Sin evidencias no puede haber conformidad

Como es bien conocido, una de las actividades básicas de las Unidades de Auditoría Interna, es la correspondiente a la supervisión del control interno existente en la empresa, que permita, entre otros objetivos, una garantía razonable de la fiabilidad de la información financiera y operativa, por lo que dentro de los Planes anuales que se someten a aprobación, han de incluirse aquellos trabajos de evaluación de los sistemas diseñados por las organizaciones con los que atender los requerimientos regulatorios, así como también la de aquellos otros procesos relacionados con la gestión empresarial, bien sean estratégicos, operativos y de apoyo o soporte.

Con respecto a la supervisión de los procesos de gestión, el alcance de las auditorías suele focalizarse en la supervisión de los mismos desde una perspectiva de riesgos y controles, de forma que analizados los procesos aplicados podamos concluir: (i) si la operativa empleada es la adecuada para conseguir los objetivos deseados, (ii) si los controles existentes son válidos para mitigar los riesgos detectados, y (iii) si los controles se aplican de forma eficiente. Recogiendo las conclusiones alcanzadas en los respectivos informes de los trabajos realizados, en los que se describen las debilidades observadas, las recomendaciones estimadas pertinentes para resolverlas, así como los planes de acción comprometidos por los responsables de los procesos auditados.

En base a esta forma de actuar podríamos señalar que auditoría, una vez analizado los procesos, justifica y describe las partes mejorables de los mismos, referenciando las evidencias que les hayan permitido concluir sobre las debilidades observadas, de manera que quede de manifiesto el por qué de las recomendaciones aportadas.

Esta forma de actuar, dicho en términos legales, y sin pretender con ello recuperar las viejas prácticas de las auditorías policiacas, que no es mi objetivo ni mi deseo,  podríamos señalar que a los auditores nos corresponde la “carga de la prueba” de lo que no se hace bien, admitiendo que el resto está bien gestionado, es decir se aplica la teoría de la “presunción de inocencia”, entendiendo que todo está bien gestionado, salvo que se demuestre lo contrario, en base a las evidencias aportadas.

Sin embargo esta forma de proceder, cuando actuamos en el ámbito de trabajos de evaluación de los sistemas diseñados con los que atender los requerimientos regulatorios, no debe ser la misma, ya que, con alguna variante, todos ellos, como por ejemplo se recoge en el correspondiente al Sistema de Control Interno de la Información Financiera de la CNMV Española (SCIIF), se debe centran en:

Velar por su eficacia, obteniendo evidencias suficientes de su correcto diseño y funcionamiento, lo que exige evaluar el proceso de identificación de los riesgos que puedan afectar a la imagen fiel de la información financiera, verificando que existen controles para mitigarlos y comprobar que funcionan eficazmente.

Como vemos, aquí ya no hay “presunción de inocencia”, sino todo lo contrario, lo que debe guíar nuestro trabajo ha de ser la “presunción de incumplimiento”, por lo que deberemos comprobar dónde la organización actúa de forma correcta. Por ello, para lograr una supervisión eficaz y eficiente, se deberá cubrir determinados aspectos. Como por ejemplo los que señala en el propio documento regulatorio de la CNMV, los correspondientes a:

1. Documentación del SCIIF y del proceso de evaluación.
2. Evaluación del diseño del SCIIF.
3. Evaluación del proceso de identificación de riesgos.
4. Identificación de los controles que mitigan los riesgos sobre la información financiera.
5. Evaluación del funcionamiento eficaz del SCIIF.
6. Nivel de evidencia. Señalando al respecto que: El nivel de evidencia requerido para concluir acerca del adecuado funcionamiento de un control será directamente proporcional a dos factores: (i) el riesgo inherente de los controles del SCIIF; y (ii) el riesgo de error material en la información financiera.

En el mismo sentido, pero desde la perspectiva del Banco de España, su Comisión Ejecutiva, con fecha 27 de Junio del 2012, hizo suya la Guidelines of Internal Governance (GL 44) de la Autoridad Bancaria Europea (EBA), cuyo objetivo es la implantación por las entidades financieras de las mejores prácticas de gobierno interno. La cual considera, en su apartado 29.1, que: la función de auditoría interna evaluará si la calidad del marco de control interno de una entidad es eficaz y eficiente.

En tanto que en su apartado 29.4. señala que: la función de auditoría interna verificará, en particular, la integridad de los procesos que garantizan la fiabilidad de los métodos y técnicas de la entidad, los supuestos y las fuentes de información utilizadas en sus modelos internos (p. ej., la modelización de riesgos y la valoración contable). Deberá evaluar asimismo la calidad y la utilización de herramientas cualitativas de identificación y evaluación de riesgos. No obstante, con el fin de reforzar su independencia, la función de auditoría interna no deberá intervenir directamente en el diseño ni en la selección de modelos u otras herramientas de gestión de riesgos.

La estructura de la Guía está compuesta de seis secciones que en conjunto recogen disposiciones sobre treinta aspectos distintos, que serán los que deberán ser objeto de evaluación por parte de Auditoría Interna, pero, para ello, se deberá verificar la existencia de las evidencias que permitan concluir sobre la  situación real observada, la cual podría verse recogida en forma resumida en un cuadro recopilatorio de los treinta aspectos a evaluar, como el que recoge, por su extensión, pero también por su indudable interés, no solo para las entidades financieras afectadas, sino también para el resto de las empresas con independencia de su actividad, en el anexo que se acompaña (pinchar aquí para descargar anexo) al considerarlo una buena práctica que debería tenerse en consideración y aplicarse.

Como se habrá podido observar si se ha analizado el anexo, por las cuestiones que se recogen en la Guía GL 44, no parece oportuno que nos limitemos a identificar solo los aspectos mejorables, aunque se aporten las recomendaciones pertinentes, pues entendemos que en estos casos no sería suficiente, puesto que, para que el trabajo de Auditoría Interna tenga auténtico valor, deberían explicitarse las evidencias que han permitido calificar como satisfactorios los apartados que así lo hayan sido. En caso contrario estaremos sometiendo a las partes interesadas que reciban nuestro informe a un acto de fe, que estimamos que no es lo adecuado.

La forma de actuar que hemos señalado para estos casos relacionados con exigencias regulatorias, en lo único que afectaría al trabajo de auditoría, es en la presentación de los resultados de la supervisión realizada, reflejando en los informes también lo que se haya estimado adecuado, aportando y referenciado las evidencias correspondientes, lo que facilitará el análisis e interpretación de los distintos supervisores, tanto internos, entre ellos el Comité de Auditoría, como externos, los reguladores. Para ello un formato como el que aparece en el anexo entendemos que podría ser adecuado.

Jesús Aisa Díez

El incumplimiento normativo como riesgo

Hoy en día, como ya hemos comentado recientemente en un anterior blog, si nos interesamos en conocer cuáles son los aspectos que mayor interés despiertan en las organizaciones, creo que uno de ellos sería el correspondiente a la denominada, en términos anglosajones, actividad de compliance, o cumplimiento normativo en términos hispanos. Preocupación que inicialmente surgió como consecuencia de la sofisticación cada vez mayor de los participantes en los mercados financieros, lo que llevó a los reguladores a la necesidad de fortalecer los marcos normativos, en aras a reforzar la integridad de dichos mercados.

Y ello, porque el cumplimiento normativo es la función específica que permite a las empresas, a través de procedimientos adecuados,  como el establecimiento de políticas de actuación en determinadas materias, detectar y gestionar los riesgos de incumplimiento de las obligaciones regulatorias internas y externas, mitigando los riesgos de sanciones y las pérdidas que deriven de tales incumplimientos.

Por tanto, el «riesgo de incumplimiento» puede definirse como el riesgo de sanciones legales, normativas, pérdida financiera material o de reputación que una entidad puede sufrir como resultado de incumplir las leyes, regulaciones, normas, estándares de autorregulación y códigos de conducta aplicables a sus actividades.

Asumiendo por tanto que la actividad de cumplimiento normativo es un tema de máxima actualidad en la forma de articular y desarrollar el control interno en las organizaciones, debemos señalar que su desarrollo no es nuevo, ya que de forma explícita está recogido desde 1992, es decir hace ya cerca de 25 años, cuando se publicó el informe “Internal Control - Integrated Framework” denominado COSO I. El cual, como es de general conocimiento incluía como objetivos del control Interno, los tres siguientes:

• Eficacia y eficiencia de las operaciones.
• Confiabilidad de la información financiera.
• Cumplimiento de las leyes, reglamentos y normas que sean aplicables.

Pero es en el sector financiero dónde, como consecuencia de las normativas regulatorias cada vez más complejas y  exigentes, donde se estimo especialmente importante que las organizaciones debían  gestionar y controlar  el cumplimiento de las normas externas (legislación general y regulación sectorial) e internas (políticas corporativas, reglamentaciones relacionadas con la ética y la conducta), a fin de  evitar la imposición de sanciones económicas y, lo que es más importante, salvaguardar  la reputación de las compañías ante las malas conductas empresariales o por los propios incumplimientos de las normas. Circunstancias por las que, en abril de 2005, el Comité de Supervisión Bancaria de Basilea dio a conocer un documento de recomendaciones sobre «Cumplimiento y la función de cumplimiento en los bancos», en el que, partiendo  de principios de muy alto nivel,  se establecían las pautas para la gestión del riesgo de cumplimiento normativo y las correspondientes a la implantación de una función de cumplimiento en el sector bancario.

Posteriormente la oportunidad de disponer de una función de cumplimiento normativo no se ha limitado al sector financiero, sino que se ha ido extendiendo a los diferentes entornos empresariales, al concluir  en la conveniencia y procedencia  de disponer de la misma, al ser considerada  una forma  eficaz de incidir positivamente en el control  interno de las empresas.

Extensión en su implementación  que podríamos señalar ha tenido su reconocimiento con la reciente publicación de la Norma ISO 19600-2014, siendo su objetivo, el de: Proporcionar orientación para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz y que genere respuesta por parte de la organización.

Aclarándonos que las directrices sobre el sistema de gestión de compliance son aplicables a todo tipo de organizaciones, y que el alcance de la aplicación de estas directrices depende del tamaño, estructura y complejidad de la organización. 

Dentro de su contenido se encuentran diversos  aspectos que consideramos muy interesantes para resolver uno de los problemas de su implantación, como es si la función de compliance debe ser autónoma del resto de la organización, o puede convivir con otras actividades organizativas, como es el caso de auditoría interna. Aspectos que son tratados  en diversos apartados de la Norma. Los cuales nos señalan que:

No en todas las organizaciones la función de compliance será independiente, en algunas se podrá asignar a una posición existente. Siendo en cualquier caso responsable de, entre otras, de las siguientes acciones:

1. Identificar las obligaciones de la organización respecto de cumplimiento normativo, traduciendo las mismas en políticas, procedimientos y procesos. Integrando dichaas obligaciones en las políticas, procedimientos y procesos ya existentes. 
2. Desarrollar  e implementar procesos para gestionar la información que puedan relacionarse con los riesgos de incumplimiento, tales como reclamaciones y/o comentarios recibidos. 
3. Establecer indicadores de desempeño del cumplimiento normativo y supervisar y medir los mismos. 
4. Analizar el desempeño para identificar la oportunidad de acciones correctoras 
5. Identificar los riesgos de incumplimiento y gestionar aquellos relacionados con terceras partes (proveedores, agentes, distribuidores, consultoría, contratistas,…) 
6. Asegurar que el sistema de gestión del compliance se revisa a intervalos planificados a través de auditorías internas que incidan en aspectos tales como:

• Si el sistema de gestión de cumplimiento responde con los requisitos de la organización definidos para el mismo, así como con los de la Norma 19.600.
• Que se implementa y se mantiene eficazmente.

Haciendo énfasis en la salvaguarda de la objetividad y la imparcialidad del proceso auditor aplicado.

Ante este entorno normativo, creemos que la duda que se nos planteaba sobre si el Área de Cumplimiento Normativo puede integrar a la Unidad de Auditoría Interna, seguimos manteniendo que no es lo apropiado, ya que de ser así, estaríamos auditando a nuestro jefe jerárquico, lo cual no estaría alineado con la requerida la salvaguarda de la objetividad y la imparcialidad del proceso auditor citado.

Pero la alternativa contraria, la que sea el Área de Auditoría Interna quien coordine la de Cumplimiento Normativo, creemos que dadas las responsabilidades que la Norma ISO 19.600 requiere a la  función de compliance, entendemos que tampoco sería apropiado, dadas las actuaciones gerenciales que conlleva su actuación, como hemos visto, por ejemplo, en los puntos 2 y 5 citados anteriormente; quedando ya solo la alternativa de incluirla en el organigrama de forma independiente, o adscribirla a otros responsables de la segunda línea de defensa, como podría ser el de Control de Riesgos.

Por ello, siendo totalmente partidario de la implantación de una función de cumplimiento normativo en todas las organizaciones, un aspecto que debe analizarse con detenimiento es la de su ubicación, ya que de la misma podríamos estar afectando a su eficacia. Pudiendo señalar que, si finalmente se decidiese asignar esta responsabilidad a la Unidad de Auditoría Interna, se hace imprescindible el que se deberían excluir de su responsabilidad todas aquellas que tuvieran relación con decisiones gerenciales que hemos citado, así como habilitar la forma de realizar las pertinentes auditorías del sistema garantizando su objetividad, ya que nos encontraríamos en la tesitura  ser juez y parte, lo que es inapropiado, por lo que entendemos que lo más apropiado es que la supervisión del sistema de gestión de compliance deberíamos encargarla a un especialista ajeno a nuestra Unidad de Auditoría interna. 

Esperando que estos comentarios puedan ser de utilidad, aprovecho, dadas las fechas en las que nos encontramos, para desear unas felices fiestas, y un próspero 2016.