Hace unos pocos meses tuve la oportunidad de acudir a la presentación, en la sede del Instituto de Auditores Internos de España, del documento: Visión 2020. Desafíos de Auditoría Interna en el horizonte 2020, en el que se hacía una descripción de las expectativas de la función auditora interna en los próximos años, basándose para ello en la opinión de diversos especialistas consultados.
Entre la información empleada figuraba la correspondiente a las preocupaciones de las Comisiones de Auditoría, las cuales se ordenaban de la siguiente manera:
1ª) Riesgo Operativo (21%)
2ª) Riesgo Estratégico (18%).
3ª) Cumplimiento (14%).
4º) Aseguramiento en la administración de riesgos (10%).
Por lo que se concluía en la necesidad de apoyar el desarrollo de la función de cumplimiento en aquellas organizaciones que aún no dispusiesen de ella, resaltando que aquellas organizaciones que actualmente cuentan con un sistema de control interno maduro han creado la dirección de cumplimiento, posibilitando así la implementación de “un modelo integrado de gobierno, control interno, gestión del riesgo y cumplimiento –conocido por sus siglas GRC–, que se desarrolla para cubrir la necesidad de ofrecer una respuesta coherente y consistente ante su complejidad y la creciente exigencia del entorno”.
Debiendo señalar que por “cumplimiento”, de acuerdo con la definición que en su momento aplicó Basilea, debe entenderse aquella función que identifica, asesora, alerta y reporta los riesgos de cumplimiento en las organizaciones, es decir, el riesgo de recibir sanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras o pérdidas de reputación por fallas de cumplimiento con las leyes aplicables, las regulaciones, los códigos de conducta y los estándares de buenas prácticas.
Aspectos todos ellos que deben ser objeto de supervisión por parte de Auditoría Interna, atendiendo a lo señalado por las Normas 2120 A1 y 2130 A1. Al referirse al “cumplimiento de leyes, regulaciones políticas, procedimientos y contratos”.
Ante esta evolución del gobierno corporativo de las organizaciones, podemos decir que es habitual el que las empresas estén implementando la función de cumplimiento, encontrándonos con alguna duda respecto de cuál debe ser su estructura, y básicamente si debe ser independiente de la de Auditoría interna o vinculada con ella.
En nuestra opinión, la creación de la Unidad de Cumplimiento es algo muy positivo para las organizaciones, la cual debe desarrollarse de forma independiente, como segunda línea de defensa, de la de Auditoría Interna, dependiendo de su correspondiente gestor y responsable, el Director de Cumplimiento (CCO por sus siglas en inglés).
Sin embargo, y como también sucede en la Gestión de Riesgos, resulta algo frecuente añadir esta función de Cumplimiento a la de Auditoría Interna. Surgiendo entonces una duda, ¿quién absorbe a quién?: la de Auditoría a la de Complimiento, o la de Cumplimiento a la de Auditoría. O dicho de otra manera, el DAI será el jefe del CCO, o CCO del DAI, pudiendo señalar que ambas situaciones las hemos visto aplicadas de forma práctica.
Si tuviésemos que decidir sobre esta situación, y considerando que no fuese posible la implantación de la función de Complimiento de forma desagregada a la de Auditoría Interna, que sería lo más adecuado, en nuestra opinión no hay duda, Auditoría debería coordinar la de Cumplimiento, pero dejando muy claro qué funciones son las que va a asumir, alejándose de todas aquellas que supongan decisiones gerenciales, pues al igual que ocurre con la gestión de riesgos, no debemos olvidar que la función de cumplimiento normativo, como segunda línea de defensa que es, debe ser auditada, por lo que no debemos abrir posibles conflictos de intereses que interfieran en nuestra objetividad, imponiendo procesos de gestión o asumiendo responsabilidades de gestión, ya que ello afectaría a la independencia de la función auditora, debiendo limitar nuestra actividad en esta materia, como en cualesquiera otra en las que intervengamos, a la de asesoramiento.
La dependencia del DAI del CCO es una situación muy difícil de administrar desde la perspectiva de la independencia del auditor, ya que, de ser esta la situación, se podría estar interferido en la dependencia funcional directa del DAI con respecto de la Comisión de Auditoría, aspecto que esta debería valorar y actuar en consecuencia.
Por todo ello, y para concluir con estas consideraciones, entendemos que la ubicación en el Organigrama de las empresas de una función de Cumplimiento es un objetivo muy deseable, pero que debe estar coordinada con la de Auditoría Interna, evitando duplicidades de actuaciones, y procurando evitar las dependencias jerárquicas entre una y otra, y que de no ser posible, que no sea de la de Auditoría respecto de la Cumplimiento, ya que empezaríamos mal, puesto que estaríamos incumpliendo una Norma básica del IIA, la 1100 relativa a nuestra independencia y objetividad.
Jesús Aisa Díez
Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid, Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA., ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Evaluador certificado de Quality Assurance y director de múltiples evaluaciones de calidad de Unidades de Auditoría Interna realizadas en el ámbito iberoamericano, tanto en España, Portugal, como en diversos países latinoamericanos (Chile, Perú y Colombia). Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Colaborador de www.auditool.org.
Madrid, España
Y luego Agregar a la pantalla de inicio.