Aplicando COSO como marco de referencia para la implantación y supervisión del SCIINF, por parte de auditoría interna

En los últimos años hemos vivido el despliegue de distintos modelos de control interno, tales como el Sistema de Control Interno de la Información No Financiera (SCIINF), el modelo de prevención de delitos, el modelo de control de riesgos fiscales, laborales, ciberseguridad, etc. En nuestra experiencia, la mayoría de las organizaciones han optado por el marco de control interno COSO III, emitido en 2013 por el Committee of Sponsoring Organizations of the Treadway Commission (“COSO”). De este modo se garantiza que los 5 componentes de control interno, y los 17 principios que los sustentan, actúan de forma coordinada y operan de forma conjunta para prevenir, detectar, compensar, mitigar o corregir errores con un impacto material, en los datos ambientales, sociales y de gobierno corporativo.

Utilizar una metodología “comúnmente aceptada” y aplicable a todos los marcos de control es un factor crítico de éxito para asegurar una gestión eficiente y efectiva de las distintas tipologías de riesgo.

Basándonos en el marco integrado de control interno de COSO III (2013), principal estándar internacional de marcos de control interno, a continuación desgranamos los componentes y principales aspectos que deberían estar diseñados e implementados para asegurar un SCIINF efectivo, en términos de los componentes de control interno:

Entorno de control y responsabilidad

Se corresponde con el “tone at the top”, como dirían los anglosajones, y que define los estándares de conducta, políticas y responsabilidades del modelo. Entre los principales mecanismos que aseguran un entorno de control adecuado podrían citarse:

• La aprobación de una política que defina las responsabilidades en relación con la definición, implantación y supervisión del SCIINF. Con especial énfasis en la atribución a la Comisión de Auditoría de la responsabilidad de supervisión de la integridad de la información no financiera. Este aspecto ha cobrado especial relevancia tras la modificación del Código de Buen Gobierno de Sociedades Cotizadas en junio de 2020 por la CNMV.
• La elaboración de un manual y/o matrices de riesgos/controles, que incorporen las responsabilidades específicas, así como la coordinación entre las distintas funciones para evitar solapes y posibles gaps, garantizando una cobertura efectiva y eficiente, y poder trazar una hoja de ruta que permita desarrollar su modelo al nivel de madurez deseado en cada organización en función de su contexto específico.
• La revisión del código de conducta y del canal de denuncias para recoger todos los aspectos relativos a los requerimientos de información no financiera (tales como Derechos Humanos, desconexión laboral o seguridad y salud, por poner algunos ejemplos).
• El establecimiento de formación específica para el personal encargado en la preparación y revisión de la información no financiera, que cubra aspectos relativos, entre otros, a su control interno y la gestión de riesgos.

Evaluación de riesgos

Entre otros elementos clave, podemos citar:

• El establecer objetivos no financieros concretos y medibles por el Consejo de Administración, con el apoyo del Comité de Dirección, que ayuden a la consecución de la estrategia de la compañía.
• Identificar los asuntos de índole no financiera que sean críticas para la compañía y sus grupos de interés mediante un análisis de materialidad, que debe actualizarse periódicamente y reflejar los impactos en toda su cadena de valor.
• Definir, como parte del proceso de gestión de riesgos de la empresa, un marco que permita la identificación y gestión de los riesgos no financieros a corto, medio y largo plazo.. La organización debería documentar cada proceso y entender el impacto de la posible materialización de dichos riesgos no financieros. Además, debería establecer mecanismos de mitigación aprobados por la Dirección y evaluados de manera periódica.
• La evaluación periódica del riesgo de fraude sobre la información no financiera, que forme parte de los informes de riesgos que se presentan al Consejo de Administración. Para ello, la compañía debería implantar un canal de denuncias disponible e integrado en la cultura corporativa, así como establecer controles clave antifraude que estén documentados y se revisen periódicamente. Estos controles podrían abarcar desde la segregación de funciones en la elaboración y aprobación del Estado de Información No Financiera (EINF) hasta las auditorías sobre los incentivos económicos asociados al cumplimiento de objetivos no financieros.
• Para llevar a cabo este proceso, la compañía deberá implantar un procedimiento para llevar a cabo un seguimiento de los cambios internos y externos que podrían afectar de forma relevante a la información no financiera y documentar cómo actuar ante dichos cambios.

Actividades de control

Entre otros elementos clave, podemos citar:

• La identificación de los riesgos más relevantes sobre los que desarrollar el portfolio de indicadores y controles.
• La selección e implantación de controles que mitigan estos riesgos, incluidos los Controles Generales de Tecnologías de Información asociados a los sistemas que soportan todas las fases de la información no financiera.
• El desarrollo de un mapa de políticas y procedimientos para la información no financiera, partiendo de la información ya existente en cada una de las áreas “no financieras”.
• La identificación de información clave y necesaria para la correcta definición de las actividades de control.
• La definición y asignación de responsabilidades en la ejecución de las actividades de control clave a las áreas adecuadas, incluyendo los controles de revisión de la dirección, en función de las especificidades de cada organización.
• Y por supuesto, la documentación de los controles realizados.

Información y comunicación

En este componente, los mecanismos a implementar están relacionados con la designación de una función encargada del cálculo e interpretación de los indicadores significativos (elaborando instrucciones precisas aplicables a toda la organización). Y, por otra parte, con la existencia de procedimientos para el reporte, consistentes en toda la organización y homogéneos a lo largo del tiempo. Esta labor de coordinación es clave porque los riesgos ESG se gestionan en funciones diferentes (asociadas a las materias concretas como medioambiente, recursos humanos, corrupción, etc.) a las que posteriormente revisan los controles (normalmente la función de control interno). Por tanto, pueden establecerse relaciones funcionales en el reporting del EINF que hay que definir correctamente para hacer el proceso eficiente y eficaz.

Por otra parte, la tecnología es otro tema importante. En este sentido, algunas compañías utilizan herramientas para la gestión y reporting del propio EINF, normalmente utilizadas por las áreas de sostenibilidad /RSC y a la vez, herramientas GRC, utilizadas por el área de SCIIF. Lo relevante en cualquier caso es identificar la información requerida y el origen de los datos dado que en muchos casos es necesario efectuar una agregación y consolidación de estos datos y , por tanto, asegurar que existen controles que aseguren el correcto cálculo.

Supervisión

La Función de Auditoría Interna debe realizar una labor de supervisión del diseño y efectividad de los controles en el alcance de la revisión del SCIINF y reportar sus conclusiones a la Comisión de Auditoría. Recordemos, en este sentido, que la auditoría del diseño de las estructuras de control interno son igual o más relevantes, si cabe, que las auditorías de revisión de la operatividad de los controles internos existentes, dado que con las primeras se analiza si el conjunto de controles existentes aborda suficientemente todos los riesgos identificados en la etapa de evaluación de riesgos.

No obstante, se recomienda que esta revisión se realice no solo para los controles específicos de los procesos asociados a indicadores concretos, sino que se realice un análisis más amplio, abarcando una revisión de los componentes y principios de COSO III para asegurar la consistencia del modelo con enfoque ampliado.

Resumiendo

En resumen, el marco COSO III, emitido en 2013, sigue siendo un marco de referencia para la implantación y supervisión de los distintos sistemas de control interno, incluido el SCIINF. En el contexto específico de la supervisión del SCIINF por parte de Auditoría Interna, consideramos que se debería realizar una supervisión objetiva e independiente orientada, entre otros, a definir la confianza y colaboración con otras líneas (aseguramiento combinado); llevar a cabo un diagnóstico o “gap-analysis” respecto al cumplimiento de los 17 principios del marco COSO III; revisar el proceso de elaboración y reporting (riesgos y controles internos); evaluar el proceso de gestión de riesgos no financieros de la empresa, incluyendo los operativos, tecnológicos, legales, sociales, ambientales, políticos y reputacionales; asegurar la efectividad y eficiencia del proceso, tanto desde un punto de vista de auditoría del diseño como de la operatividad de las estructuras de control interno, incluyendo la de los controles clave; y emitir recomendaciones de refuerzo del SCIINF para reducir los riesgos de información incorrecta, fomentar la creación de valor, y realizar un seguimiento de la efectividad de las estructuras de control interno tras la implementación de esas recomendaciones.

Teniendo en cuenta todo lo anterior, la creación e inversión en una función de Auditoría Interna especializada en SCIINF, resulta cada vez más necesaria, habida cuenta del entorno actual y tendencia esperada tanto de los mercados y sus reguladores respecto a la relevancia de la información no financiera para los objetivos de las compañías.