Auditoría & Co

Desde el año 2002, numerosas compañías tanto americanas como extranjeras han pasado por el duro proceso de adaptación para cumplir las exigencias que establece la Comisión de Bolsa y Valores (SEC), a través de la Ley SOX, con respecto al cumplimiento de los requerimientos relativos a garantizar la existencia de modelos de control interno de la información financiera (en inglés ICFR- Internal Controls over Financial Reporting). Todo ello siguiendo los estándares de control interno que marca COSO (Committee of Sponsoring Organizations of the Treadway Commission) para asegurar que la información que se hace pública a los mercados de valores es fiable y transparente.

A este respecto, dichos modelos de control, con doble vertiente, implican, por un lado, la afirmación y certificación de la compañía (CEO y CFO) en relación con su responsabilidad sobre el control interno y su efectividad operativa y, por otro, el informe que ha de emitir el auditor externo sobre dicho control interno. Estos requerimientos suponen para todas las organizaciones un gran volumen de recursos dedicados tanto a su diseño e implementación como, sobre todo, a su gestión diaria, dado el peso que supone evidenciar que las actividades de control se ejecutan según su definición y son eficaces para mitigar el riesgo.

Los retos de la Ley Sarbanes Oxley, al detalle

Esta realidad también se refleja en el reciente informe 2023 SOX Report, elaborado por KPMG, que recoge las principales conclusiones de una encuesta realizada a compañías americanas cotizadas en los diferentes Mercados de Valores de Estados Unidos y sujetas a la Ley Sarbanes Oxley, de la que se desprenden los principales retos que, a lo largo del tiempo, dicha normativa ha supuesto y supone para las organizaciones.

Estos requerimientos suponen para todas las organizaciones un gran volumen de recursos dedicados tanto a su diseño e implementación

Más concretamente, en la presente encuesta, realizada sobre datos de 2022, se ponen de manifiesto algunas conclusiones clave:

  • Incremento de presupuesto económico y de horas de dedicación para mantener el modelo, respondiendo a la mayor presión regulatoria y exigencia de los auditores externos.
  • Foco en la búsqueda de la automatización de tareas y actividades de control, así como en la utilización de analítica de datos, con la finalidad de reducir la carga administrativa para el personal dedicado a la ejecución de controles.
  • Alineamiento de la revisión de la efectividad de los controles, realizada por la organización, con las pruebas y testeos que realizan los auditores externos (para incrementar la posibilidad de “reliance” o “confianza” en el trabajo realizado internamente, reduciendo, en consecuencia, los costes ligados a la auditoría externa/estatutaria).
  • Necesidad de reforzar el soporte documental que evidencie la efectividad de los controles.
  • Necesidad de reforzar el control interno sobre los sistemas de información.

Como se puede observar y, a pesar de que, en muchos casos, las organizaciones encuestadas disponen de modelos de control de la información financiera que podrían considerarse maduros, la evolución y tendencia general gira en torno al refuerzo de dichos sistemas de control. Esto se debe, fundamentalmente, a la mayor presión regulatoria y al escrutinio de las entidades auditoras (por el PCAOB), que imprime mayores exigencias por parte de los auditores externos para asegurar que el control de las compañías está bien diseñado y es eficaz para asegurar que la información financiera que se emite a los Mercados es fiable en todos los aspectos materiales.

El control interno de la información financiera en España

En España, disponemos de requerimientos similares, aunque menos detallados. Así, la CNMV exige disponer de un Sistema de Control Interno de la Información Financiera (SCIIF), para entidades cotizadas, siguiendo una estructura y naturaleza similar a lo recogido en le Ley Sarbanes Oxley, y con criterios alineados con el estándar de COSO; con la diferencia de que no existe obligación de que dicho modelo de control sea objeto de auditoría. Esto último lo que provoca es una reducción en el nivel de presión en las organizaciones, ya que no existe obligación de que un experto independiente verifique y opine sobre la efectividad del control interno.

¿Sabes cómo podemos ayudarte a reducir el 'efecto sierra'?

Aunque la implementación es igualmente retadora en los estadios iniciales y supone recursos relevantes para las compañías (especialmente en los procesos de salida a bolsa), el mantenimiento del modelo de control presenta cierta flexibilidad.

‘Efecto sierra’

A lo largo de los años, desde el momento inicial de diseño e implementación de los modelos de control interno de la información financiera, se ha visto que en procesos de revisión periódicos recurrentes o incluso en la realización de los llamados “healthchecks” o “evaluaciones de madurez”, todas las organizaciones, tanto bajo requerimientos SOX como bajo requerimientos SCIIF tienen una tendencia, en el medio plazo, a reducir los niveles internos de exigencia con respecto a los modelos de control, relajándose progresivamente tanto la ejecución de los controles como los soportes documentales generados para evidenciar la efectividad de dichos controles.

Esto se produce, entre otros, una vez que las compañías han implementado sus mecanismos de control y han sido objeto de revisión o auditoría sin identificar oportunidades de mejora relevantes o, habiéndose identificado, han sido resueltas en tiempo y forma (es decir, han logrado “cumplir”). En esta situación, el Top Management ha alcanzado niveles de confort suficientemente adecuados como para reducir el nivel de presión sobre los equipos, lo que genera, en el medio plazo, el deterioro de los mecanismos de control y cumplimiento si no se establecen medidas para asegurar el “sostenimiento” de dichos modelos.

En tales circunstancias, se incrementa el riesgo de fallos de control que pudieran ocasionar, de nuevo, la necesidad de reforzar toda la estructura de control requiriendo esfuerzos relevantes adicionales que hubieran sido innecesarios de haber alcanzado un modelo de control interno de la información financiera sostenible.

Es lo que se conoce como “Saw Effect” o “Efecto sierra”. Es decir, al inicio de la implementación de los modelos de control existe presión y recursos por parte de la organización para “cumplir” y en el momento en el que se alcanza ese objetivo, empieza a existir una tendencia a la reducción del esfuerzo que poco a poco reduce el grado de cumplimiento que, en determinadas situaciones o fallos, genera la necesidad de incrementar de nuevo la presión o los recursos para volver a los niveles de “cumplimiento” requeridos por la normativa.

En organizaciones con modelos de control interno de la información financiera maduros, el reto al que se enfrenta la Dirección es quizá mucho más relevante que durante la implantación de los mismos

Este “Efecto sierra” es lo que, en las organizaciones maduras, impone el plan de actuación para alcanzar un equilibrio entre los recursos disponibles y la exigencia de cumplir con los requerimientos normativos y es lo que se pone de manifiesto en la encuesta mencionada anteriormente. Es decir, las principales conclusiones alcanzadas demuestran la necesidad de que las organizaciones incrementen los recursos para mantener su modelo de cumplimiento, reforzando el soporte documental generado, así como los controles de sistemas, lo que redundará en modelos de control estables, eficientes y sostenibles en el tiempo.

¿Cómo reducir el riesgo de degradación en los modelos de control interno de la información financiera?

Una vez puesto sobre la mesa la existencia del “Efecto sierra” y los costes relacionados con la gestión de dicho efecto, se hace necesario para las organizaciones se planteen la necesidad de alcanzar modelos de control interno sostenibles y eficientes, de forma que eviten el riesgo tanto operativo como económico de permitir la degradación de los controles a lo largo del tiempo.

Para lo cual los elementos clave que las organizaciones deberían considerar se resumen en:

  • Evaluar periódicamente el alineamiento del modelo de control con el estándar de control interno de COSO, para detectar oportunidades de mejora, a través de análisis gap y con un espíritu de mejora continua.
  • Realizar una labor de supervisión interna continua tanto del diseño como de la efectividad operativa de los controles clave anualmente, por parte del área de Auditoría Interna que dé seguridad al auditor externo y que permita confiar en el trabajo realizada por dicha área.
  • Abordar todas las mejoras de diseño identificadas que permitan automatizar los controles que suponen mayor carga administrativa y riesgo de error manual, así como mantener la exigencia en materia de soporte documental en los más altos estándares que permita asegurar evidencias adecuadas y válidas para los auditores externos.
  • Mejorar el control de los sistemas de información en un entorno en el que la implantación de nuevos sistemas y aplicaciones se está incrementando en las organizaciones y constituyen nuevas oportunidades, pero también mayores riesgos.

En organizaciones con modelos de control interno de la información financiera maduros, el reto al que se enfrenta la Dirección es quizá mucho más relevante que durante la implantación de los mismos, ya que han de conseguir alcanzar altos estándares de control y cumplimiento con los recursos disponibles y sin rebajar el nivel de exigencia, especialmente en mercados regulados.

Alicia Burgueño

Senior manager de Gobierno, Riesgo y Cumplimiento de KPMG en España