Ahora ya no hay duda

Un tema que ya había comentado con anterioridad, es el correspondiente a la composición de los Comités de Auditoría de acuerdo con las buenas prácticas derivadas de los Códigos de Buen Gobierno de las sociedades cotizadas, como sucedía con el español, el cual recomendaba que los Comités de Auditoría estuviesen conformados solo por consejeros externos, por lo que se entendía oportuno que no participasen en ellos los consejeros ejecutivos, es decir aquellos que tienen también responsabilidades gerenciales. 

Esta recomendación debo señalar que la he considerado conveniente recoger en los informes de evaluación de calidad de las Unidades de Auditoría Interna en las que he participado, pero debo reconocer que no siempre con total coincidencia de opiniones con algunos otros evaluadores de calidad.

Bien, pues el pasado 3 de Diciembre se aprobó la Ley 31/2014 por la que se modifica la Ley de Sociedades de Capital para la mejora del gobierno corporativo, en la que en su artículo Cincuenta y dos se señala que:

La comisión de auditoría  estará  compuesta  exclusivamente por consejeros no ejecutivos nombrados por el consejo de administración, dos de los cuales, al menos, deberán ser consejeros independientes y uno de ellos será designado teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o en ambas.

Asimismo, y en lo que se refiere a las categorías de los consejeros se establece que:

Son consejeros ejecutivos aquellos que desempeñen funciones de  dirección en la sociedad o su grupo, cualquiera que sea el vínculo jurídico que mantengan con ella. No obstante, los consejeros que sean altos directivos o consejeros de sociedades pertenecientes al grupo de la entidad dominante de la sociedad tendrán en esta la consideración de dominicales.

Redacción que entiendo permitirá excluir como consejeros ejecutivos de las subsidiarías  a aquellos consejeros que tuvieran responsabilidades ejecutivas en las empresas del grupo. Lo cual no llego a compartir, pues ello posibilitaría, si mi interpretación es correcta, que  el CFO de la matriz pudiese ser consejero dominical de las subsidiarías.

Adicionalmente, y al haber pasado estos aspectos a tener la consideración de requerimiento legal, ya no habrá duda de que es un tema que debe ser supervisado por las Unidades de Auditoría Interna, ya que está afectando a uno de los objetivos básicos de control interno, el correspondiente al: Cumplimiento de las leyes y las normas.

Sinceramente me alegra que el Código de Buen Gobierno haya sido matizado por esta nueva Ley, aclarando aspecto que entendemos prioritarios, aunque sigan manteniéndose algunos temas que deberían ser nuevamente valorados, tal y como hemos comentado con el ejemplo del CFO.

Jesús Aisa Díez

Madrid, 21 de marzo de 2015

El triángulo del éxito en la Unidades de Auditoría interna

Hace unos días leía un artículo muy interesante relativo a la magia de los números, sobresaliendo en ellos de forma muy especial el número tres, citando para justificarlo como en muchas culturas antiguas se le consideraba como el más sagrado. En este sentido se comentaba como las triadas son en las religiones una asociación básica que determina el culto, como sucede en el cristianismo: Padre, Hijo y Espíritu Santo; en  la egipcia fueron: Isis, Osiris y Horus y en  la de los hindúes: Brahma, Visnú y Siva. Sin olvidar las virtudes teologales, también tres.

Si nos fijamos en lo político, según nos enseñó Aristóteles, tres son las formas de gobierno: monarquía, democracia y aristocracia. Y también tres los poderes de los Estados: legislativo, ejecutivo y judicial.

Pero no solo en esos ámbitos se destaca el número tres, también en los ejércitos la forma de desenvolverse son: tierra, mar y aire. Como también los Reyes Magos o en la literatura los tres mosqueteros, o los tres cerditos, o las carabelas de Colón: La Niña, la Pinta y la Santa María.

Por todo ello, entiendo que no sería erróneo considerar que el tres representa una de las condiciones que mejor describen las características de los temas a los que nos estemos refiriendo.

En este sentido, por ejemplo, si nos centramos en la actividad de auditoría interna, creo que el tres se manifiesta en forma determinante en sus aspectos básicos; fijémonos, por ejemplo, en la naturaleza del trabajo a desarrollar, donde se puede observar que tres son los procesos en los que debe centrarse nuestra atención: riesgos, controles y gobierno. 

Pero no solo ahí el tres está presente, puesto que si recordamos la forma en que hemos de administrar la actividad auditora, vemos que es preciso que lo hagamos de forma eficaz y eficiente, y que, para conseguirlo, hemos de administrar convenientemente tres situaciones con las que poder conseguir los objetivos perseguidos, es decir ser eficaces y, con el menor uso de recursos, conseguir la necesaria eficiencia.

Veamos en este objetivo cuales serían estas tres situaciones. En primer lugar deberemos centrar nuestra atención en la identificación de los entes auditables que sean más significativos en la consecución de los objetivos estratégicos de la Organización en la que operemos, para ello la Norma 2010 nos señala que el Director de Auditoría Interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. 

En segundo lugar se hace imprescindible la confección y análisis del mapa de aseguramiento, con el que desarrollar la visión holística de las actividades, lo que nos permitirá visualizar las lagunas y fortalezas que hubiese en el proceso empresarial de gestión de riesgos, identificando los que estén siendo adecuadamente atendidos, y así poder apoyarnos en ello. Todo ello de acuerdo con el Consejo para Práctica 2050 -2. 

Y, en tercer lugar, debemos aprovechar los trabajos de la denominada segunda de defensa, coordinándonos con los otros proveedores internos y externos de servicio de aseguramiento, que nos permita tener una cobertura adecuada minimizando la duplicación de esfuerzos, todo ello de acuerdo con la Norma 2050.

En consecuencia, conseguir que la actividad de auditoría que desarrollemos permita proporcionar de forma eficaz y eficiente una seguridad razonable sobre la adecuada gestión de los procesos de riesgos, control y gobierno corporativo, requiere que desarrollemos nuestra actividad en base a tres condicionantes: 1º) Una adecuada identificación del plan de auditoría a atender, 2º) Levantar el mapa de aseguramiento existente en la organización y, 3º) Aprovechar las conclusiones de los diferentes proveedores de aseguramiento considerados fiables.

Siendo así, y no por atender las virtudes del número tres, sino porque permitirán conseguir lo que se pretende, no las ignoremos, y atendámoslas.

Un saludo.

Aclaremos la doble dependencia del Director de Auditoría Interna

De acuerdo con la Norma 1110,  la independencia del Director de Auditoría Interna (DAI) dentro de la organización se alcanza cuando este responde ante un nivel jerárquico tal dentro de la organización que permita a la actividad de auditoría interna cumplir sus responsabilidades. El director de auditoría interna debe ratificar ante el Consejo, al menos anualmente, la independencia que tiene la actividad de auditoría interna dentro de la organización. 

Hasta aquí lo que al respecto expresan de forma literal los aspectos preceptivos del Institute of Internal Auditors, siendo el Consejo para la Práctica 1110-1 el que ya, al menos desde su edición de Enero 2009, el que se refería a que: el hecho de que el DAI reporte funcionalmente al Consejo de Administración y jerárquicamente al máximo ejecutivo de la organización, facilita la independencia dentro de la organización.

Pero esta situación cambia a partir de la versión del Marco Internacional para la Práctica Profesional de Auditoría Interna del año 2011, ya que en ese momento la Norma 1110 incluye como una interpretación de la misma, y entiendo que es mucho interpretar de la literalidad de la Norma, que: la independencia dentro de la organización se alcanza de forma efectiva cuando el DAI depende funcionalmente del Consejo. 

Aportando algunos ejemplos de los aspectos que evidenciarían dependencia funcional (aprobación del estatuto de auditoría, aprobación del plan de auditoría, nombramiento y cese del DAI,…..).

Pudiendo observarse que para aclarar el tema de la dependencia jerárquica, se hace ahora intervenir a la dependencia funcional. Todo ello sin que simultáneamente se haya suprimido o modificado el Consejo para la Práctica citado, lo cual nos podría situar ante una duda: la dependencia funcional del DAI respecto del Consejo de Administración/Comité de Auditoría ¿es un requerimiento de la norma, o es un aspecto recomendable derivado de las  buenas prácticas conocidas  recogidas en los Consejos para la Práctica?.

En mi opinión, la trascendencia que se deriva de esa doble dependencia, la funcional y la jerárquica, no debería prestarse a ninguna mala interpretación, ni tampoco posibilitar que se entendiera como algo optativo, por lo que considero que en las próximas ediciones del Marco se debería elevar a nivel de Norma lo señalado por el Consejo 1110-1, puntos 1 y 2, señalando que la independencia dentro de la organización exige simultáneamente una dependencia jerárquica a un nivel adecuado, así como también una funcional del Consejo de Administración/Comité de Auditoría.

Aprovechando que estamos reflexionando sobre las dependencias organizativas del DAI, hay otro aspecto que se nos podría plantear, y es si el DAI podría simultanear su responsabilidad como máximo responsable de la Unidad de Auditoría Interna, y ser al propio tiempo miembro ejecutivo del Consejo de Administración.

Antes de dar mi opinión sobre esta cuestión, intentaré argumentar mi razonamiento desde una perspectiva amplia. 

Lo creo que no hay duda que en ningún caso se debería dar, es la circunstancia de ser miembro del Comité de Auditoría y simultáneamente Director de Auditoría, puesto que esa situación nos conduciría a un conflicto de intereses evidente, ya que al ser miembro del Comité de Auditoría formaría parte del órgano de Gobierno Corporativo que debe evaluar la actividad auditora, cesar en su caso a su titular, aprobar su retribución, etc, etc.

Veamos ahora si el nombramiento de miembro del Consejo, en este caso como ejecutivo, podría ser compatible con la función de DAI. En mi opinión la respuesta dependerá del orden de los nombramientos, ya que pienso que no sería lo mismo que, siendo alguien Consejero se le nombrase DAI, que lo contrario, es decir, que siendo DAI se le nombrase miembro del Consejo, y ello por lo siguiente:

En el caso del Consejero que es nombrado DAI, ello nos conduciría a dos situaciones: (I) a que un consejero independiente se transformase en ejecutivo, lo que no es habitual, y por tanto descartable, y (ii) que siendo ya consejero ejecutivo, por desempeñar actividades gerenciales, se le encarga la responsabilidad de la función auditora, lo cual nos situaría ante una situación de aparente incompatibilidad, y que, por lo señalado en la Norma 1130 A1, al menos durante un año no podría intervenir en la supervisión de las actividades en las que hubiese tenido responsabilidades. Lo cual impediría actuar de esa forma.

Nos quedaría por último analizar el caso en el que al DAI se le nombrase consejero ejecutivo, pero sin formar parte del Comité de Auditoría. En este caso creo que aquí la botella la podríamos ver medio llena, ya que de ese nombramiento pudiéramos interpretar la elevada reputación que en la Organización disfruta el DAI, la confianza en los acertados criterios profesionales del DAI, pero también que, con ello, se habría producido el máximo acercamiento e interacción del DAI con el Consejo, del que ahora forma parte, permitiendo así al DAI el conocimiento en tiempo real de las decisiones estratégicas que se adopten en el ámbito de la sociedad. 

Pero simultáneamente a estas fortalezas entiendo que también se pueden encontrar  debilidades, ya que su presencia en el Consejo podría alterar la comunicación entre el Consejo y el Comité de Auditoría, dado que lo este le quisiera trasladar el Consejo podría ya ser conocido, al habérselo comentado el consejero/DAI, anulando en parte el apoyo del Comité al Consejo.

Por lo que, con independencia de no haber observado motivos de exclusión normativas, entiendo que esta última alternativa sería poco recomendable, puesto que, de acuerdo con lo que comentábamos al inicio de estas líneas, lo adecuado es que la dependencia del DAI debe ser dual, jerárquica de un nivel adecuado de la estructura organizacional, y otra funcional del Consejo/Comité de Auditoría, sin que parezca oportuno buscar y experimentar otras fórmulas.

Con el deseo de que estas reflexiones les puedan ser de utilidad, aprovecho para enviar un cordial saludo.

Jesús Aisa Díez

Madrid, 1 de Marzo de 2015.