información Financiera de la CNMV Española (SCIIF), se debe centran en:

Velar por su eficacia, obteniendo evidencias suficientes de su correcto diseño y funcionamiento, lo que exige evaluar el proceso de identificación de los riesgos que puedan afectar a la imagen fiel de la información financiera, verificando que existen controles para mitigarlos y comprobar que funcionan eficazmente.

Como vemos, aquí ya no hay “presunción de inocencia”, sino todo lo contrario, lo que debe guíar nuestro trabajo ha de ser la “presunción de incumplimiento”, por lo que deberemos comprobar dónde la organización actúa de forma correcta. Por ello, para lograr una supervisión eficaz y eficiente, se deberá cubrir determinados aspectos. Como por ejemplo los que señala en el propio documento regulatorio de la CNMV, los correspondientes a:

1. Documentación del SCIIF y del proceso de evaluación.
2. Evaluación del diseño del SCIIF.
3. Evaluación del proceso de identificación de riesgos.
4. Identificación de los controles que mitigan los riesgos sobre la información financiera.
5. Evaluación del funcionamiento eficaz del SCIIF.
6. Nivel de evidencia. Señalando al respecto que: El nivel de evidencia requerido para concluir acerca del adecuado funcionamiento de un control será directamente proporcional a dos factores: (i) el riesgo inherente de los controles del SCIIF; y (ii) el riesgo de error material en la información financiera.

En el mismo sentido, pero desde la perspectiva del Banco de España, su Comisión Ejecutiva, con fecha 27 de Junio del 2012, hizo suya la Guidelines of Internal Governance (GL 44) de la Autoridad Bancaria Europea (EBA), cuyo objetivo es la implantación por las entidades financieras de las mejores prácticas de gobierno interno. La cual considera, en su apartado 29.1, que: la función de auditoría interna evaluará si la calidad del marco de control interno de una entidad es eficaz y eficiente.

En tanto que en su apartado 29.4. señala que: la función de auditoría interna verificará, en particular, la integridad de los procesos que garantizan la fiabilidad de los métodos y técnicas de la entidad, los supuestos y las fuentes de información utilizadas en sus modelos internos (p. ej., la modelización de riesgos y la valoración contable). Deberá evaluar asimismo la calidad y la utilización de herramientas cualitativas de identificación y evaluación de riesgos. No obstante, con el fin de reforzar su independencia, la función de auditoría interna no deberá intervenir directamente en el diseño ni en la selección de modelos u otras herramientas de gestión de riesgos.

La estructura de la Guía está compuesta de seis secciones que en conjunto recogen disposiciones sobre treinta aspectos distintos, que serán los que deberán ser objeto de evaluación por parte de Auditoría Interna, pero, para ello, se deberá verificar la existencia de las evidencias que permitan concluir sobre la  situación real observada, la cual podría verse recogida en forma resumida en un cuadro recopilatorio de los treinta aspectos a evaluar, como el que recoge, por su extensión, pero también por su indudable interés, no solo para las entidades financieras afectadas, sino también para el resto de las empresas con independencia de su actividad, en el anexo que se acompaña (pinchar aquí para descargar anexo) al considerarlo una buena práctica que debería tenerse en consideración y aplicarse.

Como se habrá podido observar si se ha analizado el anexo, por las cuestiones que se recogen en la Guía GL 44, no parece oportuno que nos limitemos a identificar solo los aspectos mejorables, aunque se aporten las recomendaciones pertinentes, pues entendemos que en estos casos no sería suficiente, puesto que, para que el trabajo de Auditoría Interna tenga auténtico valor, deberían explicitarse las evidencias que han permitido calificar como satisfactorios los apartados que así lo hayan sido. En caso contrario estaremos sometiendo a las partes interesadas que reciban nuestro informe a un acto de fe, que estimamos que no es lo adecuado.

La forma de actuar que hemos señalado para estos casos relacionados con exigencias regulatorias, en lo único que afectaría al trabajo de auditoría, es en la presentación de los resultados de la supervisión realizada, reflejando en los informes también lo que se haya estimado adecuado, aportando y referenciado las evidencias correspondientes, lo que facilitará el análisis e interpretación de los distintos supervisores, tanto internos, entre ellos el Comité de Auditoría, como externos, los reguladores. Para ello un formato como el que aparece en el anexo entendemos que podría ser adecuado.

Jesús Aisa Díez

El incumplimiento normativo como riesgo

Hoy en día, como ya hemos comentado recientemente en un anterior blog, si nos interesamos en conocer cuáles son los aspectos que mayor interés despiertan en las organizaciones, creo que uno de ellos sería el correspondiente a la denominada, en términos anglosajones, actividad de compliance, o cumplimiento normativo en términos hispanos. Preocupación que inicialmente surgió como consecuencia de la sofisticación cada vez mayor de los participantes en los mercados financieros, lo que llevó a los reguladores a la necesidad de fortalecer los marcos normativos, en aras a reforzar la integridad de dichos mercados.

Y ello, porque el cumplimiento normativo es la función específica que permite a las empresas, a través de procedimientos adecuados,  como el establecimiento de políticas de actuación en determinadas materias, detectar y gestionar los riesgos de incumplimiento de las obligaciones regulatorias internas y externas, mitigando los riesgos de sanciones y las pérdidas que deriven de tales incumplimientos.

Por tanto, el «riesgo de incumplimiento» puede definirse como el riesgo de sanciones legales, normativas, pérdida financiera material o de reputación que una entidad puede sufrir como resultado de incumplir las leyes, regulaciones, normas, estándares de autorregulación y códigos de conducta aplicables a sus actividades.

Asumiendo por tanto que la actividad de cumplimiento normativo es un tema de máxima actualidad en la forma de articular y desarrollar el control interno en las organizaciones, debemos señalar que su desarrollo no es nuevo, ya que de forma explícita está recogido desde 1992, es decir hace ya cerca de 25 años, cuando se publicó el informe “Internal Control - Integrated Framework” denominado COSO I. El cual, como es de general conocimiento incluía como objetivos del control Interno, los tres siguientes:

• Eficacia y eficiencia de las operaciones.
• Confiabilidad de la información financiera.
• Cumplimiento de las leyes, reglamentos y normas que sean aplicables.

Pero es en el sector financiero dónde, como consecuencia de las normativas regulatorias cada vez más complejas y  exigentes, donde se estimo especialmente importante que las organizaciones debían  gestionar y controlar  el cumplimiento de las normas externas (legislación general y regulación sectorial) e internas (políticas corporativas, reglamentaciones relacionadas con la ética y la conducta), a fin de  evitar la imposición de sanciones económicas y, lo que es más importante, salvaguardar  la reputación de las compañías ante las malas conductas empresariales o por los propios incumplimientos de las normas. Circunstancias por las que, en abril de 2005, el Comité de Supervisión Bancaria de Basilea dio a conocer un documento de recomendaciones sobre «Cumplimiento y la función de cumplimiento en los bancos», en el que, partiendo  de principios de muy alto nivel,  se establecían las pautas para la gestión del riesgo de cumplimiento normativo y las correspondientes a la implantación de una función de cumplimiento en el sector bancario.

Posteriormente la oportunidad de disponer de una función de cumplimiento normativo no se ha limitado al sector financiero, sino que se ha ido extendiendo a los diferentes entornos empresariales, al concluir  en la conveniencia y procedencia  de disponer de la misma, al ser considerada  una forma  eficaz de incidir positivamente en el control  interno de las empresas.

Extensión en su implementación  que podríamos señalar ha tenido su reconocimiento con la reciente publicación de la Norma ISO 19600-2014, siendo su objetivo, el de: Proporcionar orientación para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz y que genere respuesta por parte de la organización.

Aclarándonos que las directrices sobre el sistema de gestión de compliance son aplicables a todo tipo de organizaciones, y que el alcance de la aplicación de estas directrices depende del tamaño, estructura y complejidad de la organización. 

Dentro de su contenido se encuentran diversos  aspectos que consideramos muy interesantes para resolver uno de los problemas de su implantación, como es si la función de compliance debe ser autónoma del resto de la organización, o puede convivir con otras actividades organizativas, como es el caso de auditoría interna. Aspectos que son tratados  en diversos apartados de la Norma. Los cuales nos señalan que:

No en todas las organizaciones la función de compliance será independiente, en algunas se podrá asignar a una posición existente. Siendo en cualquier caso responsable de, entre otras, de las siguientes acciones:

1. Identificar las obligaciones de la organización respecto de cumplimiento normativo, traduciendo las mismas en políticas, procedimientos y procesos. Integrando dichaas obligaciones en las políticas, procedimientos y procesos ya existentes. 
2. Desarrollar  e implementar procesos para gestionar la información que puedan relacionarse con los riesgos de incumplimiento, tales como reclamaciones y/o comentarios recibidos. 
3. Establecer indicadores de desempeño del cumplimiento normativo y supervisar y medir los mismos. 
4. Analizar el desempeño para identificar la oportunidad de acciones correctoras 
5. Identificar los riesgos de incumplimiento y gestionar aquellos relacionados con terceras partes (proveedores, agentes, distribuidores, consultoría, contratistas,…) 
6. Asegurar que el sistema de gestión del compliance se revisa a intervalos planificados a través de auditorías internas que incidan en aspectos tales como:

• Si el sistema de gestión de cumplimiento responde con los requisitos de la organización definidos para el mismo, así como con los de la Norma 19.600.
• Que se implementa y se mantiene eficazmente.

Haciendo énfasis en la salvaguarda de la objetividad y la imparcialidad del proceso auditor aplicado.

Ante este entorno normativo, creemos que la duda que se nos planteaba sobre si el Área de Cumplimiento Normativo puede integrar a la Unidad de Auditoría Interna, seguimos manteniendo que no es lo apropiado, ya que de ser así, estaríamos auditando a nuestro jefe jerárquico, lo cual no estaría alineado con la requerida la salvaguarda de la objetividad y la imparcialidad del proceso auditor citado.

Pero la alternativa contraria, la que sea el Área de Auditoría Interna quien coordine la de Cumplimiento Normativo, creemos que dadas las responsabilidades que la Norma ISO 19.600 requiere a la  función de compliance, entendemos que tampoco sería apropiado, dadas las actuaciones gerenciales que conlleva su actuación, como hemos visto, por ejemplo, en los puntos 2 y 5 citados anteriormente; quedando ya solo la alternativa de incluirla en el organigrama de forma independiente, o adscribirla a otros responsables de la segunda línea de defensa, como podría ser el de Control de Riesgos.

Por ello, siendo totalmente partidario de la implantación de una función de cumplimiento normativo en todas las organizaciones, un aspecto que debe analizarse con detenimiento es la de su ubicación, ya que de la misma podríamos estar afectando a su eficacia. Pudiendo señalar que, si finalmente se decidiese asignar esta responsabilidad a la Unidad de Auditoría Interna, se hace imprescindible el que se deberían excluir de su responsabilidad todas aquellas que tuvieran relación con decisiones gerenciales que hemos citado, así como habilitar la forma de realizar las pertinentes auditorías del sistema garantizando su objetividad, ya que nos encontraríamos en la tesitura  ser juez y parte, lo que es inapropiado, por lo que entendemos que lo más apropiado es que la supervisión del sistema de gestión de compliance deberíamos encargarla a un especialista ajeno a nuestra Unidad de Auditoría interna. 

Esperando que estos comentarios puedan ser de utilidad, aprovecho, dadas las fechas en las que nos encontramos, para desear unas felices fiestas, y un próspero 2016.

La función de compliance y la auditoría interna.

Hace unos pocos meses tuve la oportunidad de acudir a la presentación, en la sede del Instituto de Auditores Internos de España, del documento: Visión 2020. Desafíos de Auditoría Interna en el horizonte 2020, en el que se hacía una descripción de las expectativas de la función auditora interna en los próximos años, basándose para ello en la opinión de diversos especialistas consultados.

Entre la información empleada figuraba la correspondiente a las preocupaciones de las Comisiones de Auditoría, las cuales se ordenaban de la siguiente manera: 

1ª) Riesgo Operativo (21%)

2ª) Riesgo Estratégico (18%).

3ª) Cumplimiento (14%).

4º) Aseguramiento en la administración de riesgos (10%).

Por lo que se concluía en la necesidad de apoyar el desarrollo de la función de cumplimiento en aquellas organizaciones que aún no dispusiesen de ella, resaltando que aquellas organizaciones que actualmente cuentan con un sistema de control interno maduro han creado la dirección de cumplimiento, posibilitando así la implementación de “un modelo integrado de gobierno, control interno, gestión del riesgo y cumplimiento –conocido por sus siglas GRC–, que se desarrolla para cubrir la necesidad de ofrecer una respuesta coherente y consistente ante su complejidad y la creciente exigencia del entorno”.  

Debiendo señalar que por “cumplimiento”, de acuerdo con la definición que en su momento aplicó Basilea, debe entenderse aquella función que identifica, asesora, alerta y reporta los riesgos de cumplimiento en las organizaciones, es decir, el riesgo de recibir sanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras o pérdidas de reputación por fallas de cumplimiento con las leyes aplicables, las regulaciones, los códigos de conducta y los estándares de buenas prácticas.

Aspectos todos ellos que deben ser objeto de supervisión por parte de Auditoría Interna, atendiendo a lo señalado por las Normas  2120 A1 y 2130 A1. Al referirse al “cumplimiento de leyes, regulaciones políticas, procedimientos y contratos”. 

Ante esta evolución del gobierno corporativo de las organizaciones, podemos decir que es habitual el que las empresas estén implementando la función de cumplimiento, encontrándonos con alguna duda respecto de cuál debe ser su estructura, y básicamente si debe ser independiente de la de Auditoría interna o vinculada con ella.

En nuestra opinión, la creación de la Unidad de Cumplimiento es algo muy positivo para las organizaciones, la cual debe desarrollarse de forma independiente, como segunda línea de defensa, de la de Auditoría Interna, dependiendo de su correspondiente gestor y responsable, el Director de Cumplimiento (CCO por sus siglas en inglés).

Sin embargo, y como también sucede en la Gestión de Riesgos, resulta algo frecuente añadir esta función de Cumplimiento a la de Auditoría Interna. Surgiendo entonces una duda, ¿quién absorbe a quién?: la de Auditoría a la de Complimiento, o la de Cumplimiento a la de Auditoría. O dicho de otra manera, el DAI será el jefe del CCO, o CCO del DAI, pudiendo señalar que ambas situaciones las hemos visto aplicadas de forma práctica.

Si tuviésemos que decidir sobre esta situación, y considerando que no fuese posible la implantación de la función de Complimiento de forma desagregada a la de Auditoría Interna, que sería lo más adecuado, en nuestra opinión no hay duda, Auditoría debería coordinar la de Cumplimiento, pero dejando muy claro qué funciones son las que va a asumir, alejándose de todas aquellas que supongan decisiones gerenciales, pues al igual que ocurre con la gestión de riesgos, no debemos olvidar que la función de cumplimiento normativo, como segunda línea de defensa que es,  debe ser auditada, por lo que no debemos abrir posibles conflictos de intereses que interfieran en nuestra objetividad, imponiendo procesos de gestión o asumiendo responsabilidades de gestión, ya que ello afectaría a la independencia de la función auditora, debiendo limitar nuestra actividad en esta materia, como en cualesquiera otra en las que intervengamos, a la de asesoramiento.

La dependencia del DAI del CCO es una situación muy difícil de administrar desde la perspectiva de la independencia del auditor, ya que, de ser esta la situación, se podría estar interferido en la dependencia funcional directa del DAI con respecto de la Comisión de Auditoría, aspecto que esta debería valorar y actuar en consecuencia. 

Por todo ello, y para concluir con estas consideraciones, entendemos que la ubicación en el Organigrama de las empresas de una función de Cumplimiento es un objetivo muy deseable, pero que debe estar coordinada con la de Auditoría Interna, evitando duplicidades de actuaciones, y procurando evitar las dependencias jerárquicas entre una y otra, y que de no ser posible, que no sea de la de Auditoría respecto de la Cumplimiento, ya que empezaríamos mal, puesto que estaríamos incumpliendo una Norma básica del IIA, la 1100 relativa a nuestra independencia y objetividad.

No son habituales pero sí existen

Como una buena práctica, pero también con la finalidad de atender a los requerimientos de la Norma 1.312 del Marco Internacional para la Práctica Profesional de Auditoría Interna, los Directores de Auditoría Interna deben establecer evaluaciones externas al menos una vez cada cinco años por un evaluador o equipo de evaluación cualificado e independiente, proveniente de fuera de la organización, debiendo tratar con el Consejo:

• La forma y frecuencia de las evaluaciones externas; y

• Las cualificaciones e independencia del evaluador o equipo de evaluación externo, incluyendo cualquier conflicto de interés potencial.

Hasta aquí todo perfecto, sin ninguna dificultad para actuar de acuerdo con lo requerido normativamente, pero esto empieza a enredarse con la interpretación que en el Marco se hace de lo anterior, indicando que: Las evaluaciones externas pueden realizarse como una evaluación externa completa o como una autoevaluación con validación externa independiente.

Esta última alternativa de evaluación, la denominada autoevaluación con validación externa independiente, aun no siendo actualmente frecuente su empleo, si pueden existir casos concretos, pocos, en los que se emplean. Por lo que entendemos conveniente hacer algunos comentarios sobre la forma que debe desarrollarse, a fin de evitar problemas indeseados. 

Lo primero en lo que nos debemos fijar es en el alcance de la preposición “con” que hemos subrayado, que en el contexto de la frase sería aplicable aquella acepción que se emplea para describir dos objetos o dos fenómenos que van aparejados u ocurren a la vez. Por esto, la auto-evaluación y la validación independiente no pueden estar separadas en el tiempo, aspecto este que suele ser habitual en esta alternativa de actuación, puesto que las validaciones independientes se suelen solicitar una vez finalizado el proceso de autoevaluación, conocido su resultado y con los informes internos correspondientes ya difundidos. Todo ello por un criterio de prudencia, solicitándose la validación independiente solo cuando los resultados internos hayan sido favorables.

Este modo de actuar, sin embargo, sería contrario a lo señalado por el IIA en su Consejo para la Práctica 1312-2, punto 7,  cuando indica que: El informe o informes finales de la autoevaluación con validación externa independiente son firmados por el equipo de autoevaluación y por los evaluadores externos  e independientes, y emitidos por el DAI para la alta dirección y el consejo de administración.

Otro aspecto que debería considerarse a la hora de decidir el modelo de evaluación a emplear, es que los validadores externos independientes, no solo deben asegurarse que el resultado de la auto-evaluación es consecuencia de la aplicación de una metodología coherente con la que se recoge en el Manual de Evaluación de Calidad, dado que es la que el IIA entiende representa la forma correcta de desarrollar el proceso de evaluación de la calidad de las UAI´s, sino también supervisar y garantizar, razonablemente, que las conclusiones alcanzadas y reconocidas por los auto-evaluadores se ajustan a la situación real existente en la actividad de Auditoría Interna respecto del cumplimiento de las Normas.

Como consecuencia de esta posible forma de desarrollar la validación de la auto-evaluación interna de calidad, podemos concluir que ésta es dual: (i) La que se corresponde con la sistemática aplicada para concluir sobre el cumplimiento de las Normas (Generalmente Cumple, Cumple Parcialmente o No Cumple) y (ii) La coherencia de los resultados de la auto-evaluación con las evidencias observadas por los validadores independientes. 

Fase esta última que justifica lo indicado en el punto 6 del CP 1312-2, en el sentido de que: si los validadores no estuviesen de acuerdo con la evaluación, incluirán en el informe su desacuerdo, especificando cuáles son los puntos del informe con los que no está de acuerdo y, en la medida que se considere apropiado, con las observaciones, conclusiones, recomendaciones y opiniones significativas del informe.

En resumen, que la modalidad de auto-evaluación con validación independiente, en nuestra opinión, requiere que los validadores independientes deben supervisar las metodologías, procedimientos y prácticas con las que se desenvuelve la función auditora evaluada, a fin de sacar sus propias conclusiones, y compararlas con las de los auto-evaluadores, actuando en consecuencia. Por lo que su actuación no debe ser solo de revisión formal del trabajo de la auto-evaluación, sino también del fondo de la misma, de lo que se deriva que su actuación no diferirá demasiado de la requerida por una evaluación externa completa.

Aspecto que, si tenemos en consideración los costes internos que supone cualquier auto-evaluación, no estamos seguros que se aporten economías al conjunto del proceso (el interno y el externo). Aunque sí lo estamos en que, de no hacer coincidir temporalmente ambos procesos, habrá una mayor dilación en la disposición del resultado final del proyecto en su conjunto. 

Adicionalmente debemos señalar que, si siguiésemos lo señalado en el ejemplo que en el Manual del IIA sobre las Evaluaciones de Calidad se incluye sobre las “Declaraciones del Validador Independiente”, su alcance no incluiría diversos temas que se podrían haber tratado en una evaluación externa completa, como por ejemplo: un análisis detallado de prácticas exitosas, de gobierno, de servicios de consultoría y de uso de tecnología avanzada, etcétera. Lo cual excluiría del trabajo derivado de la evaluación externa de calidad, de uno de los aportes más valorados por los receptores de los correspondientes informes, ya que es en este apartado de los informes en donde se ubican las oportunidades de mejora, no para incidir en la adecuación de las UAI evaluadas a los requerimientos de las Normas, sino para incrementar la eficiencia y eficacia de la labor auditora, con la que mejorar el valor añadido que estas aportan a las organizaciones, derivados del perfeccionamiento de sus procesos operativos, en base al conocimiento de las mejores prácticas empleadas. 

Por todo ello, y sin estar condicionados por hipotéticos conflictos de intereses económicos que ya hemos comentado que entendemos no son evidentes, nos permiten indicar que sería conveniente el que se valoren con cuidado  las ventajas reales y los inconvenientes que se puedan derivar de ambas metodologías, adoptando las decisiones que se entiendan oportuno adoptar.