Atendiendo
a la definición de la actividad de Auditoría Interna que recoge el Marco
Internacional para la práctica Profesional de la Auditoría interna, emitido por
The Institute of Internal Auditors, sabemos que la finalidad de
nuestro trabajo es la de ayudar a las organizaciones a cumplir sus objetivos
aportando un enfoque sistemático y disciplinado para evaluar y mejorar los
siguientes tres procesos: El de gestión de riesgos, los de
control y los relativos al gobierno corporativo.
Resulta
evidente que estos tres procesos son básicos para poder asegurar si las
estrategias de las compañías se están atendiendo y, además, si estas se
consiguen respetando los derechos e
intereses de las partes interesadas, para lo que resultará preciso asegurar:
(i) la fiabilidad de integridad de la información financiera y operativa, (ii)
Eficiencia y eficacia de las operaciones y programas, (iii) la integridad
patrimonial y (iv) El cumplimiento de las leyes, regulaciones, políticas,
procedimientos y contratos.
En
lo que se refiere a la fiabilidad de la integridad financiera, las buenas
prácticas, así como las regulaciones
aplicables a las sociedades mercantiles, obligan a que esta sea verificada por
auditores externos independientes, los cuales deben dar fe de si los Estados
Financieros reflejan la imagen fiel de la compañía o, en caso contrario,
señalar las salvedades que se tengan al respecto, a fin de que sean tenidas en
consideración a los efectos que correspondan. Para ello, y partiendo de la Ley Sarbanes-Oxley, en este proceso de verificación
de la bondad de la información financiera, se entendió imprescindible que las
compañías no solo debían asegurar que las prácticas contables aplicadas eran
compatibles con los criterios de contabilidad generalmente aceptados, sino que, complementariamente, deberían
realizar una supervisión de sus Sistemas de Control Interno sobre dicha
información financiera, con la que
reforzar las garantías sobre su fiabilidad, así como opinar sobre la eficacia
del sistema de supervisión y verificación empleado. Aspecto que, como garantía
adicional, se entendió conveniente que fuese realizado por las Unidades de
Auditoría Interna, en cuyo objetivo se están dedicando importantes esfuerzos.
En este sentido, la Comisión Nacional del
Mercado de Valores español, entendió conveniente publicar en el 2010 el
documento denominado Control Interno sobre la
información financiera en las sociedades cotizadas (SCIIF), según el cual el Sistema de Control
Interno sobre la Información Financiera, lo constituyen el conjunto de procesos
que el Consejo de Administración, el Comité de Auditoría, la alta dirección y
el personal involucrado de la entidad llevan a cabo para proporcionar seguridad
razonable respecto a la fiabilidad de la información financiera que se publica
y se difunde a los mercados. Describiendo asimismo las responsabilidades
adscritas a cada uno de los intervinientes en dicho proceso. Como veremos a
continuación:
El
Consejo de Administración/Directorío es el responsable de la existencia
de un SCIIF adecuado y eficaz. La alta dirección, generalmente a través de la
función económico-financiera de la organización, debe ser la responsable de su
diseño, implantación y adecuado funcionamiento, mientras que el Comité de
Auditoría es el órgano encargado de supervisar el funcionamiento y eficacia del
SCIIF, recomendándose que para que pueda realizar esta labor disponga de una
función de auditoría interna que, en cumplimiento de su plan anual de
actuación, le ayude a evaluar la eficacia de dicho Sistema de Control,
informándole periódicamente de las debilidades detectadas durante la ejecución
de su trabajo y del calendario asignado en la implementación de las medidas
propuestas para su corrección. Es decir, el habitual apoyo de la función de
auditoría interna a los Comités de Auditoría, aunque en esta ocasión
específicamente referida a la información financiera.
Para
poder opinar sobre la eficacia del Sistema de Control empleado por las
organizaciones, la CNMV recomienda que se supervisen los elementos del sistema
de control interno –entorno de control, evaluación de riesgos, actividades de
control, información y comunicación y supervisión– vigilando que estén
debidamente coordinados y que todos ellos operan de forma conjunta para
prevenir, detectar, compensar, mitigar o corregir errores, con impacto
material, o fraudes en la información financiera. Para ello aporta la serie de indicadores que
deberían ser analizados por Auditoría interna a fin de poder emitir un
diagnóstico veraz sobre la bondad del Sistema de Control empleado, los cuales
seguidamente reproducimos por considerarlos de gran utilidad.
Indicadores básicos
Entorno de control de la entidad
El
objetivo perseguido es facilitar al mercado información de los mecanismos
específicos que la entidad ha habilitado para mantener un ambiente de control
interno que propicie la generación de información financiera completa, fiable y
oportuna, (incluyendo aquella que sirva de punto de partida para su
elaboración), y que prevea la posible existencia de irregularidades y las vías
para detectarlas y remediarlas. Por ello se debe conocer:
1.
Qué órganos y/o funciones de las organizaciones son los responsables de: (i) la
existencia y mantenimiento de un adecuado y efectivo SCIIF; (ii) su
implantación; y (iii) su supervisión.
2.
Qué departamentos y/o mecanismos están encargados: (i) del diseño y revisión de
la estructura organizativa; (ii) de definir claramente las líneas de
responsabilidad y autoridad, con una adecuada distribución de tareas y
funciones; y (iii) de que existan procedimientos suficientes para su correcta
difusión en la entidad, en especial, en lo relativo al proceso de elaboración
de la información financiera.
3.
Si existen, especialmente en lo relativo al proceso de elaboración de la
información financiera, los siguientes elementos:
- Código de conducta, órgano de aprobación, grado de difusión e instrucción, principios y valores incluidos (indicando si hay menciones específicas al registro de operaciones y elaboración de información financiera), órgano encargado de analizar incumplimientos y de proponer acciones correctoras y sanciones.
- Canal de denuncias, que permita la comunicación al comité de auditoría de irregularidades de naturaleza financiera y contable, en adición a eventuales incumplimientos del código de conducta y actividades irregulares en la organización, informando en su caso si éste es de naturaleza confidencial.
- Programas de formación y actualización periódica para el personal involucrado en la preparación y revisión de la información financiera, así como en la evaluación del SCIIF, que cubran al menos, normas contables, auditoría, control interno y gestión de riesgos.
Evaluación de riesgos de la
información financiera
La
finalidad de estos indicadores es dar a conocer al mercado el grado de
desarrollo y sistematización del proceso por el cual la entidad identifica las
fuentes y riesgos de error o irregularidades en la información financiera. La
fiabilidad de la información financiera depende de la correcta aplicación de
las normas vigentes a las transacciones rutinarias o típicas, así como a las
operaciones menos frecuentes que requieran utilizar normas complejas, cuyo
efecto en los estados financieros puede resultar material.
4.
Cuáles son las principales características del proceso de identificación de
riesgos, incluyendo los de error o fraude, en cuanto a:
- Si el proceso existe y está documentado.
- Si el proceso cubre la totalidad de objetivos de la información financiera, (existencia y ocurrencia; integridad; valoración; presentación, desglose y comparabilidad; y derechos y obligaciones), si se actualiza y con qué frecuencia.
- La existencia de un proceso de identificación del perímetro de consolidación, teniendo en cuenta, entre otros aspectos, la posible existencia de estructuras societarias complejas, entidades instrumentales o de propósito especial.
- Si el proceso tiene en cuenta los efectos de otras tipologías de riesgos (operativos,tecnológicos, financieros, legales, reputacionales, medioambientales etc.) en la medida que afecten a los estados financieros.
- Qué órgano de gobierno de la entidad supervisa el proceso.
Actividades de control
El
mercado debería obtener un conocimiento fundado de la extensión de las
actividades de control específicas que la entidad tiene implementadas para
mitigar los riesgos de error o irregularidades en la información financiera.
Por ello se considera oportuno supervisar los siguientes aspectos.
5.
Documentación descriptiva de los flujos de actividades y controles (incluyendo
los relativos a riesgo de fraude) de los distintos tipos de transacciones que
puedan afectar de modo material a los estados financieros, incluyendo el
procedimiento de cierre contable y la revisión específica de los juicios,
estimaciones, valoraciones y proyecciones relevantes.
6.
Políticas y procedimientos de control interno sobre los sistemas de información
(entre otras, sobre seguridad de acceso, control de cambios, operación de los
mismos, continuidad operativa y segregación de funciones) que soporten los
procesos relevantes de la entidad en relación a la elaboración y publicación de
la información financiera.
7.
Políticas y procedimientos de control interno destinados a supervisar la
gestión de las actividades subcontratadas a terceros, así como de aquellos
aspectos de evaluación, cálculo o valoración encomendados a expertos
independientes, que puedan afectar de modo material a los estados financieros.
8.
Procedimientos de revisión y autorización de la información financiera y la
descripción del SCIIF, a publicar en los mercados de valores, indicando sus
responsables.
Información y comunicación
La
información a desglosar debería permitir al mercado conocer si la entidad
dispone de procedimientos y mecanismos para transmitir, al personal involucrado
en el proceso de elaboración de la información financiera, los criterios de
actuación aplicables, así como los sistemas de información empleados en tales
procesos. De este modo, resultará significativo constatar si existe:
9.
Una función específica encargada de definir y mantener actualizadas las
políticas contables (área o departamento de políticas contables), así como
resolver dudas o conflictos derivados de su interpretación, manteniendo una
comunicación fluida con los responsables de las operaciones en la organización.
10.
Un manual de políticas contables actualizado y comunicado a las unidades a
través de las que opera la entidad.
11.
Mecanismos de captura y preparación de la información financiera con formatos
homogéneos, de aplicación y utilización por todas las unidades de la entidad o
del grupo, que soporten los estados financieros principales y las notas, así
como la información que se detalle sobre el SCIIF.
Supervisión del funcionamiento del
sistema
Cualquier
sistema de control interno podría resultar insuficiente si su funcionamiento no
se evalúa y supervisa periódicamente. Por ello, resulta necesario desglosar la
información que permita entender cómo se supervisa el sistema de control. Lo
cual se estima puede conseguirse disponiendo de los siguientes datos:
12.
Si cuenta con una función de auditoría interna que tenga entre sus competencias
la de apoyo al comité de auditoría en su labor de supervisión del sistema de
control interno, incluyendo el SCIIF.
13.
Si cuenta con un procedimiento de discusión mediante el cual, el auditor de
cuentas, la función de auditoría interna y otros expertos, pueden comunicar a
la alta dirección y al comité de auditoría o administradores de la entidad las
debilidades significativas de control interno identificadas durante los
procesos de revisión de las cuentas anuales o aquellos otros que les hayan sido
encomendados. Asimismo informará de si dispone de un plan de acción que trate
de corregir o mitigar las debilidades observadas.
14.
Una descripción del alcance de la evaluación del SCIIF realizada en el
ejercicio y del procedimiento por el cual el encargado de ejecutarla comunica
sus resultados, si la entidad cuenta con un plan de acción que detalle las
eventuales medidas correctoras, y si se ha considerado su impacto en la
información financiera.
15.
Una descripción de las actividades de supervisión del SCIIF realizadas por el
comité de auditoría.
16.
Si la información del SCIIF remitida a los mercados ha sido sometida a revisión
por el auditor externo, en cuyo caso la entidad debería incluir el informe
correspondiente. En caso contrario, debería informar de sus motivos.
Este
checklist entendemos que permitirá concluir
sobre las debilidades del sistema de control empleado, y sugerir las medidas
con las que eliminarlas, mejorando su eficacia. Aspecto que entiendo, como
mejor práctica, que podría ser ensayado por los responsables de la función
auditora que se encuentren interesados, o tengan la obligación, de supervisar
este proceso.
Espero
que compartan su empleabilidad y utilidad.
Jesús Aisa Díez
22 de julio de 2013
No hay comentarios:
Publicar un comentario