Hace un año que se publicó la Ley 11/2018, de 28 de diciembre, más comúnmente conocida como la “Ley de Información No Financiera”, la cual puso de manifiesto, entre otras cosas, la necesidad de contar con mecanismos de control que aseguraran la fiabilidad de esta información, que al igual que la información financiera, debe formular el Consejo de Administración. En este contexto, muchas empresas han puesto en marcha o están desarrollando actualmente el denominado SCIINF (Sistema de Control Interno sobre la Información No Financiera), al que muchos llaman ya el SCIIF ampliado.
En base a nuestra experiencia, este sistema se ha implementado con mayor o menor alcance en función, entre otros factores, de la cultura de la empresa, nivel de madurez del SCIIF previamente implementado, nivel de automatización de los indicadores no financieros, etc.
En cualquiera de los casos, desde KPMG hemos identificado algunos factores críticos de éxito para la implementación de un SCIINF efectivo que son aplicables a cualquier empresa y que es fruto de las lecciones aprendidas en este frenético año de puesta en marcha de estos sistemas.
Un primer factor crítico de éxito es utilizar una metodología “comúnmente aceptada” y aplicable a todos los marcos de control. Hemos vivido en los últimos años, el despliegue de distintos modelos de control y cumplimiento, tales como el SCIINF, el modelo de prevención de delitos, el modelo de control de riesgos fiscales, laborales, etc. En nuestra experiencia, la mayoría de las organizaciones han optado por el marco de control COSO III, emitido en 2013 por el Committee of Sponsoring Organizations of the Treadway Commission. Adicionalmente, para el caso de la información no financiera, también puede ser útil el documento específico acerca de la aplicación de la gestión de riesgo empresarial a los riesgos ambientales, sociales y de gobierno corporativo emitido por COSO, en colaboración con el WBCSD. De este modo se garantiza que los elementos de control interno actúan de forma coordinada y operan de forma conjunta para prevenir, detectar, compensar, mitigar o corregir errores, con impacto material, en los riesgos ambientales, sociales y de gobierno corporativo.
Un segundo factor es establecer el nivel de esfuerzo en relación al desarrollo del modelo SCIINF para cada sociedad/área y un calendario de trabajo. Para ello, desde nuestro punto de vista, es fundamental, por una parte, elaborar un manual con la definición y la operativa de cálculo de los indicadores seleccionados con el objetivo de homogeneizar y dar consistencia a la información así como elaborar la matriz de alcance del SCIINF a partir de factores cuantitativos y cualitativos. Por otra parte, es esencial la revisión y documentación del proceso de definición de materialidad, que, entre otras tareas, requiere de una identificación de procesos, responsables y actividades (internas y externas), así como involucración de los responsables de las distintas áreas – medioambiente, recursos humanos, financiero, etc.- así como una definición de factores críticos y criterios para la definición del alcance.
Un tercer factor es asegurar el cumplimiento de la rendición de cuentas de información no financiera en cuanto a contenido, fiabilidad, tiempo y forma según las necesidades internas y externas de reporte. Uno de los problemas habituales en la confección y supervisión del estado de información no financiera es la captura, agregación y consolidación de la información, que en muchos casos, es un proceso muy complejo debido a los numerosos indicadores, sistemas dispersos, responsables en distintas geografías, etc. Para mitigar este riesgo, recomendamos el diseño de instrucciones y calendario de reporting que contenga hitos dirigidos a los diferentes responsables identificados por áreas y/o país.
Finalmente, para asegurar un SCIINF efectivo es preciso dotarse de una documentación de los procesos end-to end y la elaboración de matrices de riesgos y controles. En este punto, recomendamos que antes de iniciar el entendimiento y la documentación del proceso desde la generación del dato hasta su inclusión en el informe, se definen las plantillas en las que se lleva a cabo la documentación de los mismos. Esto implica actividades a realizar tanto para la parte local de los procesos como a nivel corporativo. Posteriormente, se realiza la matriz de riesgos y controles para cada indicador. Asimismo, una buena práctica es aprovechar las estructuras y modelos ya establecidos para el SCIINF como base para el desarrollo de la documentación del SCIINF.
En resumen, en el primer cumpleaños de la Ley de Información No Financiera, es un buen momento para reflexionar sobre el nivel de madurez de su SCIINF de cara a evaluar no sólo el puro cumplimiento de la ley sino aportar valor a la organización y dotar de mayor confianza a las partes interesadas.
