Hace unos pocos meses tuve la oportunidad
de acudir a la presentación, en la sede del Instituto de Auditores Internos de
España, del documento: Visión 2020. Desafíos de Auditoría
Interna en el horizonte 2020, en el que se hacía una descripción de las
expectativas de la función auditora interna en los próximos años, basándose
para ello en la opinión de diversos especialistas consultados.
Entre la información empleada figuraba la
correspondiente a las preocupaciones de las Comisiones de Auditoría, las cuales
se ordenaban de la siguiente manera:
1ª) Riesgo Operativo (21%)
2ª) Riesgo Estratégico (18%).
3ª) Cumplimiento (14%).
4º) Aseguramiento en la administración de
riesgos (10%).
Por lo que se concluía en la necesidad de
apoyar el desarrollo de la función de cumplimiento en aquellas organizaciones
que aún no dispusiesen de ella, resaltando que aquellas organizaciones que
actualmente cuentan con un sistema de control interno maduro han creado la
dirección de cumplimiento, posibilitando así la implementación de “un
modelo integrado de gobierno, control interno, gestión del riesgo y
cumplimiento –conocido por sus siglas GRC–, que se desarrolla para cubrir la
necesidad de ofrecer una respuesta coherente y consistente ante su complejidad
y la creciente exigencia del entorno”.
Debiendo señalar que por “cumplimiento”,
de acuerdo con la definición que en su momento aplicó Basilea, debe entenderse
aquella función que identifica, asesora, alerta y reporta los riesgos de
cumplimiento en las organizaciones, es decir, el riesgo de recibir sanciones
por incumplimientos legales o regulatorios, sufrir pérdidas financieras o
pérdidas de reputación por fallas de cumplimiento con las leyes aplicables, las
regulaciones, los códigos de conducta y los estándares de buenas prácticas.
Aspectos todos ellos que deben ser objeto
de supervisión por parte de Auditoría Interna, atendiendo a lo señalado por las
Normas 2120 A1 y 2130 A1. Al referirse
al “cumplimiento de leyes, regulaciones políticas, procedimientos y contratos”.
Ante esta evolución del gobierno
corporativo de las organizaciones, podemos decir que es habitual el que las
empresas estén implementando la función de cumplimiento, encontrándonos con
alguna duda respecto de cuál debe ser su estructura, y básicamente si debe ser
independiente de la de Auditoría interna o vinculada con ella.
En nuestra opinión, la creación de la
Unidad de Cumplimiento es algo muy positivo para las organizaciones, la cual
debe desarrollarse de forma independiente, como segunda línea de defensa, de la
de Auditoría Interna, dependiendo de su correspondiente gestor y responsable,
el Director de Cumplimiento (CCO por sus siglas en inglés).
Sin embargo, y como también sucede en la
Gestión de Riesgos, resulta algo frecuente añadir esta función de Cumplimiento
a la de Auditoría Interna. Surgiendo entonces una duda, ¿quién absorbe a
quién?: la de Auditoría a la de Complimiento, o la de Cumplimiento a la de
Auditoría. O dicho de otra manera, el DAI será el jefe del CCO, o CCO del DAI,
pudiendo señalar que ambas situaciones las hemos visto aplicadas de forma
práctica.
Si tuviésemos que decidir sobre esta
situación, y considerando que no fuese posible la implantación de la función de
Complimiento de forma desagregada a la de Auditoría Interna, que sería lo más
adecuado, en nuestra opinión no hay duda, Auditoría debería coordinar la de
Cumplimiento, pero dejando muy claro qué funciones son las que va a asumir,
alejándose de todas aquellas que supongan decisiones gerenciales, pues al igual
que ocurre con la gestión de riesgos, no debemos olvidar que la función de
cumplimiento normativo, como segunda línea de defensa que es, debe ser auditada, por lo que no debemos
abrir posibles conflictos de intereses que interfieran en nuestra objetividad,
imponiendo procesos de gestión o asumiendo responsabilidades de gestión, ya que
ello afectaría a la independencia de la función auditora, debiendo limitar
nuestra actividad en esta materia, como en cualesquiera otra en las que
intervengamos, a la de asesoramiento.
La dependencia del DAI del CCO es una
situación muy difícil de administrar desde la perspectiva de la independencia
del auditor, ya que, de ser esta la situación, se podría estar interferido en
la dependencia funcional directa del DAI con respecto de la Comisión de
Auditoría, aspecto que esta debería valorar y actuar en consecuencia.
Por todo ello, y para concluir con estas
consideraciones, entendemos que la ubicación en el Organigrama de las empresas
de una función de Cumplimiento es un objetivo muy deseable, pero que debe estar
coordinada con la de Auditoría Interna, evitando duplicidades de actuaciones, y
procurando evitar las dependencias jerárquicas entre una y otra, y que de no
ser posible, que no sea de la de Auditoría respecto de la Cumplimiento, ya que
empezaríamos mal, puesto que estaríamos incumpliendo una Norma básica del IIA,
la 1100 relativa a nuestra independencia y objetividad.
No hay comentarios:
Publicar un comentario