miércoles, 11 de febrero de 2015

Lo mejor es enemigo de lo bueno



No hace mucho tiempo me propusieron dar una charla, que no acepté, para difundir el contenido del mal llamado COSO III, o como realmente se denomina Control Interno-Marco Integrado. Versión 2013, ya que entendí, y sigo pensándolo, que para difundir algo el primer requisito que debe cumplirse es el de compartir y asumir lo que estés exponiendo. Circunstancia que no se producía en esta ocasión, y ello por diversos motivos, como expondré a continuación:

En primer lugar, debido a que con esta nueva versión del Marco sobre Control Interno, que no viene acompañada en paralelo de los correspondientes cambios en el Marco COSO sobre Gestión de Riesgos (ERM), de lo que se podría interpretar que existe una aparente desvinculación entre el Proceso de Control Interno y el de Gestión de Riesgos, lo cual, desde mi perspectiva, no es correcto, puesto que estoy convencido que no puede haber una correcta gestión de riesgos sin la existencia de un buen control interno, pero en sentido contrario también sucedería lo mismo, ya que no es posible que exista un buen control interno sin la existencia de una buena gestión de riesgos. Esta mutua interrelación viene a ser reconocida incluso en la nueva versión del 2013 cuando en su Prólogo se señala que el Marco sobre Control Interno y el Marco ERM son complementarios.

Siendo así, y analizando los alcances y explicaciones que se citan respecto de los 17 principios que ahora han de guiar el proceso de Control Interno, se pueden observar algunos aspectos de dudosa oportunidad, que citaremos en forma secuencial según aparecen en el texto del Marco, como por ejemplo:

“Que el establecimiento del nivel general del riesgo aceptable y el apetito al riesgo relacionado forma parte de la planificación estratégica y de la gestión de riesgos corporativos, y no forma parte del control interno. De igual manera, el establecimiento de los niveles de tolerancia al riesgo en relación con los objetivos específicos tampoco forma parte del control interno.”

Ante esta posición podríamos preguntarnos cómo será posible que el control interno pretenda conseguir una seguridad razonable en la consecución de los objetivos de las organizaciones, si previamente no están concretados, definidos o fijados los niveles  de los riesgos que sean compatibles con las metas a alcanzar, dado que ello es lo que nos permitirá decidir las actividades de control que debamos aplicar.

Otro aspecto que tampoco comparto es el comentario que se cita en el apartado 3. Efectividad del Control Interno, en su epígrafe Otras Consideraciones, cuando señala que “… los auditores externos y los reguladores no son parte del sistema de control interno de la organización y, por tanto, no pueden formar parte del proceso de evaluación de un control interno efectivo por parte de la dirección.” 

No hablemos de los reguladores, que también, pero que el Marco considere que los auditores externos no son parte de control interno, es negar que habitualmente la fiabilidad de la información financiera en gran medida está encargada a estos supervisores, ya que son a los que les asigna garantizar razonablemente el que los estados financieros elaborados y difundidos por las organizaciones se corresponde con la imagen fiel de la compañía. Asimismo, y a mayor abundamiento, en nuestra opinión, cuando se evalúe la eficacia del control interno de las organizaciones, se hace imprescindible valorar también la efectividad de la labor de los auditores internos. En este sentido bastaría con recordar la función del PCAOB  (Public Company Accounting Oversight Board) que, como corporación sin fines de lucro establecida por el Congreso de Estados Unidos, debe supervisar la actividad de los auditores externos, velando por la bondad y oportunidad de sus informes.

En el apartado 6 correspondiente al elemento Evaluación de Riesgos, cuando se refiere a la Importancia del Riesgo, señala que: 

Como parte del análisis de riesgos, la organización evalúa la importancia de los riesgos de cara a la consecución de los objetivos y de los subobjetivos. Las organizaciones pueden evaluar la importancia de los riesgos utilizando criterios tales como los siguientes:

  • Probabilidad de ocurrencia de un riesgo y su impacto
  • Velocidad o rapidez del impacto una vez que se produce el riesgo
  • Persistencia o duración en el tiempo del impacto una vez que se materialice el riesgo.”
 
Surgiéndome una gran duda; estas formas de evaluar son alternativas o acumulativas. 

No importa, en cualquier caso estaría en total desacuerdo, ya que si son alternativas se estaría incidiendo en un aspecto básico del Marco ERM, según el cual los riesgos se calculan según la estimación de su impacto y su probabilidad. Pero si fuese acumulativa, ello significaría que los riesgos de cuantifican ahora mediante 4 atributos: Probabilidad, Impacto, Velocidad y Persistencia, por lo que nuevamente estaríamos corrigiendo a ERM, y dado que según se cita el Marco sobre Control Interno, al no sustituirse entre sí ambos Marcos, tendríamos dos formas diferentes de estimar los riesgos según estemos desarrollando el proceso de control interno, o el de gestión de riesgos. Lo que no parece oportuno.

Esto que acabamos de comentar no invalida la necesidad de considerar los aspectos relativos a la velocidad y persistencia, pero en ambos casos como características de los riesgos que estemos evaluando, no como atributos, lo que nos permitirá poder estimar con mayor precisión el impacto del riesgo, al igual que sucede con las otras diferentes características de las amenazas que debamos  combatir, como por ejemplo: el ambiente en el que se desarrolla la amenaza (urbana, rural, fluvial, etc), ya que el perjuicio que se pueda producir será diferente en unos caos y en otros.

Aparte de estos comentarios que inciden en temas relevantes, entiendo que el nuevo Marco es una buena actualización, pero que estimo se podrían haber incluido revisando ERM, ya que en él tendrían cabida todas las modificaciones, y adicionalmente, como yo lo veo: ERM es el Marco de Control Interno más el correspondiente a un Sistema de Gestión de Riesgos, por lo que adaptando COSO II, es decir ERM, estaríamos actualizando el Marco de Control Interno.

En cualquier caso espero que estas opiniones puedan ser de interés, y que permitan reflexionar sobre los aspectos teóricos afectados.

Jesús Aisa Díez
10 de febrero de 2015

martes, 3 de febrero de 2015

Auditorías energéticas. Adelantarse al futuro

En mi artículo de hace unos días comentaba la tendencia actual de las organizaciones a implantar y desarrollar modelos empresariales de gestión de riesgos, y lo unía a uno de los mayores riesgos actuales, el cambio climático.

Pues bien, parece ser que el Presidente de Estados Unidos de América, Barack Obama, también ve la necesidad imperiosa de tratar al cambio climático como un riesgo. Y no como un riesgo cualquiera, sino,  según sus palabras, como el mayor riesgo existente en la actualidad. Ya que, según dijo el pasado 20 de enero en su discurso sobre el Estado de la Unión ante el Congreso: “no existe mayor amenaza para las futuras generaciones que el cambio climático".

Obama aseguró también estar decidido a que Estados Unidos impulse la acción internacional contra el cambio climático, y recordó el histórico acuerdo alcanzado el pasado año con China para limitar sus emisiones contaminantes. Remarcando que "Debido a que las dos economías más grandes del mundo se reunieron, otros países están intensificando, y ofreciendo esperanzas para que este año el mundo finalmente llegue a un acuerdo para proteger el planeta que tenemos".

Así pues, oír al presidente de la mayor potencia mundial, y segunda mayor emisora de gases de efecto invernadero del mundo, afirmar que no permitirá a los legisladores "que pongan en peligro la salud de los niños por dar marcha atrás al reloj" es una buena noticia, que nos podría hacer pensar que, como decíamos el otro día, los códigos de "responsabilidad social corporativa" de aplicación obligatoria están más cerca de lo que pensábamos. 

Aunque el acuerdo al que hacía referencia Obama, se trata de un acuerdo no vinculante, que queda bastante lejos del objetivo de obligado cumplimiento autoimpuesto por los países de la Unión Europea de reducir sus emisiones en al menos un 40% para 2030, cabría pensar en que finalmente en la próxima COP (Conferencia de las Partes) a celebrar en Diciembre próximo en París se consiga llegar al deseado acuerdo que obligue a todos los países a reducir sus emisiones de gases de efecto invernadero, en cuyo caso no sería de extrañar que aparezcan nuevas normativas que requieran a las organizaciones a reducir sus emisiones y a pagar por las que produzcan en exceso. 

Pero, ¿cómo serían estas normativas y cómo podemos adelantarnos a las mismas?

Pues bien, con permiso del Presidente Obama no deberíamos fijarnos en Estados Unidos para prever las posibles nuevas normativas y consiguientes obligaciones en el tema de reducción de emisiones, sino en Europa, y más concretamente en aquellos países que llevan ya una larga trayectoria en aplicación de códigos de aplicación obligatoria, como es el Reino Unido.

En este contexto desde el año 2012, el Reino Unido, además de hacer cumplir a sus empresas con un consumo intensivo de energía con las obligaciones impuestas por el Sistema de Comercio de Emisiones de la Unión Europea (EU ETS), ha legislado una serie de normas para conseguir reducir al máximo sus emisiones de gases de efecto invernadero.

Así, las organizaciones que superen unos valores medios de consumo de energía deberán pagar por cada tonelada de CO2 emitida a menos de que implanten medidas de eficiencia energética en sus procesos y reduzcan sus emisiones de gases contaminantes hasta unos valores bastante estrictos.

Por lo tanto, actualmente para las empresas de Reino Unido y previsiblemente en un futuro no muy lejano para todas las del resto del mundo, la optimización de los consumos energéticos es un riesgo vinculado a su actividad, que deberían comenzar a auditar cuanto antes, a fin de poder adaptar las medidas necesarias y optimizar sus procesos productivos.

Para ello, el Gobierno del Reino Unido, en su “Energy Savings Opportunity Scheme”, habla de la posibilidad de utilizar la Norma ISO 50001 para auditar los consumos energéticos y distinguir las oportunidades de mejora existentes en las organizaciones. 

Dicha norma está diseñada de manera similar a otras normas aplicables a los sistemas de gestión, como la ISO 14001 o la ISO 9001, por lo que resulta una herramienta complementaria, compatible e integrable con distintos sistemas de gestión.

Centrándonos en las auditorías que entendemos conveniente realizar, no hemos de desconocer que el objetivo básico perseguido es el de recomendar acciones con  las que conseguir una reducción de las emisiones de gases de efecto invernadero, para lo que se hará preciso calcular la huella de carbono que generemos, con lo que podremos conocer las emisiones reales a la atmósfera debidas a nuestra actividad empresarial, así como determinar cuáles son las posibilidades existentes de reducción de las mismas.

Para calcular esta huella de carbono, existen varios manuales, que nos irán guiando en los pasos que debemos seguir para conseguir conocer los procesos de nuestra actividad que tienen influencia en las emisiones que generamos. Al no existir de momento obligatoriedad de calcular esta huella de carbono, las organizaciones tienen libertad de elegir la metodología a utilizar, pero es importante saber que la guía denominada PAS 2050 desarrollada en 2008 por la British Standards Institution es la más aceptada y utilizada en todo el mundo.

Así pues, resumiendo, un buen consejo para todas aquellas organizaciones que no tienen identificado su consumo energético o sus emisiones de CO2 como un riesgo operacional importante, deberían comenzar a hacerlo, ya que adaptarse o no a esta buena práctica, previamente a una posible normativa mundial, puede significar, aparte de demostrar una gran sensibilidad por el entorno, el desmarcarnos de nuestros competidores y evitar la imposición de cuantiosas multas en un futuro no demasiado lejano.

JA Sánchez-Horneros