21 y 22, Noviembre, 2013. “SIN AUDITORIA INTERNA…… NO HAY BUEN GOBIERNO CORPORATIVO” Juan Ignacio Ruiz Zorrilla Director del Programa de Auditoria Interna de AHCIET . Agenda A- EVOLUCIÓN DEL GOBIERNO CORPORATIVO B- EVOLUCIÓN DE LA AUDITORIA INTERNA C- 10 RECOMENDACIONES A LA DIRECCIÓN, PARA APROVECHAR LA FUNCIÓN DE AUDITORIA INTERNA. A- EVOLUCIÓN DEL GOBIERNO CORPORATIVO Leyes y Normas Recomendaciones Marco conceptual A- GOBIERNO CORPORATIVO Recomendaciones Obligaciones Principios Gob. Corp. OCDE Informe Cadbury Informe Greenbury Smith 1776 1995 Basilea Solvencia MIPP COSO MI COSO ERM 1998 1992 Institute of Internal Auditors Informe Turnbull Adam Revisión Principios Gobierno Corp. OCDE Comité de Basilea de supervisión bancaria 2002 1999 2013 Informe Winter 2004 2001 2006 Ley 44 Financiera COSO MI Informe Hampel The Combined Code Ley 8292 Control Interno Comisión Olivencia Ley Sarbanes - Oxley Comisión Aldama 4 Código Unificado Buen Gobierno CNMV A- GOBIERNO CORPORATIVO- DEFINICIÓN La Organización para la Cooperación y el Desarrollo Económicos (OCDE) emite la siguiente definición en el documento de “Principles of Corporate Governance”: “El Gobierno Corporativo es el sistema a través del cual, las corporaciones empresariales son dirigidas y controladas.” “El Gobierno Corporativo es un elemento clave en la mejora del crecimiento y la eficiencia de la economía, así como, en el incremento de la confianza de los inversores. El Gobierno Corporativo implica un sistema de relaciones entre la dirección de una compañía, su consejo, sus accionistas y demás personas con intereses en la sociedad. El Gobierno Corporativo también proporciona la estructura a través de la cual se fijan los objetivos, y los medios para lograr que estos objetivos se cumplan y de supervisar su funcionamiento” (OCDE, 2004). 5 01 6 Principios de Buen Gobierno: AHCIET 01 Principios de Buen Gobierno: AHCIET 7 1. Que el Consejo / Directorio, asuma expresamente como núcleo de su misión la función general de supervisión y control y ejerza con carácter indelegable las responsabilidades que comporta. 2. Que se integre en el Consejo / Directorio un número razonable de consejeros independientes, cuyo perfil responda a personas de prestigio profesional desvinculadas del equipo ejecutivo y de los accionistas significativos. 3. Que en la composición del Consejo / Directorio los integrantes externos (dominicales e independientes) constituyan amplia mayoría sobre los ejecutivos. 4. Que el Consejo / Directorio ajuste su dimensión para lograr un funcionamiento más eficaz y participativo. En principio, el tamaño adecuado podría oscilar entre cinco y quince miembros. 01 Principios de Buen Gobierno: AHCIET 5. Que el Consejo / Directorio constituya en su seno Comisiones delegadas de control, compuestas en su mayoría por consejeros externos. Como mínimo dos: 1) en materia de información, control interno, relaciones con los auditores externos y supervisión de los servicios de auditoría interna (Comisión de Auditoría); 2) selección de consejeros y altos directivos y determinación y revisión de la política de retribuciones (Comisión de Nombramiento y Retribuciones). 8 6. Que, para asegurar el adecuado funcionamiento del Consejo / Directorio, sus reuniones se celebren con la frecuencia necesaria para el cumplimiento de su misión; (mínimas 4). 7. Que la política de remuneración de los consejeros / directores, cuya propuesta, evaluación y revisión debe atribuirse a la Comisión de retribuciones, se ajuste a los criterios de moderación, relación con los rendimientos de la sociedad e información detallada e individualizada. 01 Principios de Buen Gobierno: AHCIET 9 8. Que el consejo / Directorio, más allá de las exigencias impuestas por la normativa vigente, se responsabilice de suministrar a los mercados información rápida, precisa y fiable, en especial cuando se refiera a la estructura del accionariado, a modificaciones sustanciales de las reglas de gobierno, política de dividendos, a operaciones vinculadas de especial relieve o a la autocartera. 9. Que toda la información financiera periódica que, además de la anual, se ofrezca a los mercados se elabore conforme a los mismos principios y prácticas profesionales de las cuentas anuales, y antes de ser difundida, sea verificada por la Comisión de Auditoría. 10. Que el Consejo / Directorio y la Comisión de Auditoría vigilen las situaciones que puedan suponer riesgo para la independencia de los auditores internos y auditores de cuentas de la sociedad. 01 Principios de Buen Gobierno: AHCIET 10 11. Que el Consejo / Directorio procure evitar que las cuentas por él formuladas se presenten a la Junta General con reservas y salvedades en el informe de auditoría, y que, cuando ello no sea posible, tanto el Consejo / Directorio como los auditores expliquen con claridad a los accionistas y a los mercados el contenido y el alcance de las discrepancias. 12. La responsabilidad social corporativa, es parte integrante del buen gobierno. Se debe informar del impacto de las actividades de la empresa sobre todos sus grupos de interés y antes de ser difundida, revisada por la Comisión de Auditoría. 13. Que el Consejo / Directorio incluya en su informe público anual información sobre sus reglas de buen gobierno, razonando las que no se ajusten a las recomendaciones de este Código. 02 11 Comisión de Auditoría 02 Funciones de la Comisión de Auditoria • En general corresponde a la CA apoyar al Consejo de Administración/ Directorio en su labor de supervisión y control. Estas funciones se resumen y concretan en: – Respecto del auditor externo: Proponer la designación del Auditor de cuentas, sus condiciones de contratación y el alcance del mandato profesional. Aprobación de cualquier consultoría encargada al auditor externo. – En materia de control interno (apoyo de Auditoría Interna): Revisar los estados financieros y la información publicada. Evaluar los resultados de las auditorias y las respuestas del equipo directivo a las recomendaciones. Comprobar la adecuación e integridad del sistema de control interno. Revisión de los sistemas de Gestión de Riesgos. Recibir información de los fraudes y deficiencias significativas en, los sistemas de control o en los estados financieros – Canal de denuncias. Supervisión de los servicios de Auditoría Interna y velar por su independencia. 12 B- EVOLUCIÓN DE AI • Modelo de “Las Tres Lineas de Defensa” Para asegurar la efectividad del marco de gestión de riesgos de una organización, la ECIIA ha propuesto el Modelo de «Las Tres Líneas de Defensa», adoptado por The Global IIA. 1st Linea : La Dirección Operativa es responsible de la evaluación, el control y la mitigación de los riesgos 2nd Linea : Monitoriza, supervisa y facilita la implantación de prácticas efectivas de gestión de riesgos por parte la Dirección Operativa y ayuda a los duéños de los riesgos a comunicar información 3rd Linea : Aporta aseguramiento al Consejo y a la Alta Dirección sobre la efectividad del Gobierno, Gestion de Riesgos y Control. Evalua las actividades de la primera y segunda linea de defensa. • EVOLUCIÓN DE AI EN LOS ÚLTIMOS AÑOS - I Growth NYSE Listing Rules: Section 303A.07(d) “Each listed company must have an internal Audit function” (2003) Governance Standard 2110 Ongoing Compliance SOX was enacted First-time Compliance Governance Processes Risk Risk Management Processes COSO Internal Control Control Internal Control Over Financial Standard 2120 Reporting Re-Performance Compliance 1990 2000 2010 Control Processes Standard 2130 B- EVOLUCIÓN DE AI 2100 Naturaleza del trabajo La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gobierno, gestión de riesgos y control, utilizando un enfoque sistemático y disciplinado. 2110 Gobierno La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: Promover la ética y los valores apropiados dentro de la organización, Asegurar la gestión y responsabilidad eficaces en el desempeño de la organización, Comunicar la información de riesgo y control a las áreas adecuadas de la organización, y Coordinar las actividades y la información de comunicación entre el Consejo de Administración, los auditores internos y externos, y la dirección. A1 La actividad de auditoría interna debe evaluar el diseño, implantación y eficacia de los objetivos, programas y actividades de la organización relacionados con la ética. A2 – evaluar si el gobierno de tecnología de la información de la organización, sostiene y apoya las estrategias y objetivos de la organización. B- EVOLUCIÓN DE AI COMBINED ASSURANCE ? La mayor regulación en materia de aseguramiento y cumplimiento, la incorporación de responsabilidades penales para la personas físicas y jurídicas, hacen necesario, para mantener un equilibrio entre el coste / beneficio, una COORDINACIÓN CON TODOS LOS PROVEEDORES DE ASEGURAMIENTO, en las organizaciones. QUIEN DEBE REALIZAR ESA FUNCIÓN? B- EVOLUCIÓN DE AI • OBJETIVO La auditoría interna es un componente clave del gobierno corporativo moderno, es por ello que esta presentación, tiene entre sus objetivos proporcionar consejo práctico a los órganos de gobierno y consejeros para que puedan aprovechar al máximo la función de auditoría interna, en base el documento elaborado por ECODA y el ECIIA. Antes de entrar en el detalle de las recomendaciones específicas, es importante subrayar que hay “tres aspectos críticos” que han de considerarse en los Consejos / Directorios, para asegurar que la función de Auditoría Interna pueda maximizar su aportación al buen gobierno de la organización. La función de Auditoría Interna debería tener una línea de reporte en la organización que le garantice suficiente independencia. Auditoría Interna tiene que utilizar un enfoque basado en riesgos para la elaboración de su plan de auditoría. Auditoría Interna ha de emplear siempre recursos con un altísimo nivel de profesionalidad y la calidad de sus trabajos ha de ser constante. C- 10 Recomendaciones a la Dirección C- 10 RECOMENDACIONES A LA DIRECCIÓN (Consejo / Directorio), PARA APROVECHAR LA FUNCIÓN DE AUDITORIA INTERNA Es importante destacar que las siguientes recomendaciones para Consejeros y Directores son consistentes con las Normas para la Práctica Profesional de la Auditoría Interna. 1. Evaluación de la necesidad de establecer una función de auditoría interna cuando no existe en la organización. 2. Evaluando y mejorando el estatuto de auditoria interna. 3. Asegurando la efectividad de las líneas de comunicación entre el director de auditoría interna y el consejo. 4. Evaluando el plan de auditoría. 5. Evaluando los recursos humanos de la función de auditoria interna. 6. Obtener aseguramiento sobre la calidad del trabajo de la función de auditoría interna. 7. Supervisión de la relación entre la función de auditoría interna y la función de seguimiento de riesgos. 8. Coordinar la función de auditoría interna con el trabajo del auditor externo. 9. Evaluar el reporting de auditoría interna. 10. Gestión de seguimiento de recomendaciones de auditoría interna Evaluación de la necesidad de establecer una función de auditoría interna cuando no existe en la organización. 1ª • En organizaciones que no cuentan con una función de Auditoría Interna, el Consejo debería evaluar periódicamente la necesidad de disponer de ella. Basándose en los razonamientos de la Alta Dirección, debería ratificar o cuestionar la decisión. • En organizaciones que hayan optado por una externalización completa de la función de Auditoría Interna, el Consejo debería supervisar todo el proceso, y asegurar que existe una línea de responsabilidad interna sobre la calidad y la relevancia del trabajo externalizado. • En el caso de que una organización de interés público no haya establecido una función de Auditoría Interna, el Consejo debería asegurar que se informe públicamente de la decisión, por ejemplo en su informe anual de gobierno corporativo. La publicación debería incluir una explicación relevante de las razones de su ausencia y detallar los procesos empleados para la obtención de aseguramiento global. 2ª Evaluando y mejorando el estatuto de auditoria interna. • El Consejo debería revisar el Estatuto de Auditoría Interna para asegurar que permite que la función de Auditoría Interna pueda desempeñar íntegramente sus responsabilidades como proveedor clave de aseguramiento en materia de control interno y gestión de riesgos. • El Consejo debería aprobar el Estatuto de Auditoría Interna. Introducción Rol Profesionalidad Autoridad Organización Independencia y Objetividad Responsabilidad Plan de Auditoria Interna Información y Seguimiento Valoración Periódica 3ª Asegurando la efectividad de las líneas de comunicación entre el director de Auditoría Interna y el Consejo. • El Consejo debería asegurar que el Director de Auditoria Interna - DAI sea responsable ante un miembro dedicado del Consejo o al Presidente de la Comisión de Auditoría (u otra Comisión de Gobierno Corporativo). • El DAI debería disponer de una línea de comunicación sin restricciones con el Consejo o con el presidente de la Comisión de Auditoría. • El Consejo debería, al menos una vez al año, mantener una reunión con el DAI sin la presencia del primer ejecutivo u otros miembros de la Alta Dirección. • El Consejo debería ser informado sobre cualquier diferencia de opinión existente entre el DAI y la Alta Dirección, en materia de riesgos y control interno. 4ª Evaluando el plan de auditoría. • El Consejo y el primer ejecutivo deberían aportar consejos al DAI para la redacción del plan anual de auditoría interna basado en riesgos. • El Consejo y el primer ejecutivo deberían consultar con el DAI sobre el contenido del plan de auditoría interna, prestando especial atención a; • • • • Los procesos empleados por el DAI para evaluar los áreas de riesgo significativo y que se emplean para priorizar las actividades de auditoría interna. El alcance del universo de auditoría interna que impactará en la amplitud de las actividades de la Auditoría Interna en la organización. La cobertura dada al diseño y la efectividad de los sistemas de control interno en las actividades de Auditoría Interna. Después de discutir el plan y acometer cambios si han sido necesarios, el Consejo debería aprobarlo formalmente. 5ª Evaluando los recursos humanos de la función de auditoria interna. • El Consejo y el Primer Ejecutivo deberían obtener del DAI información y análisis del impacto que las posibles restricciones de recursos pudieran tener sobre el Plan de Auditoría Interna. • El Consejo debería ser el responsable de los ajustes en la capacidad de la función de Auditoría Interna y aprobar formalmente la omisión de áreas de alto riesgo dentro del Plan de Auditoría Interna, como consecuencia de restricciones presupuestarias. • El Consejo debería obtener el aseguramiento del DAI sobre que su departamento dispone de, o tiene acceso a, las competencias técnicas y habilidades de comunicación necesarias para la ejecución efectiva del Plan de Auditoría Interna y la comunicación de las conclusiones y recomendaciones. • El Consejo debería ser consultado por el Primer Ejecutivo acerca del perfil funcional del DAI y sobre las decisiones de contratación, despido y remuneración. El Consejo debería cuestionar las decisiones del Primer Ejecutivo si éstas afectan la independencia y la objetividad del DAI. 6ª Obtener aseguramiento sobre la calidad del trabajo de la función de auditoría interna. • El Consejo y el Director General deberían revisar anualmente la calidad de la función de Auditoría Interna. El Consejo debería revisar periódicamente la frecuencia requerida para la evaluación externa. La frecuencia mínima de revisión externa debe ser cada cinco años. • El Consejo debería asegurarse de informar de manera adecuada sobre los resultados y las acciones para la mejora del proceso de evaluación de Auditoría Interna, así como determinar la frecuencia requerida para la evaluación interna. • El Consejo debería monitorizar de forma efectiva la implementación, en tiempo y en forma, de las acciones correctoras derivadas de la evaluación externa de la calidad. • De manera independiente, y además de la evaluación externa de la calidad, el Consejo debería valorar el desempeño de la función de Auditoría Interna en base a criterios como: grado de desarrollo del plan de auditoría, claridad de informes de auditoría,…. Supervisión de la relación entre la función de auditoría interna y la función centralizada de seguimiento de riesgos. 7ª • El Consejo y el Director General deberían asegurar que haya una correcta localización y coordinación entre la función de Auditoría Interna y las funciones que forman la “segunda línea de defensa”, tales como gestión de riesgos, control financiero y cumplimiento normativo. • El Consejo y el Primer Ejecutivo deben asegurar que la función de Auditoría Interna evalúa tanto la primera línea como la segunda línea de defensa de gestión de riesgos, como parte de su plan de auditoría interna y proporcione aseguramiento de cómo se encuentran operando ambas líneas de defensa. Coordinar la función de auditoría interna con el trabajo del auditor externo. 8ª • El Consejo y el Primer Ejecutivo deberían asegurar que la comunicación entre interno y externo es abierta y fluida, supervisando la manera que cada uno puede extraer sinergias del trabajo del otro, pero evitando en todo momento duplicidades. 9ª Evaluar el reporting de auditoría interna. • Basándose en una revisión integral, el Consejo debería considerar periódicamente y evaluar; • • • • Los principales hallazgos de Auditoría Interna en el periodo sujeto a revisión. El progreso y la efectividad de la implementación de las recomendaciones de Auditoría Interna. Progreso en la ejecución del Plan. Asuntos concernientes a los recursos humanos de la función de Auditoría Interna. 10ª Gestión de seguimiento de recomendaciones de auditoría interna. • El Consejo debería valorar el proceso de implementación de las recomendaciones de auditoría, poniendo especial énfasis en las cuestiones más importantes sobre riesgos y control, así como en los retrasos en la puesta en práctica de las mismas. • El Consejo debería discutir las causas de los retrasos más importantes y realizar un seguimiento de los mismos con la Dirección. • El Consejo debería discutir con el DAI aquellos casos donde, no actuando sobre una recomendación de auditoría interna, el DAI considera que la Dirección Ejecutiva ha expuesto a la organización a un nivel de riesgo residual que no puede ser aceptado por el Consejo. No existe Buen Gobierno sin Comisión de Auditoría y Buena Comisión de Auditoría sin Auditoría Interna. 31 ¡Gracias por su Atención! PREGUNTAS