El whistleblowing y la actividad profesional de Auditoría Interna
Por: Jesús Aisa Díez – Madrid España
En términos generales en las empresas los sistemas de denuncia interna o whistleblowing consisten en la creación de vías que permitan a sus empleados informar de los incumplimientos observados, tanto de las normas internas, como de las normativas que rigen su actividad.
No es una práctica todavía muy extendida en España, pero cada vez más empresas la están poniendo en marcha, especialmente las sociedades cotizadas en las bolsas españolas, ya que así lo establece el Código Unificado de Buen Gobierno Corporativo, en su recomendación nº 50, relativa a las responsabilidades de los Comités de Auditoría, en lo que se refiere al establecimiento y supervisión de un mecanismo que permita a los empleados comunicar, de forma confidencial, y si se considerase apropiado anónima, las irregularidades de potencial trascendencia, especialmente financieras y contables, que adviertan en el seno de la empresa. En resumen, habilitar canales de denuncia en forma similar a la recogida con carácter imperativo por la Ley Sarbanes-Oxley Act, respecto de las empresas cotizadas en Wall Street.
Independientemente de lo anterior, o mejor dicho en sintonía con ello, el Marco Internacional para la Práctica profesional de Auditoría Interna, se refiere a este concepto anglosajón en su Norma 2440. A2, Difusión de resultados, al desarrollar su contenido en el Consejo para la Práctica 2440-2, indicando que:“en algunas situaciones, un auditor interno puede enfrentarse al dilema de considerar si comunica o no la información a personas fuera de la cadena de mando habitual o incluso fuera de la organización. Esta comunicación es comúnmente denominada whistleblowing”; aclarando que será interno cuando solo se efectúe en el ámbito de la organización, en tanto que externo cuando se efectúe a alguna agencia gubernamental o autoridad de fuera de la organización.
En el mismo consejo para la práctica, en su apartado 9, se señala que el auditor interno siempre deberá obtener información legal si no está seguro de los requisitos legales o las consecuencias de dedicarse al whistleblowing interno o externo.
Al respecto entiendo que si analizamos en detalle lo que se nos recomienda, pueden surgir varias dudas, algunas de ellas posiblemente por haberse internacionalizado casuísticas específicas de algunas jurisdicciones USA, las que obligan a los empleados públicos a informar externamente determinados hechos ilegales o morales. Situación que, al contemplarse en otros entornos, pueden crear confusión. Me explico:
Llama mi atención que el Consejo se refiera al dilema que pueda presentarse a un auditor interno a título individual, admitiendo entonces la posibilidad de que este pueda abrir canales de comunicación no previstos.
En mi opinión, dado que el Director de Auditoría Interna (DAI) es el responsable de decidir a quiénes y cómo será distribuida la comunicación, sugerimos que las inquietudes que pudieran presentarse a los auditores individualmente considerados respecto de a quienes informar internamente, le sean comentadas al DAI, a fin de que este las pueda compartir y, en su caso, asumir. En caso contrario, la alternativa extrema que le queda al auditor entiendo que es la de dirigirse al Comité de Auditoría para que este desbloque el conflicto que pudiera existir entre la opinión del auditor y el DAI, pero nunca que el propio auditor difunda la comunicación a otras áreas o parte interesadas distintas a las que su Director haya decidido.
En esta misma forma entiendo que debería actuar el DAI cuando la información contenida en los informes pueda evidenciar situaciones que ameriten ser puestas en conocimiento de las autoridades, pues no debemos olvidar que somos una parte del mecanismo del control interno de la organización, y que teniendo unos jefes funcionales, los Comités de Auditoría, que son los máximos responsables de la supervisión del buen funcionamiento del proceso de control interno, deben conocer los resultados de nuestros trabajos y todas sus implicaciones, a fin de puedan adoptarse las medidas que correspondan. De esta forma la responsabilidad de la decisión de realizar whistleblowing externo correspondería al Comité de Auditoría, que entiendo que es lo acertado, pues no sería lógico que nosotros actuásemos en un aspecto tan trascendente de espaldas al Comité, si bien esta forma de actuar debemos hacerlo con suficiente garantías de que quede constancia documental de la información aportada, las evidencias encontradas y la propuesta de comunicación externa realizada, así como de la decisión finalmente adoptada.
En el supuesto de que no existiese Comité de Auditoría, la opción que entendemos válida para el DAI es acudir al Directorio directamente, planteando el asunto. En tanto que para resolver el conflicto entre el auditor y el DAI, el auditor podría recurrir al jefe jerárquico de su Director.
Por último, y como posible “subproducto” de la forma de actuar que acabamos de exponer, evitaríamos en tener que considerar la posibilidad de que los auditores internos nos dediquemos al whistleblowing interno o externo.
La otra cara de la moneda respecto del rol que puede desempeñar la función de auditoría interna respecto de los whistleblowing, se produce cuando las denuncias las realizan los empleados u otras partes interesadas; resultando también aquí válido, en mi opinión, el modelo expuesto con anterioridad, ya que Auditoría Interna no debe ser el receptor en primera instancia de las denuncias, ya que estas deben canalizarse directamente a los Comités de Auditoría, para que: (i) registren su recepción, (ii) decidan el área de la organización competente para investigarlas y (iii) controlen las oportunas respuestas.
Respecto de quién debe investigarlas, es obvio que una gran mayoría de las denuncias recibidas se trasladarán desde el Comité a Auditoría Interna con el encargo de investigarlas, pero nuestra actuación no es de oficio, sino por encargo de nuestros responsables funcionales. En cualquier caso esta actividad debemos contemplarla dentro del Plan Anual de Auditoría en función de la estimación de recursos que estimamos nos requiera, incluyéndolos dentro del apartado de “solicitudes del Comité”.
Importante: El próximo 19 y 20 de septiembre estaré en Medellín dictando el seminario, “La administración de Riesgos. Herramienta de Gestión Empresarial y de la Auditoría Interna”. Los interesados pueden consultar el evento ingresando desde el siguiente link: http://bit.ly/1daMZdv
Del Autor: Jesús Aisa, Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid. Ex-Subdirector General Corporativo de Auditoría Interna del Grupo Telefónica SA. Asesor en control interno, tutor de cursos on-line y articulista frecuente en la revista de la Institución en la Asociación Hispanoamericana de Centros de Investigación y Empresas de Telecomunicaciones (AHCIET).Técnico evaluador de la calidad de auditorías internas. Conferencista en eventos internacionales, tanto en España, como Iberoamérica. Colaborador www.auditool.org
Comentarios