En los últimos años hemos vivido el despliegue de distintos modelos de control interno, tales como el Sistema de Control Interno de la Información No Financiera (SCIINF), el modelo de prevención de delitos, el modelo de control de riesgos fiscales, laborales, ciberseguridad, etc. En nuestra experiencia, la mayoría de las organizaciones han optado por el marco de control interno COSO III, emitido en 2013 por el Committee of Sponsoring Organizations of the Treadway Commission (“COSO”). De este modo se garantiza que los 5 componentes de control interno, y los 17 principios que los sustentan, actúan de forma coordinada y operan de forma conjunta para prevenir, detectar, compensar, mitigar o corregir errores con un impacto material, en los datos ambientales, sociales y de gobierno corporativo.
Utilizar una metodología “comúnmente aceptada” y aplicable a todos los marcos de control es un factor crítico de éxito para asegurar una gestión eficiente y efectiva de las distintas tipologías de riesgo.
Basándonos en el marco integrado de control interno de COSO III (2013), principal estándar internacional de marcos de control interno, a continuación desgranamos los componentes y principales aspectos que deberían estar diseñados e implementados para asegurar un SCIINF efectivo, en términos de los componentes de control interno:
Se corresponde con el “tone at the top”, como dirían los anglosajones, y que define los estándares de conducta, políticas y responsabilidades del modelo. Entre los principales mecanismos que aseguran un entorno de control adecuado podrían citarse:
Entre otros elementos clave, podemos citar:
Entre otros elementos clave, podemos citar:
En este componente, los mecanismos a implementar están relacionados con la designación de una función encargada del cálculo e interpretación de los indicadores significativos (elaborando instrucciones precisas aplicables a toda la organización). Y, por otra parte, con la existencia de procedimientos para el reporte, consistentes en toda la organización y homogéneos a lo largo del tiempo. Esta labor de coordinación es clave porque los riesgos ESG se gestionan en funciones diferentes (asociadas a las materias concretas como medioambiente, recursos humanos, corrupción, etc.) a las que posteriormente revisan los controles (normalmente la función de control interno). Por tanto, pueden establecerse relaciones funcionales en el reporting del EINF que hay que definir correctamente para hacer el proceso eficiente y eficaz.
Por otra parte, la tecnología es otro tema importante. En este sentido, algunas compañías utilizan herramientas para la gestión y reporting del propio EINF, normalmente utilizadas por las áreas de sostenibilidad /RSC y a la vez, herramientas GRC, utilizadas por el área de SCIIF. Lo relevante en cualquier caso es identificar la información requerida y el origen de los datos dado que en muchos casos es necesario efectuar una agregación y consolidación de estos datos y , por tanto, asegurar que existen controles que aseguren el correcto cálculo.
La Función de Auditoría Interna debe realizar una labor de supervisión del diseño y efectividad de los controles en el alcance de la revisión del SCIINF y reportar sus conclusiones a la Comisión de Auditoría. Recordemos, en este sentido, que la auditoría del diseño de las estructuras de control interno son igual o más relevantes, si cabe, que las auditorías de revisión de la operatividad de los controles internos existentes, dado que con las primeras se analiza si el conjunto de controles existentes aborda suficientemente todos los riesgos identificados en la etapa de evaluación de riesgos.
No obstante, se recomienda que esta revisión se realice no solo para los controles específicos de los procesos asociados a indicadores concretos, sino que se realice un análisis más amplio, abarcando una revisión de los componentes y principios de COSO III para asegurar la consistencia del modelo con enfoque ampliado.
En resumen, el marco COSO III, emitido en 2013, sigue siendo un marco de referencia para la implantación y supervisión de los distintos sistemas de control interno, incluido el SCIINF. En el contexto específico de la supervisión del SCIINF por parte de Auditoría Interna, consideramos que se debería realizar una supervisión objetiva e independiente orientada, entre otros, a definir la confianza y colaboración con otras líneas (aseguramiento combinado); llevar a cabo un diagnóstico o “gap-analysis” respecto al cumplimiento de los 17 principios del marco COSO III; revisar el proceso de elaboración y reporting (riesgos y controles internos); evaluar el proceso de gestión de riesgos no financieros de la empresa, incluyendo los operativos, tecnológicos, legales, sociales, ambientales, políticos y reputacionales; asegurar la efectividad y eficiencia del proceso, tanto desde un punto de vista de auditoría del diseño como de la operatividad de las estructuras de control interno, incluyendo la de los controles clave; y emitir recomendaciones de refuerzo del SCIINF para reducir los riesgos de información incorrecta, fomentar la creación de valor, y realizar un seguimiento de la efectividad de las estructuras de control interno tras la implementación de esas recomendaciones.
Teniendo en cuenta todo lo anterior, la creación e inversión en una función de Auditoría Interna especializada en SCIINF, resulta cada vez más necesaria, habida cuenta del entorno actual y tendencia esperada tanto de los mercados y sus reguladores respecto a la relevancia de la información no financiera para los objetivos de las compañías.