miércoles, 24 de junio de 2015

Cómo auditar el gobierno corporativo

De acuerdo con la definición de la actividad de Auditoría Interna recogida en el “libro de cabecera” de los auditores internos, es decir El Marco Internacional para la Práctica Profesional de Auditoría Interna (MIPPAI), nuestra actividad debe estar enfocada a evaluar y mejorar los procesos de gestión de riesgos, controles y gobierno.

Actuación tridimensional que no siempre se observa en la composición de los Planes Anuales de actuación, ya que no es muy habitual el que se incida en el proceso de gobierno corporativo, y ello, según mi opinión, por varias razones, de las que destacaría las que entiendo son las más significativas.

La primera de ellas la situaría en la reserva, dudas o temores que pudiésemos tener para supervisar los temas vinculados con el ámbito de actuación de los Consejos de Administración, al malentender que estos se sitúan al margen de nuestra capacidad de supervisión. En este sentido recuerdo la anécdota que nos sucedió hace años al realizar la evaluación de calidad de la Unidad de Auditoría Interna de una gran organización empresarial española, cuando el DAI (Director Auditoría Interna)  nos comentó que su Presidente le había solicitado que sus actuaciones también fuesen entes auditables; ante cuya situación el Director de Auditoría nos comentó que en el futuro sería recordado como “El breve”, ya que dudaba de su continuidad al entrar en estos terrenos tan comprometidos. 

Aparte de la acertada solicitud del Presidente, creemos que la conclusión del DAI reflejaba su recelo a entrar en esos entornos de actuación, pero también que dejaba entrever que si lo hacía iba a encontrar temas muy significativos que podrían herir determinadas sensibilidades, por lo que entendía conveniente mirar para otro lado.

La segunda razón que entendemos existe para obviar estos temas dentro de los Planes de Auditoría la situaríamos en el desconocimiento de lo que debemos supervisar, es decir el alcance de nuestras supervisiones. Aquí también puedo compartir la pregunta que me hizo el DAI de otra multinacional española cuando le sugeríamos que, de acuerdo con lo establecido por el MIPPAI, en el alcance de la función auditora se diera entrada al proceso de gobierno corporativo, a lo que me pregunto: ¿Pero exactamente a qué tipo de actuaciones te estás refiriendo?.

Bien, aquí ya no había recelos en actuar en el sentido que recogen las Normas, sino que lo que se reflejaba en la pregunta era el desconocimiento de lo que tenían que realizar para actuar según establecían las mismas.

Siendo este el objetivo a cubrir por estos comentarios, señalando que, en primer lugar, deberían ser objeto de supervisión las normas de obligado cumplimiento incorporadas en las distintas legislaciones aplicables que les afecten, como sucede en el caso español con la Ley de Sociedades de Capital aprobada en diciembre pasado, como también por lo recogido en el texto actualizado del Código de Buen Gobierno de la Sociedades Cotizadas españolas, emitido por la Comisión Nacional del Mercado de Valores en febrero pasado, que si bien no tiene carácter imperativo, sus indicaciones son: recomendaciones que deben ser atendidas o explicada su no atención, y que, al considerar que son unas buenas prácticas, podría ser empleadas en cualesquiera otros ambientes, permitiendo identificar diversos aspectos a auditar relacionados con el gobierno corporativo.

En primer lugar entendemos que dado que las sociedades cotizadas españolas están obligadas a consignar en un informe anual de gobierno corporativo el grado de seguimiento de las recomendaciones y, en su caso, la explicación de la falta de seguimiento de dichas recomendaciones, que  sí debería ser objeto de auditoría la suficiencia y rigor de las explicaciones aportadas para justificar la no atención de algunas de estas recomendaciones, de forma que los accionistas, los inversores y los mercados en general puedan juzgarlas adecuadamente.

Pero también entendemos que debe ser objeto de auditoría el grado de cumplimiento de los principios que guían los Códigos de buen gobierno que resulten de aplicación, como por ejemplo, en el ámbito societario español, los 25 siguientes:

  1. Como regla general, deberían evitarse las medidas estatutarias cuya finalidad esencial sea dificultar las posibles ofertas públicas de adquisición. 
  2. Cuando coticen varias sociedades pertenecientes a un mismo grupo deben establecerse las medidas adecuadas para proteger los legítimos intereses de todas las partes involucradas y solventar los eventuales conflictos de intereses. 
  3. Las sociedades deben informar con claridad en la junta general sobre el grado de cumplimiento de las recomendaciones del Código de buen gobierno. 
  4. Las sociedades cotizadas deben contar con una política pública de comunicación y contactos con accionistas, inversores institucionales y asesores de voto. 
  5. Los administradores deben realizar un uso limitado de la facultad delegada de emitir acciones o valores convertibles con exclusión del derecho de suscripción preferente y facilitar adecuada información a los accionistas sobre dicha utilización. 
  6. La junta general de accionistas debe funcionar bajo principios de transparencia y con información adecuada. 
  7.  La sociedad debe facilitar el ejercicio de los derechos de asistencia y participación en la junta general de accionistas en igualdad de condiciones. 
  8. La política sobre primas de asistencia a la junta general de accionistas debe ser transparente. 
  9.  El consejo de administración asumirá, colectiva y unitariamente, la responsabilidad directa sobre la administración social y la supervisión de la dirección de la sociedad, con el propósito común de promover el interés social. 
  10. El consejo de administración tendrá la dimensión precisa para favorecer su eficaz funcionamiento, la participación de todos los consejeros y la agilidad en la toma de decisiones, y la política de selección de consejeros promoverá la diversidad de conocimientos, experiencias y género en su composición. 
  11.  El consejo de administración tendrá una composición equilibrada, con una amplia mayoría de consejeros no ejecutivos y una adecuada proporción entre consejeros dominicales e independientes, representando estos últimos, con carácter general, al menos la mitad de los consejeros. 
  12.  Las causas de separación y dimisión de los consejeros no condicionarán su libertad de criterio, protegerán la reputación y crédito de la sociedad, tendrán en cuenta el cambio de circunstancias sobrevenidas y garantizarán la estabilidad en el cargo de los consejeros independientes que mantengan dicha condición y no incumplan sus deberes. 
  13. Los consejeros dedicarán el tiempo suficiente para el eficaz desarrollo de sus funciones y para conocer el negocio de la sociedad y las reglas de gobierno que la rigen, participando en los programas de orientación y actualización que organice la sociedad. 
  14. El consejo de administración se reunirá con la frecuencia necesaria para el correcto desarrollo de sus funciones de administración y supervisión y con la presencia de todos o una amplia mayoría de sus miembros. 
  15.  Los consejeros contarán con información suficiente y adecuada para el ejercicio de sus funciones y tendrán derecho a obtener de la sociedad el asesoramiento preciso. 
  16. El presidente es el máximo responsable del eficaz funcionamiento del consejo de administración y, en caso de ser también ejecutivo de la sociedad, se ampliarán las competencias del consejero independiente coordinador. 
  17.  El secretario del consejo de administración facilitará el buen funcionamiento del consejo de administración. 
  18. El consejo evaluará periódicamente su desempeño y el de sus miembros y comisiones, contando con el auxilio de un consultor externo independiente al menos cada tres años. 
  19. La comisión ejecutiva, en caso de existir, tendrá una composición por categorías similar a la del propio consejo de administración, al que mantendrá puntualmente informado de las decisiones que adopte. 
  20. La comisión de auditoría, además de cumplir los requisitos legales, estará compuesta por una mayoría de consejeros independientes y sus miembros, en particular el presidente, se designarán teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o gestión de riesgos, y sus normas de funcionamiento reforzarán su especialización, independencia y ámbito de actuación. 
  21. La sociedad dispondrá de una función de control y gestión de riesgos ejercida por una unidad o departamento interno, bajo la supervisión directa de la comisión de auditoría o, en su caso, de otra comisión especializada del consejo de administración. 
  22.  La comisión de nombramientos y retribuciones, que en las sociedades de elevada capitalización serán dos comisiones separadas, además de cumplir los requisitos legales, estará compuesta por una mayoría de consejeros independientes y sus miembros se designarán teniendo en cuenta los conocimientos, aptitudes y experiencia necesarios, y sus normas de funcionamiento reforzarán su especialización, independencia y ámbito de actuación. 
  23. La composición y organización de las comisiones que, en el ejercicio de sus facultades de auto-organización, constituyan las sociedades deben ser similares en su configuración a las de las comisiones legalmente obligatorias. 
  24.  La sociedad promoverá una política adecuada de responsabilidad social corporativa, como facultad indelegable del consejo de administración, ofreciendo de forma transparente información suficiente sobre su desarrollo, aplicación y resultados. 
  25. La remuneración del consejo de administración será la adecuada para atraer y retener a los consejeros del perfil deseado y retribuir la dedicación, cualificación y responsabilidad que exija el cargo pero sin comprometer la independencia de criterio de los consejeros no ejecutivos, con la intención de promover la consecución del interés social, incorporando los mecanismos precisos para evitar la asunción excesiva de riesgos y la recompensa de resultados desfavorables.

Principios que entendemos delimitan un gobierno corporativo adecuadamente diseñado, cuya comprobación de su desarrollo determinará, como mínimo, el alcance de la actividad de auditoría en la supervisión de este proceso.

Por lo que consideramos resuelta  la duda de: “Bien…., pero qué reviso”.


miércoles, 17 de junio de 2015

El papel de Auditoría Interna como asesor de confianza

Atendiendo a la invitación del Instituto de Auditores Internos de España he asistido al XXIX Foro de Expertos organizado por dicho Instituto, en el que, aparte de la oportunidad de saludar a viejos amigos y colegas de profesión, he tenido la ocasión de escuchar una interesante ponencia relacionada con las implicaciones del nuevo Código de Buen Gobierno emitido por la Comisión Nacional del Mercado de Valores (CNMV) y los auditores internos.  Pero también escuchar las conclusiones de las “mesas de trabajo” respecto del tema: Papel de Auditoría interna como asesor de confianza.

Como denominador común de las distintas conclusiones obtenidas por los  grupos de trabajo participantes, podríamos señalar la correspondiente  a la delgada línea que separa y diferencia las actividades de aseguramiento y las de asesoramiento o consulta, ya que era una de las más reiteradas, basándose estas opiniones en la dificultad que existe para distinguir con claridad una actividad de supervisión de otra de asesoramiento, debido a que ambas pueden coexistir dentro del alcance de todas las actividades auditoras. Aspecto que comparto en gran medida, pero no en lo que se refiere a la forma de diferenciar una actividad de otra. Veamos por qué.

Reconociendo que al desarrollar una actividad de auditoría que podríamos denominar de convencional, es decir las que se ocupan de la faceta de aseguramiento, no solo hemos identificar los incumplimientos normativos que se hayan podido producir, sino también detectar los fallos de control que se hubiesen observado en los procesos auditados, todo ello sin olvidar que dentro de los informes de este tipo de auditorías hemos de incluir las conclusiones evidenciadas, así como también las recomendaciones que se entiendan oportunas para solucionar/mitigar los puntos débiles que se hayan puesto de manifiesto; aspecto este último que también podríamos enmarcar en el ámbito de las asesorías o consultorías.

En este contexto los trabajos de auditoría dentro del ámbito de los aseguramientos, siempre deben contemplar necesariamente la faceta de asesor que se precise para hacer las recomendaciones que se consideren pertinentes para mejorar la eficacia y eficiencia de los procesos evaluados, ya que un trabajo de aseguramiento sin recomendaciones estaría incompleto, tal y como nos señala la Norma 2410, cuando nos indica que: las comunicaciones deben incluir los objetivos …..las conclusiones, las recomendaciones y los planes de acción.

Por el contrario, en la actividad auditora dentro del marco de las consultorías no se incluyen matices de aseguramiento, fundamentalmente porque en los trabajos de asesoría su foco se centra en los aspectos formales del proceso sobre el que se esté opinando, dado que, en muchas ocasiones, estos aún no están siendo operativos, circunstancia que nos permitirá, como se comentó en el debate de las conclusiones, denominar a los asesoramientos como “auditorías preventivas”. Nombre que me parece muy adecuado, pues permite hacer recomendaciones antes de que el proceso esté operando, maximizando la utilidad de nuestra actividad, pues como bien sabemos: Más vale prevenir que curar.

Adicionalmente a lo que acabamos de comentar, en mi opinión también hay otros aspectos que permitirían diferenciar los trabajos de aseguramiento, de los de consultoría, muchos de ellos derivados de la aplicación del Marco Internacional para la Práctica Profesional de Auditoría Interna, como veremos:

Los trabajos de consultoría son siempre solicitados por los gestores, alta dirección o Consejo, los de supervisión no necesariamente, ya que en gran medida se derivan del análisis por Auditoría Interna de los riesgos de la organización. Es decir, las consultorías nunca serían desarrolladas a iniciativa de la Unidad de Auditoría Interna.

En los trabajos de consultoría los solicitantes de los mismos deben fijar los objetivos del trabajo, alcance, responsabilidades respectivas y sus propias expectativas. (Norma 2201 C1); en los de aseguramiento estos aspectos les vienen decididos por la Unidad de Auditoría Interna.

Un trabajo de consultoría finaliza con el envío del informe elaborado con las conclusiones y las recomendaciones, sin ser requerido el plan de acción a asumir por los responsables del proceso analizado, ya que los grados de libertad para atender las recomendaciones es total.

El seguimiento del progreso recogido en la Norma 2500, según la cual el director de auditoría debe establecer y mantener un sistema para vigilar la disposición de los resultados comunicados, no es de aplicación generalizada, pues en las consultorías solo es efectivo este requerimiento hasta el grado de acuerdo acordado con el cliente. No siendo negociable con los trabajos de aseguramiento.

Los resultados de las auditorías de aseguramiento se deben comunicar al propietario del proceso auditado, sus jefes jerárquicos y al Comité de Auditoría, los de consultoría, salvo en casos de cuestiones significativas, no contemplan la difusión de los resultados a los jefes jerárquicos del responsable del proceso, ni al Comité de Auditoría.

En los trabajos de consultoría los solicitantes de los mismos deben fijar los objetivos del trabajo, alcance, responsabilidades respectivas y sus propias expectativas. (Norma 2201 C1); en los de aseguramiento estos aspectos les vienen decididos por la Unidad de Auditoría Interna.

Por todo esto que acabamos de comentar, y fundamentalmente por las diferencias de actuación en ambos casos (trabajos de aseguramiento y trabajos de consultoría), entendemos que deberíamos tener claro en que ámbitos vamos a actuar, pero también por dos temas complementarios a lo que acabamos de exponer:

En primer lugar porque el número de consultarías que nos sean solicitadas es uno de los mejores indicadores que podremos manejar para evaluar la percepción de la Organización respecto del valor añadido que aportamos, dada la relación directa existente entre ambos.

Pero también por el posible conflicto de intereses que se puede producir al realizar un trabajo de aseguramiento por alguien que haya intervenido en el proceso auditado, así como por la supervisión de un proceso previamente asesorado.

En resumen, la realización de consultorías es una actividad deseable  ya que evidencian la confianza de las partes interesadas en nuestra labor, pero, dado el diferente tratamiento que debemos dar a estas, comparándolo con el de los trabajos de aseguramiento, debemos tener claro si estamos incidiendo en uno u otro escenario. Y que por lo que hemos comentado, entendemos existen variados aspectos que nos permitirán concluir en el que nos estemos moviendo, actuando en consecuencia.