Por: Jesús Aisa Díez – jesus.aisa@auditool.org
Atendiendo a la definición de la actividad de Auditoría Interna que recoge el Marco Internacional para la práctica Profesional de la Auditoría interna, emitido por The Institute of Internal Auditors, sabemos que la finalidad de nuestro trabajo es la de ayudar a las organizaciones a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar los siguientes tres procesos: El de gestión de riesgos, los de control y los relativos al gobierno corporativo.
Resulta evidente que estos tres procesos son básicos para poder asegurar si las estrategias de las compañías se están atendiendo y, además, si estas se consiguen respetando los derechos e intereses de las partes interesadas, para lo que resultará preciso asegurar: (i) la fiabilidad de integridad de la información financiera y operativa, (ii) Eficiencia y eficacia de las operaciones y programas, (iii) la integridad patrimonial y (iv) El cumplimiento de las leyes, regulaciones, políticas, procedimientos y contratos.
En lo que se refiere a la fiabilidad de la integridad financiera, las buenas prácticas, así como las regulaciones aplicables a las sociedades mercantiles, obligan a que esta sea verificada por auditores externos independientes, los cuales deben dar fe de si los Estados Financieros reflejan la imagen fiel de la compañía o, en caso contrario, señalar las salvedades que se tengan al respecto, a fin de que sean tenidas en consideración a los efectos que correspondan. Para ello, y partiendo de la Ley Sarbanes-Oxley, en este proceso de verificación de la bondad de la información financiera, se entendió imprescindible que las compañías no solo debían asegurar que las prácticas contables aplicadas eran compatibles con los criterios de contabilidad generalmente aceptados, sino que, complementariamente, deberían realizar una supervisión de sus Sistemas de Control Interno sobre dicha información financiera, con la que reforzar las garantías sobre su fiabilidad, así como opinar sobre la eficacia del sistema de supervisión y verificación empleado. Aspecto que, como garantía adicional, se entendió conveniente que fuese realizado por las Unidades de Auditoría Interna, en cuyo objetivo se están dedicando importantes esfuerzos.
En este sentido, la Comisión Nacional del Mercado de Valores español, entendió conveniente publicar en el 2010 el documento denominado Control Interno sobre la información financiera en las sociedades cotizadas (SCIIF), según el cual el Sistema de Control Interno sobre la Información Financiera, lo constituyen el conjunto de procesos que el Consejo de Administración, el Comité de Auditoría, la alta dirección y el personal involucrado de la entidad llevan a cabo para proporcionar seguridad razonable respecto a la fiabilidad de la información financiera que se publica y se difunde a los mercados. Describiendo asimismo las responsabilidades adscritas a cada uno de los intervinientes en dicho proceso. Como veremos a continuación:
El Consejo de Administración/Directorío es el responsable de la existencia de un SCIIF adecuado y eficaz. La alta dirección, generalmente a través de la función económico-financiera de la organización, debe ser la responsable de su diseño, implantación y adecuado funcionamiento, mientras que el Comité de Auditoría es el órgano encargado de supervisar el funcionamiento y eficacia del SCIIF, recomendándose que para que pueda realizar esta labor disponga de una función de auditoría interna que, en cumplimiento de su plan anual de actuación, le ayude a evaluar la eficacia de dicho Sistema de Control, informándole periódicamente de las debilidades detectadas durante la ejecución de su trabajo y del calendario asignado en la implementación de las medidas propuestas para su corrección. Es decir, el habitual apoyo de la función de auditoría interna a los Comités de Auditoría, aunque en esta ocasión específicamente referida a la información financiera.
Para poder opinar sobre la eficacia del Sistema de Control empleado por las organizaciones, la CNMV recomienda que se supervisen los elementos del sistema de control interno –entorno de control, evaluación de riesgos, actividades de control, información y comunicación y supervisión– vigilando que estén debidamente coordinados y que todos ellos operan de forma conjunta para prevenir, detectar, compensar, mitigar o corregir errores, con impacto material, o fraudes en la información financiera. Para ello aporta la serie de indicadores que deberían ser analizados por Auditoría interna a fin de poder emitir un diagnóstico veraz sobre la bondad del Sistema de Control empleado, los cuales seguidamente reproducimos por considerarlos de gran utilidad.
Indicadores básicos
Entorno de control de la entidad
El objetivo perseguido es facilitar al mercado información de los mecanismos específicos que la entidad ha habilitado para mantener un ambiente de control interno que propicie la generación de información financiera completa, fiable y oportuna, (incluyendo aquella que sirva de punto de partida para su elaboración), y que prevea la posible existencia de irregularidades y las vías para detectarlas y remediarlas. Por ello se debe conocer:
1. Qué órganos y/o funciones de las organizaciones son los responsables de: (i) la existencia y mantenimiento de un adecuado y efectivo SCIIF; (ii) su implantación; y (iii) su supervisión.
2. Qué departamentos y/o mecanismos están encargados: (i) del diseño y revisión de la estructura organizativa; (ii) de definir claramente las líneas de responsabilidad y autoridad, con una adecuada distribución de tareas y funciones; y (iii) de que existan procedimientos suficientes para su correcta difusión en la entidad, en especial, en lo relativo al proceso de elaboración de la información financiera.
3. Si existen, especialmente en lo relativo al proceso de elaboración de la información financiera, los siguientes elementos:
– Código de conducta, órgano de aprobación, grado de difusión e instrucción, principios y valores incluidos (indicando si hay menciones específicas al registro de operaciones y elaboración de información financiera), órgano encargado de analizar incumplimientos y de proponer acciones correctoras y sanciones.
– Canal de denuncias, que permita la comunicación al comité de auditoría de irregularidades de naturaleza financiera y contable, en adición a eventuales incumplimientos del código de conducta y actividades irregulares en la organización, informando en su caso si éste es de naturaleza confidencial.
Programas de formación y actualización periódica para el personal involucrado en la preparación y revisión de la información financiera, así como en la evaluación del SCIIF, que cubran al menos, normas contables, auditoría, control interno y gestión de riesgos.
Evaluación de riesgos de la información financiera
La finalidad de estos indicadores es dar a conocer al mercado el grado de desarrollo y sistematización del proceso por el cual la entidad identifica las fuentes y riesgos de error o irregularidades en la información financiera. La fiabilidad de la información financiera depende de la correcta aplicación de las normas vigentes a las transacciones rutinarias o típicas, así como a las operaciones menos frecuentes que requieran utilizar normas complejas, cuyo efecto en los estados financieros puede resultar material.
4. Cuáles son las principales características del proceso de identificación de riesgos, incluyendo los de error o fraude, en cuanto a:
– Si el proceso existe y está documentado.
– Si el proceso cubre la totalidad de objetivos de la información financiera, (existencia y ocurrencia; integridad; valoración; presentación, desglose y comparabilidad; y derechos y obligaciones), si se actualiza y con qué frecuencia.
– La existencia de un proceso de identificación del perímetro de consolidación, teniendo en cuenta, entre otros aspectos, la posible existencia de estructuras societarias complejas, entidades instrumentales o de propósito especial.
– Si el proceso tiene en cuenta los efectos de otras tipologías de riesgos (operativos,tecnológicos, financieros, legales, reputacionales, medioambientales etc.) en la medida que afecten a los estados financieros.
– Qué órgano de gobierno de la entidad supervisa el proceso.
Actividades de control
El mercado debería obtener un conocimiento fundado de la extensión de las actividades de control específicas que la entidad tiene implementadas para mitigar los riesgos de error o irregularidades en la información financiera. Por ello se considera oportuno supervisar los siguientes aspectos.
5. Documentación descriptiva de los flujos de actividades y controles (incluyendo los relativos a riesgo de fraude) de los distintos tipos de transacciones que puedan afectar de modo material a los estados financieros, incluyendo el procedimiento de cierre contable y la revisión específica de los juicios, estimaciones, valoraciones y proyecciones relevantes.
6. Políticas y procedimientos de control interno sobre los sistemas de información (entre otras, sobre seguridad de acceso, control de cambios, operación de los mismos, continuidad operativa y segregación de funciones) que soporten los procesos relevantes de la entidad en relación a la elaboración y publicación de la información financiera.
7. Políticas y procedimientos de control interno destinados a supervisar la gestión de las actividades subcontratadas a terceros, así como de aquellos aspectos de evaluación, cálculo o valoración encomendados a expertos independientes, que puedan afectar de modo material a los estados financieros.
8. Procedimientos de revisión y autorización de la información financiera y la descripción del SCIIF, a publicar en los mercados de valores, indicando sus responsables.
Información y comunicación
La información a desglosar debería permitir al mercado conocer si la entidad dispone de procedimientos y mecanismos para transmitir, al personal involucrado en el proceso de elaboración de la información financiera, los criterios de actuación aplicables, así como los sistemas de información empleados en tales procesos. De este modo, resultará significativo constatar si existe:
9. Una función específica encargada de definir y mantener actualizadas las políticas contables (área o departamento de políticas contables), así como resolver dudas o conflictos derivados de su interpretación, manteniendo una comunicación fluida con los responsables de las operaciones en la organización.
10. Un manual de políticas contables actualizado y comunicado a las unidades a través de las que opera la entidad.
11. Mecanismos de captura y preparación de la información financiera con formatos homogéneos, de aplicación y utilización por todas las unidades de la entidad o del grupo, que soporten los estados financieros principales y las notas, así como la información que se detalle sobre el SCIIF.
Supervisión del funcionamiento del sistema
Cualquier sistema de control interno podría resultar insuficiente si su funcionamiento no se evalúa y supervisa periódicamente. Por ello, resulta necesario desglosar la información que permita entender cómo se supervisa el sistema de control. Lo cual se estima puede conseguirse disponiendo de los siguientes datos:
12. Si cuenta con una función de auditoría interna que tenga entre sus competencias la de apoyo al comité de auditoría en su labor de supervisión del sistema de control interno, incluyendo el SCIIF.
13. Si cuenta con un procedimiento de discusión mediante el cual, el auditor de cuentas, la función de auditoría interna y otros expertos, pueden comunicar a la alta dirección y al comité de auditoría o administradores de la entidad las debilidades significativas de control interno identificadas durante los procesos de revisión de las cuentas anuales o aquellos otros que les hayan sido encomendados. Asimismo informará de si dispone de un plan de acción que trate de corregir o mitigar las debilidades observadas.
14. Una descripción del alcance de la evaluación del SCIIF realizada en el ejercicio y del procedimiento por el cual el encargado de ejecutarla comunica sus resultados, si la entidad cuenta con un plan de acción que detalle las eventuales medidas correctoras, y si se ha considerado su impacto en la información financiera.
15. Una descripción de las actividades de supervisión del SCIIF realizadas por el comité de auditoría.
16. Si la información del SCIIF remitida a los mercados ha sido sometida a revisión por el auditor externo, en cuyo caso la entidad debería incluir el informe correspondiente. En caso contrario, debería informar de sus motivos.
Este checklist entendemos que permitirá concluir sobre las debilidades del sistema de control empleado, y sugerir las medidas con las que eliminarlas, mejorando su eficacia. Aspecto que entiendo, como mejor práctica, que podría ser ensayado por los responsables de la función auditora que se encuentren interesados, o tengan la obligación, de supervisar este proceso.
Espero que compartan su empleabilidad y utilidad.
Del Autor: Jesús Aisa Díez, Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid, Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. En el Instituto de Auditores Internos de España colaborador en las evaluaciones de calidad, y articulista y Director de la Revista institucional, ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Colaborador de www.auditool.org
Blog de Don Jesús Aisa: http://auditoriainternasiglo21.blogspot.com.es/