Auditoría & Co

La última década se ha caracterizado por una creciente y rápida proliferación de regulaciones que ha puesto a prueba los modelos de cumplimiento, siendo las materias reguladas de una exigencia y extensión muy significativas.

¿Había pasado antes? Es decir, ¿se ha producido una experiencia similar en el pasado en forma de aluvión de requerimientos? Y, si es así, ¿qué se hizo?

Esa experiencia la encontramos en la publicación de la Ley SOX (Sarbane Oxley Act, de 2002). Ley con un nivel de exigencia y un volumen de requerimientos sin precedentes en la historia norteamericana. El supervisor PCAOB, ante la queja de las grandes empresas americanas y para poder dar cumplimiento a tal magnitud de nuevos requerimientos, desarrolló en el año 2007 su Estándar de Auditoria número 5 (AS05).

En ese documento se enumeran una serie de acciones para hacer sostenible el modelo de control que implementaban las empresas para cumplir con la Ley SOX, como puede ser basar su modelo en un robusto análisis de riesgos o establecer una metodología de key controls.

No obstante, esos estándares fueron adoptados por el PCAOB hace más de 10 años. En el año 2018, coincidiendo con el 15 aniversario de la creación del supervisor, el consejo del organismo propuso una serie de guías para afrontar los nuevos desafíos de las empresas en materia de control que pasan por una idea única y diferenciada: la construcción de modelos integrales de cumplimiento.

Las empresas ante el tsunami regulatorio

Volviendo al presente, ¿qué están haciendo las empresas ante este tsunami regulatorio? Las empresas han intentado ponerse manos a la obra pero la forma de acometer estos requerimientos, en muchos de los casos, se ha hecho de manera ineficiente. Se ha hecho con el único objetivo de cumplir plenamente pero obviando otros objetivos como la sostenibilidad de los sistemas implantados o su optimización y eficiencia.

¿Por qué decimos que las compañías no tienen unos modelos de control o cumplimiento óptimos, eficientes o sostenibles? En definitiva, ¿por qué no tienen lo que se denomina un health compliance program? Fundamentalmente porque se incurre en el error de crear modelos en silos. Es decir, que se afronta el cumplimiento de las diversas regulaciones desde diferentes ámbitos dentro de la corporación.

Y es fácil darse cuenta planteándose una serie de preguntas. Por ejemplo, si el consejo mirara con ojos críticos su programa de compliance o control general, ¿diría que aporta valor? ¿Diría que la cultura, misión y visión de su empresa son compatibles con su programa de compliance?

Por otro lado, ¿sabe cuáles son sus 20 controles más críticos? ¿Está su programa de control interno orientado hacia esos 20 controles críticos? ¿Tiene un conjunto sólido de controles a nivel entidad? ¿Se siente seguro de que sus controles serían efectivos, incluso sin testearlos cada año?

En resumen, las empresas han percibido que sus programas, en el corto plazo, no van a ser sostenibles desde un punto de vista económico. Además, no les aportan una visión global al estar gestionados por silos. La falta de enfoque en la mejora de procesos y el “valor agregado” continúa minando la efectividad de muchos programas para reducir el riesgo, reducir los costes y generar valor.

Las empresas han percibido que sus programas de compliance no van a ser sostenibles desde un punto de vista económico y además no les aportan una visión global al estar gestionados por silos.

Ello se ha debido fundamentalmente a la escasez de estándares sobre cómo afrontar un aluvión de requerimientos de todas las formas y desde todos los frentes, de una manera sostenible.

Modelo de las Tres Líneas de Defensa

Sin duda un aspecto clave en el proceso de transformación e incremento de la eficiencia del modelo es su estructura y diseño organizativo.

El modelo de las Tres Líneas de Defensa se definió, desde una perspectiva de gestión y control interno, como criterio para ayudar a las organizaciones de una manera simple y efectiva a mejorar las comunicaciones sobre la gestión y control de los riesgos que amenazaban la consecución de sus objetivos, mediante la aclaración de roles y responsabilidades.

El IIA (The Institute of Internal Auditors) se encuentra en estos momentos en proceso de reevaluación de este modelo para adaptarlo a las necesidades de las organizaciones en la actualidad. Esto es debido a que en el trascurso de los últimos años han surgido críticas en relación a que este modelo pueda ser demasiado limitante y restrictivo; a que pueda incrementar los costes de mantenimiento al ser excesivamente rígido y fomentar los silos organizativos. En el segundo semestre de 2019 se espera que el IIA emita el documento de revisión (actualmente en ronda de consultas).

No obstante, diferentes voces expertas dentro de la profesión señalan que la tendencia en determinadas situaciones puede dirigirse a modelos de combined assurance. Modelos en los que, mediante las correspondientes salvaguardas (especialmente la externalización del assurance sobre programas en los que auditoría interna haya participado como asesor), se garantiza la independencia de auditoría interna. Asimismo, se reducen los costes, a la vez que se incrementan las sinergias y el alineamiento, la colaboración y la compartición de información.

Ventajas del modelo de combined assurance

Un modelo de combined assurance ofrece un conjunto significativo de beneficios que giran en torno al concepto de optimización y eficiencia de las tareas. Permite generar un enfoque más holístico de las actividades de GRC y facilita que el trabajo sea desarrollado por profesionales con la misma mentalidad y competencias complementarias.

Ya en un estudio realizado por el IIA de Holanda en 2015, la percepción de los grupos de interés era que se aportaba un mayor valor añadido y eficiencia en un modelo combinado que en uno con las funciones totalmente separadas. De hecho, se llegaba a considerar que incluir estas funciones bajo una misma posición de liderazgo podría generar la atracción de un mayor número de profesionales experimentados y cualificados.

Parece claro que los modelos de combined assurance llevados a la práctica, más allá de planteamientos teóricos que se hayan podido producir en estos últimos años, serán parte de la solución a los problemas de las corporaciones para gestionar sus obligaciones de cumplimiento regulatorio.