14. Mesa Redonda Los comités de auditoría: regulación y ...

XVI FÒRUM DE L’AUDITOR PROFESSIONALNueva contabilidad: retos y oportunidades14. Mesa RedondaLos comités de auditoría: regulación yexperienciasCoordinador:Josep SabatéVocal 6º del CCJCCPonentes:Divinia R. SaysonResponsable de Auditoría Interna del Grupo Dogi Internacional Fabrics, S.A.Francisco ArandaSocio de Ernst & Young, S.L., Censor Jurado de CuentasRamon BernatVocal Comité de Auditoría de Chupa Chups, S.A.José Díaz MoralesSocio de Ernst & Young, S.L.333

XVI FÒRUM DE L’AUDITOR PROFESSIONAL 2006Los comités de auditoria: regulación y experienciasEL COMITÉ DE AUDITORÍA ENEL ENTORNO ACTUALINTRODUCCIÓNEl entorno empresarial de los últimos años está salpicado de escándalos que han puesto enduda muchos de los aspectos organizativos tradicionales en las grandes organizaciones. ¿Qué haocurrido para que casos como Enron, Worldcom, Tyco, Ahold, Parmalat, etc. se hayan podidoproducir ocasionando grandes pérdidas a muchos de los accionistas que confiaban en lasmismas?. ¿Han sido todos defectos en el funcionamiento interno?. ¿Han fallado los supervisoresy reguladores externos?. ¿Será posible recuperar la confianza de los inversores en sistemas quehan demostrado importantes lagunas?. ¿Es posible evitar estas situaciones a un coste aceptable?....Las preguntas que se han formulado son innumerables. Muchas de ellas siguen todavía sincontestar. Sin embargo, lo que sí resulta evidente es que la comunidad de los negocios haidentificado un área que requiere de un importante ejercicio de reflexión. El GobiernoCorporativo de estas organizaciones ha demostrado sus debilidades en la identificación tempranade este tipo de situaciones y, consecuentemente, en el momento actual se están replanteando susobjetivos principales y la manera más eficiente de organizarlo.Y dentro del Gobierno Corporativo aparece con fuerza uno de los Comités en quetradicionalmente se organizan los Consejos de Administración en el reparto de sus funciones: elComité de Auditoría. Muchos analistas se han preguntado qué papel fue el que jugaron esosComités de Auditoría en la identificación tardía de problemas que, vistos en perspectiva, pareceque pudieron haber sido anticipados.AUTOR: JOSÉ DÍAZ MORALES335

EL COMITÉ DE AUDITORÍA Y EL ENTORNO GENERAL DE CONTROLEl presidente de la Bolsa en Estados Unidos (SEC), William Donaldson, ya señaló su intenciónfirme de conseguir que se cumplieran los objetivos de la Ley Sarbanes-Oxley. Para ello consideracrítico que los Consejos establezcan una cultura adecuada de control desde el nivel más elevadode las organizaciones. Donaldson cree que el papel del Comité de Auditoría en esta materia eshacer llegar a la organización mensajes claros de un comportamiento ético y transparente. Paraello suscribe las palabras que en su día aplicaba el Presidente Reagan a su administración:“Confía, pero verifica”.Las amenazas continuas de litigios y condenas a consejeros hacen que los Comités de Auditoríaestén adoptando actitudes más firmes en la supervisión de la existencia efectiva de un controlinterno. El riesgo que los Comités de Auditoría deben manejar con precaución es que, enausencia de una definición clara de sus responsabilidades y funciones, alguien interprete que estosaspectos son de su exclusiva competencia. El Comité debe velar por la existencia de códigos deconducta claros que eviten situaciones de conflicto de interés no informadas en tiempo y forma.Igualmente debe facilitar cauces para conocer posibles incumplimientos y hacer ver a laorganización que los incumplimientos identificados son acompañados de actuaciones adecuadaspara subsanarlos.La mejor manera de avanzar en un tema tan complejo como la organización de los Consejosy sus Comités es contar con la opinión de consejeros involucrados en los mismos. Se trata dedisponer de primera mano de las lecciones aprendidas y de las dudas que se plantean en losComités de organizaciones líderes en la actividad empresarial. Así, en septiembre de 2003 se creóel Audit Committee Leadership Network destinado a ser un foro de intercambio permanente deexperiencias de Comités de Auditoría.El Audit Committee Leadership Network está formado por un grupo de presidentes deComités de Auditoría de algunas compañías americanas relevantes comprometidos con elobjetivo de mejorar la eficiencia y eficacia de los comités y mejorar la confianza de los inversoresen los mercados financieros.Es nuestra intención resumir en los próximos apartados, de forma breve, las principalesreflexiones y conclusiones alcanzadas en el curso de las primeras reuniones del Audit CommitteeLeadership Network.A - EL COMITÉ DE AUDITORÍA Y LOS ASPECTOS OPERATIVOS DEL NEGOCIOTradicionalmente ha existido una clara separación entre las actividades operativas y la actuaciónsupervisora de los Consejos. La experiencia ha mostrado que, si bien debe mantenerse esaseparación, es conveniente que periódicamente los Comités de Auditoría intercambien con losdirectivos su planteamiento operativo y la evolución del mismo. No se trata de invadir el aspectooperativo, que debe seguir recayendo en los gestores, pero sí cuestionar ante los mismosinquietudes por la evolución de los mismos. Así, el Audit Committee Leadership Networkidentifica, al menos trece situaciones que justifican una cierta “injerencia” de los Comités deAuditoría en los aspectos operativos. Estas situaciones serían:Amenazas en el área financieraooCambios importantes en estimacionesCambios en políticas contables336

oooooMovimientos atípicos de provisiones y reservasCambios relevantes en las tendencias o en los ratios clave de los estadosfinancierosDiferencias importantes entre el cash flow y los resultadosTasas impositivas anormalmente reducidasTransacciones financieras atípicasAmenazas en conductasooooLitigios, demandas, informes negativos de auditoría interna, etc.Cambios en los principales directivosPresentaciones al Comité realizadas con premura y/o poco contenidoSituaciones atípicasAmenazas organizativasooActitud de poca valoración y apoyo a las funciones internas de controlRiesgos específicos de áreas concretas (por ejemplo: seguridad deproductos, obsolescencia, etc.)Al menos en estas situaciones, el Audit Committee Leadership Network entiende que losComités deben cuestionar a los directivos clave para entender los motivos operativos que existendetrás de las mismas.B - LA IMPLANTACIÓN EFECTIVA DE SISTEMAS DE CONTROL INTERNOEntre los aspectos en que más claramente se exige una mayor involucración de los Comitésde Auditoría está el establecimiento de un sistema efectivo de control interno. En EstadosUnidos, la Ley Sarbanes-Oxley, en su sección 404, exige un sistema de control interno queasegure razonablemente la corrección de toda la información financiera pública de las entidadescotizadas. Como garantías adicionales para este control interno la normativa americana haincidido en la necesidad de que el sistema de control interno esté perfectamente documentado,periódicamente probado por la Dirección y, anualmente sometido a auditoría externa por elauditor de cuentas.Es en este tema del control interno donde los Comités han comprobado que las expectativasde los diferentes integrantes del Gobierno Corporativo esperan que el Comité de Auditoríadesempeñe un papel de liderazgo en este ambicioso proyecto de control.Los Comités de Auditoría americanos han adoptado un doble enfoque, claramentediferenciado, en esta materia. Por un lado se ha primado la contención de los costes (cumplir lanorma de un modo estricto limitando mucho el alcance a las áreas más críticas). Frente a eseenfoque, otros Comités han promovido una acción exhaustiva de control en cada una de las áreasque asegure simultáneamente el cumplimiento de los estándares con un mensaje inequívoco demejorar el control. Los miembros del Audit Committee Leadership Network creen que ambosenfoques pueden ser compatibles y que, el único riesgo puede radicar en una falta de definiciónclara del alcance que genere, a futuro, un gap de expectativas.337

Es indudable que el segundo enfoque requiere una mayor dedicación en tiempo y recursos yque probablemente llegue no sólo al control de aspectos estrictamente financieros sino queincluya otros objetivos de la organización (eficacia y eficiencia y cumplimiento de leyes y normas).Esta aproximación supone un salto cualitativo muy importante donde simultáneamente se abordael control interno financiero junto a la gestión global de los riesgos organizativos (ERM-Enterprise Risk Management, de acuerdo con la terminología clásica). Una vez más cobra unaespecial relevancia la definición precisa del alcance y responsabilidad. ERM es unaresponsabilidad global de la organización. El Comité de Auditoría puede asumir el papel dedinamizador en su implantación pero debe definir con claridad la responsabilidad de los gestoresde la organización en cada una de sus áreas.Probablemente el papel más relevante de los Comités de Auditoría en relación con lossistemas de control interno venga más adelante; una vez pasada la “fiebre de la primeraimplantación”. Ahora mismo en Estados Unidos no hay duda de la necesidad de preparar lossistemas y documentarlos. Es una obligación ineludible. El gran reto y la gran tarea para losComités será mantener los sistemas vivos y adaptados a los cambios que se produzcan. Deberáevitar la caída en la rutina o el abandono de los sistemas de control definidos. No cabe duda quela rotación dentro de los propios Comités puede contribuir a ayudar en este sentido.En cuanto a la polémica que se ha venido suscitando sobre la conveniencia o no deinvolucrar a firmas distintas del auditor externo en la preparación de los sistemas de controlinterno, el consenso general es que el Comité deberá valorar cada situación de formaindependiente para tomar una decisión. Si el Comité de Auditoría cree que la independencia delauditor externo no queda afectada por asesorar en este proceso podrá aprobar que el auditorexterno participe en el mismo. Por supuesto, deberá mantenerse el principio básico de que elauditor no deberá, en ningún supuesto y bajo ninguna situación, auditar su propio trabajo.C - EL COMITÉ DE AUDITORÍA Y EL AUDITOR EXTERNOUna de las cuestiones planteadas de forma recurrente es cómo puede el Comité de Auditoríareforzar los vínculos con el Auditor externo y fortalecerlos en aras del beneficio común.La respuesta a esta cuestión pasa por una obviedad: en primer lugar debe existir unacomunicación libre y fluida entre ambas partes. En el pasado el auditor externo informaba, demanera formal al Consejo y a las Juntas de Accionistas. Los cambios que se han producido estánprovocando que esa relación formal deba transformarse, necesariamente, en una relación efectiva.El “cliente”del auditor externo es el Consejo y a este debe informar de todos los aspectosrelevantes de su trabajo. Afortunadamente, este cambio si se está produciendo de forma paulatinay estamos observando una interacción cada vez mayor de los auditores externos con losConsejos. Y dentro de los Consejos son los Comités de Auditoría quienes están asumiendonormalmente este papel. Así, entre las actuaciones en que el Comité de Auditoría y el auditorexterno interactúan cabe mencionar:La selección, nombramiento y o revocación de la firma de auditoría por parte delComité de Auditoría.La revisión del trabajo realizado y de las conclusiones alcanzadas en las diferentesfases del trabajo.Las aclaraciones sobre los cambios importantes en principios, criterios y/oestimaciones contables. La evaluación del impacto que supondrían alternativasdistintas a las aplicadas.338

La autorización previa de los trabajos del auditor, distintos de la auditoría de cuentas,para asegurar que en todo momento la firma auditora mantiene su independencia.La valoración final del trabajo realizado por el auditor, la calidad del equipo asignadoal trabajo y la confirmación expresa del auditor de realizar su trabajo de acuerdo conlos estándares de calidad exigibles.Por último, es importante la posibilidad del Comité de Auditoría de mantener algunareunión con el Auditor externo sin presencia de otros directivos o gestores de laorganización.Uno de los riesgos que se han generado en la nueva situación ha sido el papel de algunos Comitésde Auditoría que han limitado su interacción con el auditor externo a su involucración en elproceso de negociación de la renovación/nombramiento y en los honorarios. Esta involucraciónes positiva, puede producir un beneficio cierto a la organización, pero debe acompañarseposteriormente de un seguimiento efectivo de la actuación del auditor. En caso contrario, unamejora en los honorarios puede derivar en una pérdida en la calidad del servicio y, por tanto, enun escaso valor para las compañías. Para evitar este problema en general los Comités deAuditoría están apostando por una mayor transparencia del proceso de ofertas y una definiciónclara de expectativas al auditor.Por último, y dentro del apartado de relaciones con el auditor externo, no hay una postura claraen cuanto a la conveniencia o no de una rotación frecuente. Con las limitaciones actuales decontratación de servicios al auditor externo, muchas compañías han reestructurado sus acuerdoscon proveedores alternativos de servicios basándose en quien es su auditor externo. Así, uncambio en el auditor externo tiene efectos importantes no sólo en la auditoría sino en otrosservicios profesionales. De nuevo se espera que los Comités de Auditoría proporcionen unosprincipios claros en cuanto a como acometer estas situaciones.D - EL COMITÉ DE AUDITORÍA Y EL AUDITOR INTERNOEl nuevo entorno de las organizaciones ha vuelto a poner de manifiesto las oportunidadesque una buena auditoría interna puede proporcionar a cualquier organización. La progresivaexigencia y responsabilidad para los Consejos de información sobre los riesgos principales de laorganización hacen preciso que desde el Consejo se disponga de instrumentos efectivos paradisponer de esta información de forma actualizada.De nuevo los Consejos se están apoyando en los Comités de Auditoría como el vehículo másadecuado para garantizar la información más completa posible sobre los riesgos. Así, una vezredefinidas las relaciones del Consejo con el Auditor Externo, parece oportuno que laorganización valore igualmente la relación con el auditor interno.Entre las interacciones que en el nuevo entorno parece adecuado considerar entre el Comitéde Auditoría y Auditoría Interna cabe citar:El nombramiento o revocación del Director de la función (o si se estima adecuado lafirma con la que subcontratar esta función).La aprobación de los Planes de Trabajo y la supervisión periódica de sucumplimiento.339

La recepción de los informes de Auditoría Interna con la identificación de losaspectos más relevantes que se pongan de manifiesto.El encargo de trabajos específicos dentro del ámbito de actuación de los Comités deAuditoría.La coordinación efectiva del los trabajos entre el Auditor Interno y el AuditorExterno.Reuniones informales de seguimiento de la función.El Comité de Auditoría deberá buscar un equilibrio entre los tipos de trabajo que lleva a cabo laAuditoría Interna (auditorías operativas, contables-financieras, de cumplimiento, etc.). Igualmentedeberá asegurar al Auditor Interno un marco de relaciones (estatuto, dependencias jerárquicofuncionales,etc.) que le aseguren un desempeño correcto de su función.Entre los miembros del Audit Committee Leadership Network se planteó el tema de laconveniencia de una dependencia jerárquica al más alto nivel (incluso del propio Consejo oComité de Auditoría) frente a la realidad, innegable, de una frecuente dependencia funcional deáreas operativas (principalmente Finanzas). El Comité de Auditoría debe asegurar que el factor dedependencia no altere la capacidad de desarrollar auditorías internas de la mayor profesionalidaden cada una de las áreas organizativas. Periódicamente, el Comité de Auditoría o su Presidentedebiera confirmar con la Dirección de Auditoría Interna cualquier preocupación en este sentido.E - LOS ESTATUTOS DE LOS COMITÉS DE AUDITORÍAComo resultado de la primera reunión del Audit Committee Leadership Network y larevisión de las nuevas responsabilidades previstas para los Comités de Auditoría se planteó laconveniencia de disponer de un análisis comparativo de los estatutos de diversos Comités deAuditoría cotizadas. Así, se seleccionaron las siguientes empresas para este análisis: AmericanExpress, Caterpillar, Coca-Cola, Dow Chemical, Federal Express, Newell Rubbermaid, Pfizer,Texas Instruments y Viacom. Los aspectos más relevantes que se identificaron fueron:Predominan los estatutos que establecen reglas específicas frente a principios másgenerales.10 asuntos/capítulos suelen estar incluidos de forma recurrente: Objetivos,Autoridad y Responsabilidad, Miembros del Comité, Información financiera ydetalles proporcionados, Auditor Externo, Auditor Interno, Controles Internos,Cumplimiento y Análisis de Riesgos, Reuniones y Organización del Comité.La regulación está obligando a incluir nuevos apartados como: política deidentificación de fraudes e incumplimientos para su análisis e investigación posterior(Whistleblowing policies), códigos de conducta, pre-aprobación de servicios delauditor externo y evaluación y gestión de riesgos.Se incorporan nuevas prácticas relativas a aspectos como: limitaciones al número decomités de auditoría a los que se puede pertenecer, a los sistemas de interacción conel auditor externo, a la revisión de la información pública emitida por los ConsejerosDelegados y los Directores Financieros, etc.En los siguientes apartados resumimos algunos de los aspectos anteriores.340

F - LOS ESTATUTOS BASADOS EN REGLAS FRENTE A PRINCIPIOS GENERALESTal y como se mencionó, la mayoría de los estatutos examinados estaban basados en reglasespecíficas frente a la definición de principios generales. Estos estatutos (públicos) secomplementan internamente con listas de tareas específicas. Esta mayoría de estatutos de carácterespecífico chocan con las recomendaciones generales de asesorías jurídicas que vislumbran unriesgo mayor para los consejeros como resultado de esta situación. La mayor concreción podríaderivar en una mayor exigencia de responsabilidades. Así, cada Comité de Auditoría debierarevisar el modelo de estatuto que finalmente adopta y valorar las responsabilidades que, en sucaso, pudieran derivarse del mismo. Por otra parte, recientemente la SEC aprobó los estándaresde la Bolsa de Nueva York para sociedades cotizadas que limitan la capacidad de los comités parahacer sus estatutos muy genéricos. Incluso una relación de responsabilidades y comunicacionesresultará ahora en un estatuto muy detallado.G - EL ESTATUTO DEL COMITÉ DE AUDITORÍA: APARTADOS HABITUALESComo indicamos anteriormente, hay 10 apartados que se repiten de forma frecuente en losestatutos examinados de Comités de Auditoría. Estos son:1. Objetivos del ComitéLos generales incluyen: supervisión de la integridad de los estados financieros, de lacalidad del proceso de generación de información financiera y de los trabajos realizadospor los auditores (externos e internos). De forma casi general se incluye también lasupervisión del cumplimiento de la organización con los requerimientos legales yregulatorios.2. Autoridad y responsabilidadesEl Comité informa periódicamente al Consejo de sus actividades y prepara un resumende las mismas. En aquellos casos en que precise apoyo externo tiene capacidad decontratación.3. Miembros del ComitéTodos serán consejeros que cumplan las condiciones de independencia fijadas por laSEC y/o los estándares de la bolsa donde se cotice. Se suele fijar un mínimo de tresmiembros.4. Estados financieros y detalles sobre la información financiera públicaToda la información pública de carácter financiero (emitida para la SEC, para analistasy/o prensa) es supervisada con anterioridad a su emisión. En los aspectos que considereprecisos obtendrá explicaciones de la dirección y/o de los auditores.341

5. Auditoría ExternaEl Comité nombra y cesa al auditor externo y supervisa de forma continua elmantenimiento por el mismo de las condiciones de independencia que permiten sunombramiento y re-elección. En algunos estatutos se prevé la confirmación anualexpresa, por parte del auditor externo, de aspectos como: aplicación de sus controlesinternos de calidad, incidencias en sus controles internos, desglose de todas las relacionesprofesionales existentes con la organización, etc.6. Auditoría InternaEl Comité revisa y aprueba el Plan de trabajo y los alcances previstos directamente con eldirector de Auditoría Interna.7. Controles InternosEl Comité revisa y valora la corrección del sistema de control interno existente (esteaspecto como ya se mencionó con anterioridad es un área crítica en Estados Unidos deacuerdo con las exigencias de la sección 404 de la Ley Sarbanes-Oxley).8. Cumplimiento/Análisis de riesgosEl Comité debe revisar periódicamente las principales exposiciones a riesgo a que estáexpuesta la organización. La tipología de riesgos a considerar debe incluir todos losfinancieros, legales y regulatorios y en su análisis e identificación se deben involucrar, enla medida en que se estime preciso: directivos, asesores jurídicos, asesores externos yauditores internos o externos.9. ReunionesEn general se establece un número mínimo de reuniones que varía entre cuatro y ocho.También se prevé la realización de reuniones independientes en las que revisar asuntosespecíficos con los auditores o con directivos de la organización.10. OrganizaciónDe forma habitual se suele establecer algún tipo de limitaciones a las responsabilidadesdel Comité señalando que no es responsabilidad del Comité la planificación o realizaciónde auditorías o asegurar que los estados financieros son correctos de acuerdo condeterminados principios contables. Se trata de matizar el papel del Comité comodinamizador de este tipo de acciones frente a la responsabilidad final que no lecorresponde.H - LOS ESTATUTOS DEL COMITÉ DE AUDITORÍA: NUEVOS APARTADOSComo señalábamos anteriormente, además de los apartados habituales incluidos en losestatutos de los Comités, el nuevo entorno regulatorio ha hecho frecuentes otros apartadoscomo:1. Políticas de identificación de incumplimientos en las áreas de responsabilidad delComité (auditoría, contabilidad, controles internos, estados financieros, riesgos, etc.):cauces para que esta información llegue al Comité y procedimientos que aseguren suanonimato, análisis e investigación detallada.342

2. Procedimientos de valoración del cumplimiento de los códigos de ética o conducta.3. Aprobación previa de cualquier servicio del auditor externo distinto de la auditoríade cuentas.4. Políticas de contratación de empleados o ex-empleados del auditor externo.5. Definición más específica sobre la supervisión del proceso de generación de lainformación financiera pública:a. Principios contables críticos e información fuera de balance.b. Tratamientos contables alternativos discutidos con la Dirección.c. Análisis de las comunicaciones entre el auditor externo y la Dirección.d. Aspectos contables que requieren una aplicación importante de juicioprofesional.e. Sistemas de valoración y gestión de riesgos. En este punto no se atribuye alComité la responsabilidad final sobre las decisiones adoptadas pero si suconocimiento y seguimiento periódico.I - ALGUNAS PRÁCTICAS QUE SE INCORPORAN EN LOS COMITÉS DEAUDITORÍADe la revisión de los estatutos se pusieron de manifiesto algunas prácticas diferentes quepueden ser consideradas de interés para algunos Comités. Entre estas prácticas figuraban:1. Limitación al número de Comités de auditoría a los que puede pertenecer un mismoconsejero. Se aplica con frecuencia el límite de tres Comités.2. Ampliación de las responsabilidades relativas a asegurar la independencia del auditorexterno: requerir al auditor que informe de cualquier tema contable o de auditoríaque haya tenido que consultar con expertos nacionales de su organización; exigirleuna evaluación anual de los miembros más experimentados del equipo auditor;asegurarse de que la rotación del socio auditor se realice de acuerdo con las normasaplicables.3. Revisión de las manifestaciones que el Consejero Delegado y el Director Financierodeben trasladar al Comité de Auditoría relativas a cualquier deficiencia identificadaen los sistemas de control interno y cualquier fraude que implique a directivos quetengan alguna relación directa con el sistema de control interno.J - EL COMITÉ DE AUDITORÍA Y LA GESTIÓN DE RIESGOSLa tercera de las reuniones del Audit Committee Leadership Network celebrada en diciembrede 2003 se dedicó integramente a un tema que está resultando conflictivo en la definición de lasresponsabilidades y tareas de los Comités de Auditoría en el nuevo entorno regulatorio.343

Una serie de factores hicieron conveniente abordar este tema: la complejidad cada vez mayorde las operaciones globales, los fallos en los sistemas de gestión del riesgo que han dado origen aimportantes problemas y la presión regulatoria en este sentido.El gran problema en la gestión del riesgo reside habitualmente en que el mismo se controlaen diversos nichos de la organización (Informática, Legal, Medio Ambiente, Financiero, etc.)faltando en ocasiones una visión holística del mismo. Es en esa visión global del riesgo donde seespera que los Comités de Auditoría puedan adoptar una posición de liderazgo para exigir a lasorganizaciones una reflexión de tipo global. En general, de los Comités de Auditoría se espera elestablecimiento de una serie de principios y procedimientos que permitan comprender cómo laorganización está gestionando sus riesgos.Los Comités de Auditoría deben plantearse tres temas clave en la gestión del riesgo:1. Cómo se identifican los riesgos.2. Cómo se establecen prioridades entre los distintos riesgos.3. Cómo se gestionan los riesgos.1. Cómo se identifican los riesgosSi adoptamos la reciente definición (julio 2003) del Committee of SponsoringOrganizations de la Treadway Comisión (COSO) del concepto de riesgo: ...”la posibilidad deque se materialice un suceso que afecte de forma adversa al cumplimiento de los objetivos” nos encontramoscon la primera dificultad para los Comités en cuanto a los orígenes que puede tener el riesgo.Entre los miembros del Audit Committee Leadership Network se citan, entre otros: leyesantitrust, cumplimiento de obligaciones contractuales, volatilidad de las divisas, derivados,desastres naturales, aspectos medioambientales, operaciones globales, riesgos de seguridad ysalud, seguridad de la información, propiedad intelectual, joint ventures, tiempo de acceso alos mercados y fiabilidad de los servicios subcontratados.El problema y la responsabilidad para los Comités es aprobar modelos holísticos deanálisis que faciliten la identificación de riesgos potenciales. Para dar a la organizaciónmensajes de la importancia del tema deben empezar cuestionando a los directivos preguntascomo:¿Cómo nos aseguramos de tener una visión comprensiva de todos losriesgos de nuestra organización?¿Aplicamos internamente algún esquema homogéneo en la identificación ycomunicaciones sobre riesgos?¿Cómo nos aseguramos a priori de que nuestra aproximación paraidentificar los riesgos es correcta?2. Priorización de los riesgosUna vez identificados los riesgos debe existir algún procedimiento para clasificar losmismos en función de la prioridad que exijan. La mayoría de los sistemas de gestión de riesgotrabajan en la elaboración de mapas de riesgos, globales o por actividades, que permitenordenar los riesgos en función de variables como: la importancia del riesgo, si se materializa,en términos cuantitativos o cualitativos, su probabilidad y su frecuencia.344

La priorización dependerá siempre de los objetivos de cada organización y de lossistemas que finalmente se adopten para valorar impacto, frecuencia y probabilidad. Laresponsabilidad sobre estas definiciones corresponderá a la dirección de la organización. ElComité de Auditoría deberá asegurarse de que esta definición se produce y, en segundo lugary más importante, en la aplicación con rigor de los procedimientos definidos y en elconocimiento de las decisiones relativas a riesgos importantes así como a las excepciones quese autoricen en el cumplimiento de los procedimientos aprobados.Así, el Comité de Auditoría debería contrastar con la Dirección las siguientes cuestiones:¿Qué atributos se están considerando para priorizar los riesgos?¿Qué confianza podemos tener en las presentaciones de la dirección sobre elsistema global de gestión de los riesgos?¿Qué confianza podemos tener desde el Comité de Auditoría de recibirinformación suficiente sobre todos los riesgos importantes? ¿En quéfactores deberíamos basar esa confianza?3. Gestionando el RiesgoPor último, el Comité de Auditoría debe cuestionarse las decisiones adoptadas desde laDirección para gestionar el riesgo: ¿quién gestiona cada riesgo?; ¿quién es el responsable decada proceso crítico?; ¿cómo se mide la gestión adecuada de los riesgos?; ¿cómo se equilibrala asunción del riesgo con la creación de valor para el accionista?.Las organizaciones más avanzadas en gestión global del riesgo tienen todavía diferentesenfoques y respuestas a preguntas cómo las anteriores. Frente a modelos integrales (ERM) seplantean dudas sobre la aplicación efectiva. Frente a los modelos parciales surgen inquietudessobre la existencia de “nichos”bien gestionados que puedan esconder problemas globales.Los Comités de Auditoría no están en disposición de resolver con facilidad estas dudas. Lasexpectativas en este tema para los Comités están centradas en liderar un proceso de reflexióninterno que permita definir con claridad los procedimientos que la organización va a aplicar.La simple cuestión de quien debe asumir el papel de dirigir la gestión de los riesgos admitemúltiples respuestas entre los miembros del Audit Committee Leadership Network: elConsejero Delegado, el CRO (Chief Risk Officer), el Auditor Interno, etc.No pretendemos en este breve artículo resolver estas cuestiones que admiten respuestasdistintas en función de la realidad de cada organización. Lo que si es fundamental esidentificar al Comité de Auditoría como el mejor vehículo para canalizar las inquietudes ycuestiones en este asunto. Estamos una vez más ante un área donde necesariamente elComité de Auditoría debe “traspasar”la línea operativa y cuestionar a los directivos de suorganización preguntas como:¿Cómo se gestionan los riesgos en los diferentes “silos”organizativos: áreasgeográficas, líneas de actividad, procesos, etc.?¿Disponemos de algún comité específico de gestión de riesgos?. Si es así:¿qué unidades de negocio y funciones están representadas en dicho comité?¿Existe algún responsable global de la gestión del riesgo de la organización?.Si no lo hay, ¿por qué no se considera necesario?345

COMITÉS DE AUDITORÍA: LA EXPERIENCIA Y LA NORMATIVA ESPAÑOLA1997 fue el año en el que nacen algunas de las iniciativas actuales para empezar a analizar,estructurar y mejorar el Gobierno de las Empresas en su máximo órgano de representación comoes el Consejo de Administración, todo ello en un entorno cada vez mas globalizado y en el queciertas actitudes y hechos ponían de manifiesto carencias sensibles que provocaban falta deconfianza en los mercados y en la información que las sociedades presentaban.En 1998 España no ajena al fenómeno de emisiones de “Informes al uso en esta materia” emiteel conocido Informe Olivencia.Este informe además de contener un detalle explicativo, concretó las buenas prácticas degobierno corporativo en 23 recomendaciones precisas que, en un tono voluntarista aconsejaban,entre otros aspectos, la constitución de una comisión delegada de control en el seno del Consejode Administración, compuesta exclusivamente por consejeros externos, en materia deinformación y control contable (Auditoría).Estas recomendaciones tenían como se ha indicado carácter voluntario, pero se pedía a lasempresas que informaran al mercado de su aceptación o rechazo. La esperanza era, como dice D.Juan Fernández-Armesto, que “el mercado recompensaría el cumplimiento y sancionaría elincumplimiento”. No obstante la aceptación real no fue la esperada, básicamente porque no hubouna norma positiva que obligara a las sociedades a informar al mercado.Con esta situación los organismos públicos, haciéndose eco de la necesidad de una reforma queen línea con la tendencia internacional regulara la creación, composición y funciones de loscomités de auditoría, promulgan la denominada Ley Financiera, Ley 44/2002 de 22 deNoviembre de Medidas de Reforma del Sistema Financiero que, en su artículo 47, incluye comoobligatoria la figura del Comité de Auditoría para las sociedades emisoras de valores cuyasacciones u obligaciones estén admitidas a negociación en mercados secundarios oficiales devalores.Esta norma legal tiene carácter de contenido mínimo, estableciendo las líneas principales cuyodesarrollo posterior ha ser competencia estatuaria en las diferentes sociedades obligadas a sucreación. En efecto, el citado artículo establece:“Las sociedades emisoras de valores cuyas acciones u obligaciones estén admitidas anegociación en mercados secundarios oficiales de valores deberán tener un Comité deAuditoría, el cual deberá tener mayoría de consejeros no ejecutivos nombrados por elConsejo de Administración, debiendo elegirse su Presidente entre dichos consejeros noejecutivos, el cual deberá ser sustituido cada cuatro años, pudiendo ser reelegido una veztranscurrido un plazo de un año desde su cese. El número de miembros, las competencias ylas normas de funcionamiento de dicho Comité se fijarán estatutariamente, y deberáfavorecer la independencia en su funcionamiento. Entre sus competencias estarán, comomínimo, las siguientes:1. Informar en la Junta General de Accionistas sobre las cuestiones que en ella planteen losaccionistas en materias de su competencia.2. Propuesta al Consejo de Administración para su sometimiento a la Junta General deAccionistas del nombramiento de los auditores de cuentas externos a que se refiere elartículo 204 del texto refundido de la Ley de Sociedades Anónimas, aprobado por RealDecreto Legislativo 1564/1989, de 22 de diciembre.3. Supervisión de los servicios de auditoría interna en el caso de que exista dicho órganodentro de la organización empresarial.346

4. Conocimiento del proceso de información financiera y de los sistemas de control interno dela sociedad.5. Relaciones con los auditores externos para recibir información sobre aquellas cuestionesque puedan poner en riesgo la independencia de éstos y cualesquiera otras relacionadascon el proceso de desarrollo de la auditoría de cuentas, así como aquéllas otrascomunicaciones previstas en la legislación de auditoría de cuentas y en las normas técnicasde auditoría.”El 8 de enero de 2003 el Informe Aldama, como consecuencia del escaso éxito de la implantaciónefectiva de las recomendaciones del Informe Olivencia, como indica D. Juan Fernández-Armesto, propone una norma que obligue a las empresas a publicar un “informe anual degobierno corporativo” con un contenido prefijado legalmente para que la información seahomogénea y el mercado la pueda analizar con facilidad. Así mismo esta información debería sercontinuamente actualizada a través de la página web de la sociedad. Como dice el propio informe,se trataba de introducir en nuestra práctica el principio anglosajón, y fundamentalmente inglés de“cumplir o explicar” que combina el respeto a las normas con la libertad para organizarse yadaptarse a sus propias y únicas circunstancias.En este sentido, el Informe Aldama emite la siguiente recomendación sobre la creación yfunciones del Comité de Auditoría:“ 5. 2.- La Comisión de Auditoría y Control.La Ley de Medidas de Reforma del Sistema Financiero establece la obligatoriedad de laexistencia en las sociedades cotizadas de una Comisión de Auditoría (artículo 47 de la Ley44/2002, de 22 de noviembre).Esta Comisión considera que corresponde al Consejo de Administración, en el ejercicio de sufunción de autorregulación, la designación de los miembros integrantes de la Comisión deAuditoría y Control, para lo que habrá de tener en cuenta sus conocimientos y experienciaprofesional. Dichos miembros deberían ser todos ellos externos, manteniéndose en laComisión una proporción entre dominicales e independientes similar a la del propio Consejo.La presidencia de la Comisión de Auditoría debería recaer en un consejero independiente.La Comisión de Auditoría debería tener, dentro del reglamento del Consejo, su propioReglamento de funcionamiento, elaborado y aprobado por el Consejo de Administración. ElReglamento debería contemplar además las siguientes cuestiones:- Informar las Cuentas Anuales, así como los estados financieros semestrales ytrimestrales, que deban remitirse a los órganos reguladores o de supervisión delos mercados, haciendo mención a los sistemas internos de control, al control desu seguimiento y cumplimiento a través de la auditoría interna, así como, cuandoproceda, a los criterios contables aplicados.- La Comisión deberá también informar al Consejo de cualquier cambio de criteriocontable y de los riesgos del balance y de fuera del mismo.- El acceso pleno a la auditoría interna e informar durante el proceso de selección,designación, renovación y remoción de su director, así como participar en lafijación de la remuneración de éste, debiendo informar acerca del presupuesto deeste departamento.- Los poderes para informar y proponer acerca de la selección, designación,renovación y remoción del auditor externo, así como las condiciones para sucontratación. Estas facultades no podrán ser delegados a la gerencia, ni a ningúnotro órgano de la sociedad.- La elaboración de un informe anual sobre las actividades de la Comisión deAuditoría y Control que deberá ser incluido en el informe de gestión.No podrán ser miembros de esta Comisión de Auditoría y Control los consejeros ejecutivos, perosí deberán acudir a informar en la medida que la propia Comisión así lo acuerde.”347

Algunas de las recomendaciones del Informe Aldama se transformaron posteriormente enobligaciones legales mediante la Ley 26/2003, de 17 de julio, conocida como “Ley Aldama o deTransparencia”, por la que se modifican la Ley 24/1988, de 28 de julio, del Mercado de Valores, yel texto refundido de la Ley de Sociedades Anónimas, aprobado por el Real Decreto Legislativo1564/1989, de 22 de diciembre, con el fin de reforzar la transparencia de las sociedades anónimascotizadas. Entre otros aspectos, La Ley Aldama establece la obligatoriedad de emitir un informeanual de gobierno corporativo en el que entre otras cosas se deberá de informar de la: “Estructurade la administración de la sociedad, con información relativa a la composición, reglas de organización yfuncionamiento del consejo de administración y de sus comisiones”. En enero de 2004 se ha producido unamayor concreción del contenido del informe anual de gobierno corporativo mediante lapublicación de la Orden Ministerial 3722/2003, de 26 de diciembre.Es conocido como las sociedades españolas se han ido adaptando, en mayor o menor medida, aestos requerimientos de transparencia y emiten sus informes anuales y formando parte de losmismos se encuentran referencias específicas a la composición, funciones y actuaciones de losrespectivos Comités de Auditoría.SÍNTESIS: FUNCIONES PRINCIPALES Y COMITÉS DE AUDITORÍA EFICIENTESLos resultados de las reuniones mantenidas por el Audit Committee Leadership Network sonun claro reflejo de los avances que se están produciendo en los nuevos Comités de Auditoría y almismo tiempo muestran la cantidad de temas que están pendientes de resolver.En la realidad española, y tal como se refleja en el apartado correspondiente, hemoscomprobado como se han ido adoptando progresivamente muchas de las prácticasinternacionales referidas a los Comités de Auditoría, bien a través de recomendacionesvoluntarias o bien a través de normas legales. Podríamos valorar diferentes “velocidades” oniveles de exigencia pero, en general, se observa un reconocimiento similar al de otros países a laimportancia del Comité de Auditoría en el nuevo y exigente entorno del gobierno corporativo.A continuación pretendemos resumir, de forma muy breve, las principales áreas de trabajo yaspectos organizativos que, como mínimo, deben considerar los Comités de Auditoría en elmomento actual en el que, citando textualmente, “... Los Comités de Auditoría se encuentran bajo losfocos y la observación permanente de todos los involucrados en el gobierno corporativo de las sociedades...”.A - FUNCIONES PRINCIPALES DEL COMITÉ DE AUDITORÍA1. Informar periódicamente al Consejo sobre los asuntos de su competencia.2. Supervisar toda la información financiera de carácter público que se facilite almercado.3. Coordinar las actuaciones del auditor externo respetando todas las condicionesprecisas para garantizar su independencia.4. Supervisar y coordinar las actuaciones del auditor interno, de forma coordinada conel externo, para garantizar un sistema de control interno eficiente.5. Mantener reuniones periódicas con los directivos de la organización para identificarsituaciones que puedan requerir actuaciones desde el Comité y/o el propio Consejo.348

6. Proveerse de unas normas de funcionamiento, por escrito y aprobadas por elConsejo, que delimiten sus objetivos principales y sus procedimientos de actuación.B - ALGUNOS EJEMPLOS DE BUENAS PRÁCTICAS PARA LOS COMITÉS DEAUDITORÍAComo complemento a algunas prácticas que ya se han ido plasmando a lo largo deldocumento incluimos una serie de prácticas que, respetando la situación específica decada organización, pueden contribuir a mejorar la eficiencia global de los Comités deAuditoría:Seleccionar un número de miembros entre 3 y 6 que tengan formación y experienciadiversa y complementaria. Alguno de los miembros, preferiblemente el presidente,deberá tener amplia experiencia económico-financiera.Establecer las responsabilidades del Comité por escrito y revisar anualmente que lasmismas sean adecuadas.Disponer de procedimientos que aseguren que los miembros del Comité mantienenlas condiciones personales y de independencia mientras pertenecen al mismo.Mantener reuniones periódicas con auditores y directivos para transmitir lasexpectativas del Comité. Asegurar la posibilidad de mantener reunionesindependientes con las diferentes partes.El presidente priorizará los temas a tratar para dedicar tiempo suficiente a los másimportantes.La duración de las reuniones se establecerá en función del contenido e importanciade los temas a tratar.El presidente mantendrá reuniones informales con los directivos y auditores parapoder anticipar a los miembros restantes del Comité la agenda y temas a revisar.Establecer un plan definido de sucesión para el presidente contemplando el tema dela experiencia económico-financiera.Evaluar periódicamente el cumplimiento de los objetivos del Comité en su conjuntoy de cada uno de los miembros integrantes. Valorar si la dedicación de tiempo essuficiente en función de los temas existentes y/o si se requieren acciones correctivas.Establecer reuniones de auto-evaluación y/o evaluaciones externas de las actividadesdel Comité.Establecer una planificación anual que recoja las reuniones previstas y los temas quese deben abordar (al margen de convocatorias adicionales por temas específicos).Pedir a directivos de áreas clave como Informática, Asesoría Jurídica, Impuestos,Finanzas, Gestión de riesgos, etc., que realicen presentaciones periódicas quepermitan mantener actualizado al Comité sobre las diferentes situaciones que afrontala organización.349

Preparar actas resumen de las reuniones y enviar borradores a los miembros para sulectura y validación.Enviar convocatorias previas de las reuniones con indicación de los temas a tratar yla información que sea conveniente examinar a priori.Diseñar un plan de formación y actualización para los miembros del Comité deAuditoría que incluya materias como: contabilidad, auditoría, operaciones y reportingfinanciero, novedades y tendencias de los negocios.Establecer mecanismos que garanticen a los empleados la posibilidad de informar alComité sobre incumplimientos o ilegalidades en las áreas de su responsabilidad.Estos mecanismos deben garantizar la protección de los empleados y la máximadiligencia en el análisis e investigación de las materias identificadas.Establecer una cultura de respeto por el control desde los niveles más altos de laorganización. Preparar y distribuir códigos de ética que recojan los compromisos dela organización con aspectos relativos a integridad, cumplimiento legal y calidad de lainformación facilitada a los mercados.Considerar la existencia de factores o alertas indicadoras de situaciones de riesgo defraude en la información financiera generada.Entender claramente los procedimientos que permiten identificar las transaccionescon partes vinculadas.Involucrar activamente al Comité en las tareas de los auditores internos y externos:alcance de los trabajos, calidad de los mismos, seguimiento de las incidencias, etc.,proporcionando, al menos anualmente, la oportunidad al auditor externo e internode presentar las conclusiones principales de sus trabajos al Consejo en pleno.350