PremiumNuevas obligaciones sobre control interno de la información financiera en entidades cotizadas
Nuevas obligaciones sobre control interno de la información financiera en entidades cotizadas
Los suscriptores de Economist & Jurist tendrán demás un 10% de descuento en la inscripción del programa. (IMAGEN: ECONOMIST & JURIST)
Por Hugo García Badell, Asociado Senior del área de Governance, Risk & Compliance de ECIJA.
La reforma promovida por la CNMV, derivada de la Ley de Auditoría de Cuentas y de la Ley de Desarrollo Sostenible, propone un nuevo marco de referencia y guía de prácticas y recomendaciones generalmente aceptadas sobre la gestión de la información financiera aportando trasparencia a los mercados de las empresas cotizadas.
Bajo este nuevo prisma, los comités de Auditoría son responsables de supervisar la eficiencia de los sistemas de control interno de las entidades, pero teniendo en cuenta que el responsable último de velar por la existencia de sistemas eficaces de control interno y gestión de riesgos siempre será el Consejo de Administración.
Este conjunto de obligaciones legales está estructurado como sigue:
– Un marco de referencia, derivado de COSO (es uno de los modelos de control interno más difundidos) y la Ley SOX, que propone treinta prácticas de carácter voluntario pero vinculante, centrados en el entorno de control, evaluación de riesgos de la información financiera, actividades de control, información y comunicación y supervisión del funcionamiento del sistema.
– Una guía con dieciséis indicadores de referencia a la hora de elaborar los informes pertinentes
– Un marco de actuación del comité de auditoría.
La ley SOX surgió para evitar fraudes como los acontecidos en ENRON o WorldCom y con el fin de monitorizar a las empresas que cotizan en bolsa y con el fin de aportar mayor trasparencia a los mercados, tratando de proteger al inversor. También surgió el PCAOB (Public Company Accounting Oversight Board) una compañía regulada encargada de revisar y auditar a las firmas de auditoría, para así garantizar la independencia. Desde entonces, el marco regulatorio sobre la transparencia en información financiera evolucionó, propiciando la aparición de la J-SOX (Japón), C-SOX (Canadá), MiFID (Unión Europea), etc.
Históricamente la creación de un marco regulatorio que protegiera al inversor y que dotara a los mercados de mayor confianza y trasparencia han sido consecuencia de grandes escándalos de corrupción financiera. Por ello actualmente todas las empresas que cotizan en la plaza estadounidense están sujetas a cumplimiento SOX mediante auditorías anuales y donde, en caso de incumplimiento, se establecen responsabilidades penales para el Consejo de Administración, e incluso puede llegar a suponer dejar de cotizar en bolsa. Ha sido necesaria una ley de obligado cumplimiento para impulsar las auditorías y aportar mayor trasparencia e inyectar confianza en los mercados.
El Sistema de Control Interno sobre la Información Financiera (SCIIF) emana en gran medida de la Ley SOX (ICOFR: Internal Control Over Financial Report) y supone un marco de referencia basado en los estándares con una guía de buenas prácticas o como metodología de control interno, asociadas a las prácticas de buen gobierno corporativo.
En España, y particularizando en las empresas cotizadas, SCIIF es un buen punto de partida para definir sistemas de control interno eficientes y trasparentes que garanticen la solvencia patrimonial de la Empresa. Es necesario identificar los riesgos existentes y establecer acciones, medidas y controles que permitan solventar dichos riesgos salvaguardando los activos y por consiguiente las inversiones de los accionistas.
El enfoque de auditoría es claro. Deben identificarse y definirse qué procesos tienen mayor impacto económico-financiero en la empresa así como identificar el flujo de la información financiera, mediante un diagnóstico inicial. Para evaluar esos impactos se realiza un análisis de riesgos con un enfoque cuantitativo. Una vez definidos los procesos de negocio con mayor impacto en los estados financieros, desde el punto de vista de la auditoría informática, se verifican qué aplicaciones soportan estos procesos (ERP financiero, etc) a través de un mapa general de riesgos. Por último, sobre esas aplicaciones, se revisan y auditan los de objetivos de control, actividades de control y controles basados en marcos de referencia seleccionados, como COSO, COBIT (es uno de los modelos más difundidos de control interno centrado en el entorno IT) y los definidos por la propia SOX. Posteriormente, se realiza un seguimiento sobre las no conformidades y desviaciones, asociado a un plan de adecuación, incluyendo medidas técnicas, organizativas y jurídicas.
Desde nuestra experiencia, ECIJA constata que las empresas que tienen una cultura normalizada de control interno y auditoría se benefician de un marco más favorable para el negocio, con una actitud empresarial basada en la gestión de riesgos y que aunque inicialmente requieran una mayor exigencia a nivel documental y procedimental que garantice un control interno más eficiente, generan a medio plazo una modernización y mejor gestión de sus procesos de negocio.
Por otra parte, recomendamos que las prácticas de gestión de riesgos y de control interno no se limiten únicamente a la información financiera, sino que se extiendan a través de una práctica integrada a aquella información crítica para las entidades, coticen en bolsa o no.
Por consiguiente, y como conclusión, una mejor autogestión del control interno de las empresas, una cultura de auditorías y controles así como un análisis de riesgos efectivo permiten una mayor madurez de los procesos de negocio de la empresa, trasparencia de cara a sus accionistas y como fin último salvaguardar de manera eficiente los activos.
Si desea leer el Artículo en formato PDF puede hacerlo abriendo el documento adjunto.
...
CONTENIDO EXCLUSIVO PARA SUSCRIPTORES
