Algunos de los factores que generaban una mayor incertidumbre se han ido mitigando en el último año, pero la prolongación de las guerras tanto en Ucrania como en Oriente Medio, la volatilidad económica mundial o el creciente riesgo de sufrir ciberataques siguen latentes. Y, a pesar de que España sea una de las grandes economías que más lejos se sitúa del riesgo de recesión, lo cierto es que el dinamismo de la economía ha sido menor en el primer trimestre del año, según datos del Banco de España. Un contexto que incrementa el escrutinio de los diferentes grupos de interés y aumenta la demanda de confianza y transparencia.
Todo ello, sumado a la necesidad de las organizaciones de seguir avanzando en la transformación digital y sostenible, dibuja un renovado reto para las comisiones de auditoría de las organizaciones, encargadas de la vigilancia de la información financiera y no financiera, y de la supervisión de los sistemas de control y gestión de riesgos. Para David Hernanz, socio responsable de Auditoría de KPMG en España, “La eficacia de la labor de la comisión de auditoría va a ser determinante para que inversores y grupos de interés comprendan mejor el desempeño de las compañías y refuercen su confianza en la información corporativa”.
Mayor atención a los desgloses de información
Precisamente para generar esa confianza en los grupos de interés e incrementar la transparencia en la información, los reguladores están haciendo hincapié en la importancia de los desgloses de los estados financieros, con la aplicación de juicios sólidos que deben estar bien razonados para demostrar un desempeño riguroso. Tanto es así que ya de cara al cierre de 2023, la ESMA (Autoridad Europea de Valores y Mercados) señaló la coherencia en todo el informe anual y la necesidad de presentar un informe conectado sobre el impacto de los diferentes riesgos (clima, ciberseguridad, tecnologías emergentes) y cómo responden a ellas como una de sus prioridades para los informes anuales.
Y esta tendencia se intensifica en el próximo ejercicio: una de las primeras ‘tareas’ que destaca la ‘Agenda para la Comisión de Auditoría para 2024’ que, cada año, elabora el Board Leadership Centre y el Audit Committee Institute de KPMG en España, es depositar mayor atención a los desgloses de información corporativa, haciendo una evaluación exhaustiva de los riesgos.
Entre los asuntos que requerirán la especial atención de la comisión de auditoría, destacan: la revelación de información sobre el impacto de las guerras en Ucrania y Oriente Medio, las sanciones gubernamentales, las interrupciones de la cadena de suministro, el aumento del riesgo de ciberseguridad, el cambio climático, la inflación, los tipos de interés, la volatilidad de los mercados y el riesgo de recesión mundial; la preparación de estimaciones prospectivas de flujos de efectivo; el deterioro del valor de los activos no financieros, incluido el fondo de comercio y otros activos intangibles; el impacto de los acontecimientos y las tendencias en la liquidez; la contabilización de los activos financieros (valor razonable); la empresa en funcionamiento; y el uso de métricas distintas de los Principios Contables Generalmente Aceptados (PCGA).
Aclarar las funciones ante el reporting sobre ESG, y supervisar la calidad y fiabilidad de los datos
En esta línea, cobran especial relevancia los riesgos no financieros: “Está creciendo la atención sobre la supervisión de los sistemas de control y gestión de los riesgos no financieros, que es una base clave que contribuye a la confianza en la información corporativa”, asegura David Hernanz. Y es que un área clave de atención y supervisión, no sólo del consejo sino también de la comisión de auditoría, serán los esfuerzos de la dirección por prepararse para el aumento drástico de los requisitos de divulgación de información en cuanto a impactos, riesgos y oportunidades en materia de ESG en los próximos ejercicios.
Las empresas que operan en Europa están evaluando los posibles efectos de las Normas Europeas de Información sobre Sostenibilidad (ESRS, por sus siglas en inglés), emitidas en virtud de la Directiva sobre Información Corporativa en materia de Sostenibilidad (CSRD) en la UE, y de las Normas Internacionales de Información de Sostenibilidad, las NIIF S1 y S2 emitidas por el ISSB (International Sustainability Standars Board). Además del reto del cumplimiento, las empresas también deben asegurarse de que la información desglosada sea coherente y tener en cuenta la posible responsabilidad derivada de una información no tan detallada. Será una tarea de gran envergadura en la que participarán equipos de gestión interfuncionales y que implicará un foco tanto de la comisión de auditoría como de la de Sostenibilidad, centrada en cómo se implementa la estrategia sostenible en la organización.
A este respecto, la CNMV, en diciembre de 2023, abrió consulta pública sobre la revisión de la Guía Técnica de Comisiones de Auditoría, con foco principal en la supervisión de la información y calidad de los aspectos medioambientales, sociales y de gobernanza (ESG, por sus siglas en inglés). Precisamente una de las aportaciones que plantea el regulador del mercado de capitales trata de poner de manifiesto la necesidad de que la comisión de auditoría se coordine con la de sostenibilidad y propone algunos mecanismos de coordinación, como la pertenencia común de algún miembro a ambas comisiones o la posibilidad de mantener una o más reuniones conjuntas en cada ejercicio.
Atención en la ciberseguridad y privacidad de los datos
Por otro lado, a los riesgos no financieros se añade la preocupación por la ciberseguridad, que ha escalado posiciones en las agendas de los líderes empresariales. “Los riesgos asociados a la ciberseguridad y los cambios regulatorios en el ámbito de ESG y fiscalidad internacional requerirán un esfuerzo adicional de las comisiones de auditoría para una eficaz supervisión”, subraya David Hernanz. Y así lo muestran los datos: según la última edición de ‘Perspectivas España 2024’, el 44% de los encuestados asegura que el grado de preparación de su organización frente a un ciberataque es alto, mientras que aquellos que reconocen que es bajo suponen un 12% del total de la muestra. Además, un 33% reconoce haber sufrido un ciberincidente en los últimos 12 meses.
Y es que no solo las amenazas cibernéticas están al alza, sino que estas cada vez son más sofisticadas. Por ello, los equipos directivos y los consejos de administración deben mantenerse alerta y reforzar su resiliencia ante ellos. Porque las vulneraciones o, al menos, los intentos , se producirán, y las organizaciones deben estar preparadas para responder adecuadamente ante un riesgo que puede impactar gravemente la reputación y la confianza de las empresas y que constituye un reto crítico para el equipo directivo.
En este sentido, los reguladores y los inversores exigen transparencia sobre la forma en que las empresas evalúan y gestionan los riesgos de ciberseguridad. Sin ir más lejos, la SEC (la Comisión de Bolsa y Valores de Estados Unidos) exige ahora a las empresas cotizadas que revelen los ‘incidentes de ciberseguridad’ importantes en un plazo de cuatro días laborables. Por todo ello, las ciberamenazas deben considerarse parte del proceso de gestión de riesgos de la empresa, y la comisión de auditoría debe comprobar si se han identificado los activos de información críticos que desea proteger contra ciberataques o si se han establecido procesos de inteligencia que ayuden a comprender las amenazas a las que se exponen los activos de la empresa.
Auditoría interna, aliada de la comisión
En la línea de trabajo conjunto y colaboración se sitúa la necesidad de que la comisión de auditoría trabaje de la mano con el responsable de auditoría interna y el máximo responsable de riesgos. El objetivo es ayudar a identificar los riesgos que presentan mayor amenaza para la reputación, la estrategia y las operaciones de la empresa.
Los controles y procedimientos de divulgación y los controles internos deben ser un área clave de enfoque de la auditoría interna. Esto no significa gestionar el riesgo en sí, sino aportar mayor seguridad en cuanto a la idoneidad de los procesos de gestión de riesgos. Y, en consecuencia, hacerse las preguntas correctas, como pueden ser: ¿Disponen los equipos directivos de los recursos y competencias necesarios para poner en práctica nuevas iniciativas vinculadas con la gestión de los impactos, riesgos y oportunidades en ESG? En este sentido, es conveniente volver a valorar si el plan de auditoría interna está efectivamente basado en los riesgos y si es lo suficientemente flexible como para ajustarse a los cambios en las condiciones de la empresa y del mapa de riesgos.
A ello hay que sumarle otro aspecto relevante de cara al próximo ejercicio 2024 para las comisiones de auditoría: comprobar que la auditoría interna cumple con las nuevas normas globales de Auditoría Interna emitidas recientemente (9 de enero de 2024) por el Instituto de Auditores Internos (IIA, por sus siglas en inglés), para asegurar que esta función realiza su trabajo bajo los máximos estándares profesionales
Clarificar la supervisión de la IA generativa
En el plano tecnológico, también se debe tener en cuenta la irrupción de la inteligencia artificial generativa, que será una prioridad para casi todos los consejos de administración en 2024. Y es que, al igual que los asuntos ESG, la supervisión de la IA generativa puede afectar a múltiples comisiones, y algunas comisiones de auditoría pueden tener responsabilidades de supervisión más amplias para la IA generativa, incluida la supervisión de diversos aspectos de la estructura de gobierno de la empresa para el desarrollo y uso de la tecnología.
En consecuencia, puede ser necesario revisar la asignación de estas responsabilidades de supervisión a la comisión de auditoría a lo largo del año. Y, en definitiva, además de los aspectos más concretos y áreas en las que se debe centrar la actividad de la comisión de auditoría a lo largo de este ejercicio, “es imprescindible que las comisiones de auditoría mantengan una actitud proactiva ante el foco prioritario de los reguladores sobre los desgloses suficientes y de calidad en los estados financieros que permitan su mejor comprensión por parte de los grupos de interés”, concluye David Hernanz.