Manuel Fresno Castro
Interventor-Auditor del Estado
Aplicación del sistema de control interno de la información financiera en organismos públicos
RESUMEN
De acuerdo con las actuales tendencias de los modelos de control basados en COSO III y los cambios legislativos tanto a nivel nacional como internacional, la responsabilidad sobre la supervisión del control interno de los organismos públicos está pasando de considerarse como una tarea exclusiva de los órganos de control o de supervisión (Intervención, OCEX, etc.) a recaer en los órganos de gobierno de las compañías y los propios directivos y empleados. Esto significa que los gestores públicos están pasando de ser responsables no solo de la propia actuación pública del organismo o sociedad que dirija (como hasta ahora) sino que, además, su responsabilidad se empieza a extender al aseguramiento de que los sistemas de control interno que tengan implantados funcionen de manera eficaz. Para ello existen modelos nacidos e implantados desde hace años en compañías cotizadas que pueden servirnos de modelo, con las necesarias adaptaciones, de cara a implantar esta nueva filosofía del control. Un ejemplo de ello es el sistema de control de la información financiera (SCIIF) que, como parte del modelo de gestión de riesgos de la respectiva entidad, tiene por objetivo proporcionar una seguridad razonable –que no absoluta- sobre la fiabilidad de la información financiera que emita la compañía.
Este artículo pretende abordar por tanto qué es el SCIIF como elemento integrante del Sistema de Gestión de Riesgos (SGR); qué particularidades presenta, y si es una herramienta de interés en el ámbito de las entidades públicas; cuál es el papel y las responsabilidades de los distintos intervinientes en su preparación y seguimiento (con especial detenimiento al caso de las Comisiones de Auditoría); y, finalmente, en qué consiste, y cómo puede funcionar el SCIIF en la práctica diaria de una compañía pública estatal.
PALABRAS CLAVE:
Auditoría Pública; Control Interno; SCIIF; Gestión de Riesgos; Comisión de Auditoría; Entidad de Interés Público.
INTRODUCCIÓN
La cada vez mayor exigencia de un control eficaz y efectivo por parte de los usuarios de la información financiera de las empresas y organismos públicos (accionistas, órganos de tutela, partidos políticos, proveedores, clientes, usuarios, y ciudadanos en general) obliga a que los modelos de supervisión de este tipo de entidades deban estar en continua revisión.
Como parte de esta auto-exigencia que debe impregnar la gestión pública, y con independencia de la normativa existente en cada momento, los gestores de este tipo de entidades deben ser conocedores y estar perfectamente actualizados respecto a las mejores prácticas de su entorno, adaptando a sus particularidades específicas todas aquellas herramientas de control interno que se vengan demostrando como eficaces, vengan del campo de donde vengan.
Por otro lado, y con independencia de la adopción de dichas best practices de manera voluntaria, no es menos cierto que existen determinados entes públicos que, con independencia de que su régimen de control básico se encuentre recogido en la respectiva norma presupuestaria estatal, autonómica o local que le resulte de aplicación (que, en nuestro país, y hasta el momento, no han entrado a regular este tipo de cuestiones), están sujetos a determinados requerimientos exigibles a las denominadas “Entidades de Interés Público”, ya sea por su carácter de cotizadas (caso de AENA), ya sea porque la sujeción a las reglas de gobierno corporativo de las sociedades de capital venga exigida por ser entidades financieras (caso de ICO), o ya sea por, no cumpliéndose ninguna de las anteriores, emitan instrumentos financieros en mercados cotizados (caso de ADIF Alta Velocidad, CORES o FADE). En estos casos estarán por tanto obligadas a respetar los preceptos y exigencias de ambas normativas, como puede ser la obligatoriedad de la existencia de una Comisión de Auditoría –con independencia de la forma jurídica societaria o no de la entidad-, la existencia de un Comité de Nombramiento y Retribuciones de manera obligatoria desde el año 2014, o la implantación de modelos de gestión de riesgos y de control interno de su actividad financiera como el SCIIF. Y todo ello, tal y como la Abogacía del Estado ha venido en aclarar, siempre que no sea incompatible con la naturaleza jurídica de la respectiva entidad, o las funciones objeto de análisis correspondan por exigencia legal o hayan sido asumidas por otro órgano de control. La coexistencia de estos dos regímenes de control y/o supervisión, aún con distinto rango jurídico, genera una serie de cuestiones prácticas a la hora de su aplicación efectiva que el gestor público deberá ser capaz de solventar de manera precisa.
CONCEPTO DEL SCIIF
En primer lugar, y sin ser el objetivo del presente artículo profundizar en su alcance (que trasciende del campo puramente financiero) definamos un SGR como el conjunto de políticas, procedimientos y prácticas que, aplicados de forma sistemática, permiten la identificación, análisis y respuesta a los riesgos, proporcionando un nivel de seguridad “razonable” sobre el logro de los objetivos de una compañía. Un SGR tiene por objetivo, pues, establecer una serie de directrices que permitan que los riesgos que afecten a una determinada compañía sean gestionados y controlados de forma sistemática y uniforme dentro de los niveles de riesgo que una entidad esté dispuesta a aceptar (que, en el caso de una entidad pública, por regla general deberán tender a cero). El SGR tiene como herramienta fundamental la elaboración y actualización del mapa de riesgos financieros, fiscales, operativos, de seguridad física y ciberseguridad, o reputacionales, entre otros, de la compañía.
Por lo que respecta al SCIIF, y antes de proceder a su definición, empezar aclarando que no estamos ante un modelo abstracto de control. Muy al contrario, para aquellos familiarizados con las técnicas de auditoría, el SCIIF tiene un mismo origen con lo que las Normas de Auditoría del Sector Público (NASP) definen como “pruebas de cumplimiento” (por contraposición al concepto de “pruebas sustantivas” con las cuales están íntimamente relacionadas). Es decir, un conjunto de pruebas y revisiones que permiten obtener evidencia, no solo de si los procedimientos y sistemas existen y son acordes con la normativa aplicable, sino de manera más importante, si esos procedimientos han estado funcionando adecuadamente en la práctica. La diferencia en este caso, como decíamos en la introducción, es que la responsabilidad de la implantación y gestión del SCIIF se encomienda a la propia entidad objeto de control y formará parte fundamental de su modelo de gobernanza. Por lo que respecta al auditor, y caso de encontrar el modelo como confiable, servirá de elemento fundamental de su planificación en la medida que el grado de control interno de la compañía se configura desde sus orígenes como un elemento básico a la hora de determinar el grado de confianza en la entidad, sirviendo para determinar el alcance, naturaleza y extensión de las pruebas a realizar.
En este sentido, es oportuno citar que para el caso de los entes estatales la Intervención General de la Administración del Estado ha incorporado por vez primera para el año 2017 la necesidad de poner a disposición de los auditores un documento descriptivo de todos los riesgos que afectan a la entidad así como su opinión respecto a cómo ha funcionado el sistema de control interno establecido para evitar errores o fraudes y para mitigar los riesgos existentes. De esta forma, y precisamente para que el cuentadante y el responsable financiero de la entidad puedan llegar a contestar las anteriores preguntas con la suficiente concreción (especialmente la relativa a cómo ha funcionado el sistema, aspecto que supone per ser un juicio de valor) parece imprescindible tener un modelo de control documentado e implantado de manera eficaz y, preferiblemente, verificado por auditores externos, como puede ser el SCIIF.
Una vez aclarado que el SCIIF no deja de ser sino una evolución de los diversos mecanismos de control interno que las compañías establecieron a partir de la aparición de la Ley Sarbanes-Oxley en el año 2002 (Ley SOX), empecemos definiéndolo como el conjunto de procesos que, formando parte de su modelo de control interno, la entidad (Consejo de Administración, Comisión de Auditoría, en su caso, y Alta Dirección) y, en general, todo el personal involucrado de la entidad, llevan a cabo para proporcionar una seguridad razonable respecto a la fiabilidad de la información financiera.
Este sistema de control interno se configura de acuerdo con los estándares internacionales establecidos por el “Committee of Sponsoring Organizations of the Treadway Commission” (COSO) -actualmente en su tercera revisión-, y que se articulan alrededor de los 5 componentes ya conocidos: entorno de control; evaluación del riesgo; actividades de control; información y comunicación y supervisión.
En el caso del control interno sobre los sistemas IT de tecnología informática (aspecto básico hoy en día en la gestión financiera de cualquier compañía) tan solo citar la existencia de COBIT para definir las responsabilidades de control sobre los sistemas informáticos, y SAC que ofrece asistencia a los auditores internos sobre el control y auditoría de los sistemas y tecnología informática.
Volviendo a los sistemas de control a nivel global basados en COSO, para poder opinar sobre la eficacia del SCIIF y vigilar que estos componentes están debidamente coordinados y que operan de forma conjunta existen una serie de indicadores que se analizan para emitir un diagnóstico al respecto. Dichos indicadores que habrá que adaptar y completar a la naturaleza y regulación de la entidad correspondiente (es básica la correcta documentación de todo el modelo y de todos los controles que se realicen) se resumen de manera genérica en la siguiente tabla que, adecuadamente cumplimentada, será en su caso objeto de inclusión en el Informe de Gobierno Corporativo de la entidad (IAGC), obligatorio para las sociedades mercantiles estatales y las entidades públicas empresariales desde el ejercicio 2012 como consecuencia de lo dispuesto en la Ley de Economía Sostenible.
Una de las características del SCIIF que le dan mayor solidez es que se basa en un modelo de certificación “en cascada”, de manera que cada responsable de elaborar, supervisar y reportar la información con trascendencia financiera asume una responsabilidad concreta sobre la información transmitida en el ámbito de su área. Este esquema de responsabilidades es el que permitirá que el cuentadante, en el momento de formulación de las cuentas anuales, disponga de un sistema que avala que cuenta con los niveles necesarios de revisión por parte de los responsables de su preparación. La utilización efectiva del SCIIF en una compañía será por tanto de utilidad a efectos de compliance en el caso que haya que dilucidar responsabilidades en caso de errores, negligencias o incluso fraudes en la información financiera.
RESPONSABLES DEL FUNCIONAMIENTO DEL MODELO
De igual modo que el modelo funciona en la práctica adoptando un esquema “bottom-up” asignando las responsabilidad en la obtención de las evidencias a los dueños de los controles (ejecutores) y continuando con los supervisores y los dueños de los procesos como se explicará más adelante, el SCIIF atribuye funciones concretas al máximo órgano directivo de la compañía (cuentadante, en nuestro caso), a la dirección financiera, a las direcciones responsables de cada uno de los procesos, y a la Comisión de Auditoría caso de existir.
En primer lugar, y por lo que respecta al máximo órgano de dirección de la compañía (Consejo de Administración o equivalente) tendrá la competencia de establecer los principios y bases que conformen el modelo de control a aplicar, los componentes del mismo y la asignación de responsabilidades a la hora de establecerlo, supervisarlo y gestionarlo. Al igual que ocurre tanto en el caso del SGR como en el caso que se quisiera aprobar un sistema de prevención de riesgos penales que reuniera los requisitos del artículo 31 del Código Penal, es fundamental para el modelo la máxima implicación de toda la entidad, por lo que la aprobación de esta política deberá realizarse de manera directa y no delegable por el máximo órgano de dirección.
La Comisión de Auditoría u órgano equivalente será, por su parte, el órgano formalmente encargado de supervisar el SCIIF. Esta responsabilidad comprenderá el control del proceso de elaboración y presentación, el cumplimiento de los requisitos normativos, la adecuada delimitación del perímetro de consolidación y la correcta aplicación de los criterios contables. Para realizar su función normalmente encargará la ejecución del trabajo al departamento de auditoría o de control interno para que le ayude a evaluar su eficacia y le informe periódicamente de las debilidades detectadas durante la ejecución de su trabajo. Si bien se hará referencia posteriormente a las especialidades de las Comisiones de Auditoría en entidades de naturaleza pública señalar ahora que, en estos momentos, y como consecuencia de la trasposición de la Directiva 2014/56 del Parlamento Europeo y del Consejo, la Ley de Auditoría de Cuentas impone actualmente a la Comisión de Auditoría de las sociedades mercantiles la obligación de supervisar la eficacia del control interno y el proceso de elaboración y presentación de la información financiera.
Por su parte, al presidente (o cuentadante) de la entidad le corresponde asegurar que el SCIFF es adecuado y eficaz. Para ello se prevé la posibilidad de firmar, en el caso de los modelos más avanzados, una certificación anual que se incluirá en el IAGC en la cual se hará constar que los procedimientos y controles han sido aplicados y ejecutados de forma efectiva a lo largo del periodo objeto de certificación, así como que no se han detectado debilidades, deficiencias o fallos materiales en el diseño y funcionamiento de los mencionados controles y procedimientos.
El director financiero o equivalente será, por su parte, el responsable del diseño, implantación y funcionamiento, aprobando o rechazando además la subcertificación anual de la entidad y la documentación de cada uno de los procesos que den soporte al SCIFF. Para ello podrá ayudarse de un comité de seguimiento del sistema en el cual estarán presentes tanto los responsables de los procesos que tengan especial relevancia en la elaboración de la información financiera, así como, entre otros, los responsables de riesgos, auditoría interna y contabilidad. Una de las funciones de este comité consistirá en aprobar el alcance concreto del sistema (dentro de la política aprobada), y el establecimiento, definición y actualización de los procesos clave en que se haya dividido la gestión de la entidad.
RESPONSABLES DE PROCESOS Y RESPONSABLES DE CONTROLES
Para cada uno de los procesos del SCIIF se debe establecer un organigrama en el que se definan los responsables del mismo (responsables o dueños de los procesos, supervisores y responsables o dueños de la ejecución de los controles). Es importante aclarar que al igual que ocurre en las técnicas de gestión por procesos, las relaciones entre los diferentes responsables tienen un carácter funcional y no jerárquico. Esto supone que el responsable de realizar el control podrá tener como supervisor a un responsable que no pertenezca a su departamento administrativo. De la misma forma, los supervisores de los procesos podrán responder ante un dueño del proceso que no esté relacionado con ellos según el organigrama de la entidad. Este carácter transversal, que puede llamar fuertemente la atención en el caso de compañías públicas acostumbradas a modelos jerárquicos, hace que la implicación de toda la organización deba ser máxima, ya que no se trata de una tarea que quede en el ámbito del departamento financiero sino que afectará a personal de distintos ámbitos, financieros y no financieros, de la compañía.
Los dueños del proceso serán por tanto los responsables del proceso en su conjunto, y serán los encargados de identificar, evaluar, controlar y mitigar los riesgos de la fiabilidad de la información financiera del proceso concreto del cual hayan sido asignados. Tienen como funciones validar la actualización de la documentación del proceso, comunicar si hay cambios significativos, y evaluar los riesgos a cierre del ejercicio. Por su parte, los supervisores se encargarán de asegurar que en su ámbito el proceso está actualizado y recoge las actividades de control necesarias para mitigar los riesgos, así como proporcionar seguridad razonable respecto a la fiabilidad de la información financiera del mismo. Tienen como funciones supervisar la ejecución de controles y de las conclusiones sobre la efectividad, realizar la validación y el seguimiento planes de acción y realizar las propuestas de actualización. Por último, los dueños de los controles realizarán la ejecución y carga en el sistema informático de las evidencias del control, concluirán sobre si dicho control es efectivo, o no, y realizarán la propuesta de planes de acción.
FASES PARA LA IMPLANTACIÓN Y FUNCIONAMIENTO DEL SCIIF
El SCIIF está configurado como un proceso cíclico que funciona de manera continua. El ciclo del año n comienza con el cierre contable del ejercicio anterior (n-1), en base al cual se determina el alcance y finaliza con la fase de validación y certificación del año n. Algunas de las fases se desarrollan de forma continua a lo largo del año, mientras que otras tendrán hitos específicos en determinados momentos.
La primera fase del SCIIF es la elaboración de lo que en términos de auditoría se denomina matriz de alcance. Para ello se recopilará la informacion financiera cerrada del año anterior y se identificarán las cuentas más significativas desde el punto de vista tanto cuantitativo como cualitativo (estimaciones y juicios relevantes, complejidad de las transacciones, transacciones no recurrentes, experiencia histórica en la detección de errores, etc.). Para esta fase puede resultar de utilidad la Norma Técnica sobre evaluación de la Importancia Relativa de la IGAE de abril de 2007 que aporta una metodología detallada para el cálculo del error tolerable a nivel de área para cada una de las fases del trabajo.
Una vez identificadas las cuentas materialmente más significativas, se asociarán entonces a los procesos que se consideren como relevantes teniendo en cuenta para ello que todos los procesos en los que se origine, procese o elabore información financiera deberán contar con mecanismos de control suficientes y homogeneos.
La adecuada definición y comprensión transversal de los distintos procesos de la compañía y la correcta descripción y documentación de los mismos a través de flujogramas y descripciones detalladas constituye la auténtica raiz del modelo ya que, al modo de la fase de planificación en un trabajo de auditoría, sin una correcta comprensión y descripción de los procesos y una identificación precisa y eficaz de los controles (pruebas) que mitiguen los riesgos con posible impacto, el SCIIF no pasará de ser una herramienta formal que no cumplirá adecuadamente sus objetivos de control.
A título de ejemplo, y según su IAGC del año 2016 (disponible en internet), en el caso de una sociedad mercantil estatal como AENA. S.A. , esta compañía ha dividido su gestión en un total de 16 procesos con impacto en la información financiera, para los cuales están definidos 299 controles que se aplican a los servicios centrales de la compañía y a los 28 (de un total de 47) aeropuertos de más de 400.000 pasajeros. En el caso de ADIF (cuyo modelo de SCIIF se implantó en septiembre de 2016 y actualmente en fase de certificación) se han definido 12 procesos y un total de 482 controles (46 mensuales, 21 trimestrales, 15 semestrales y 47 anuales) en cuya ejecución participan 187 personas de distintos departamentos de la compañia. Algo similar ocurre en el caso de RENFE Operadora.
Por último, y por poner un ejemplo de empresa privada, en el caso del Grupo REPSOL sus responsables han establecido un total de 1.082 controles cuyo número, si bien muy superior a los anteriores, debe cubrir la fiabilidad del reporte financiero de un total de 27 sociedades en 16 países diferentes.
Continuando con las fases, una vez identificadas las cuentas más significativas y asociadadas las mismas junto con sus posibles riegos dentro de los procesos que se definan como más relevantes, se elabora la llamada Matriz de Alcance del año en curso (similar a la Matriz de Riesgos de un SGR). En el caso que haya cambios con respecto al año anterior, se comunicarán a los dueños de los procesos y se actualizará tanto la documentación del proceso como los nuevos controles que en su caso se establezcan. Todo ello se incorporará en la herramienta informática en que se haya implantado el SCIIF (SAP GRC Process Control, IDEAS GRC u otra).
Una vez finalizado el proceso de elaboración (o actualización, en el caso que el SCIIF ya venga funcionando en años anteriores) de la matriz de alcance y de los riesgos y controles que los cubren, comienza la fase de ejecución que se desarrollará por parte de sus responsables de manera continua a lo largo de todo el ciclo contable. Con la periodicidad definida para cada control (mensual o mayor) serán por tanto estos responsables de los controles los encargados de realizar la comprobación que se haya definido, concluir sobre su efectividad, e incorporar en la plataforma informática las evidencias y pruebas realizadas. Para poder concluir que el control se ha realizado sin incidencias el responsable del control deberá verificar que el mismo se ha podido completar, que se han podido aportar las evidencias de su ejecucion de acuerdo con lo previsto en la documentación del proceso, que el control ha cubierto toda la información sobre la que opera, y finalmente que el diseño del control cubre el riesgo adecuadamente.
Un ejemplo en este caso de control podría ser el siguiente: dentro de uno de los procesos en que hemos dividido la gestión de la compañía se encuentra el de Recursos Humanos, para el cual queremos asegurarnos de la adecuada corrección e integridad de las remuneraciones variables mensuales percibidas en un determinado territorio. Para ello se define un control que consiste en la revisión mensual de todos aquellos conceptos que presenten variaciones significativas al alza o a la baja para, caso de haberlas, solicitar al responsable sectorial de la nómina las explicaciones oportunas. En este caso la evidencia consiste en un documento (firmado) donde la persona que ha realizado el control deje constancia del análisis realizado, sus conclusiones, así como copia de las explicaciones facilitadas por los responsables directos de la gestión de nóminas.
Como se puede observar muy similar, por tanto, al tipo de pruebas que se pueden realizar en cualquier auditoría pública o privada. Destacar que en el caso que en el desarrollo del control se hayan observado incidencias significativas, será también responsabilidad de estos denominados dueños del control comunicar al área encargada de la gestión del SCIIF la necesidad de establecer un plan de acción para remediar la situación detectada. Por su parte y como consecuencia de los trabajos que pueda realizar el respectivo órgano de control o de auditoría interna al respecto, los controles deberán ser objeto de actualización como consecuencia de las deficiencias o propuestas de mejora realizadas por dicho órganos.
Certificación del modelo
Como ya se ha dicho el SCIIF se configura como un sistema de responsabilidades en cascada por el cual cada responsable de elaborar, supervisar y reportar la información financiera asume formalmente una cuotaparte de responsabilidad. En consecuencia para cerrar el ciclo anual, y con el objetivo de dar la máxima confianza respecto a los estados financieros objeto de formulación, se propone que las entidades incluyan expresamente en su información financiera una declaración del máximo responsable de la compañía y del responsable financiero en el que, a modo de una carta de manifestaciones, certifiquen de forma expresa su responsabilidad de establecer y mantener el SCIIF, indiquen el marco de control interno utilizado, y se manifiesten sobre si el SCIIF de la entidad al cierre del ejercicio anual es eficaz o no.
Acompañando a esta certificación (que como consecuencia del carácter voluntario del modelo no siempre existirá), se incluirá un informe de un auditor o verificador externo en el que se recoja su opinión respecto al funcionamiento del SCIIF a lo largo del ejercicio. En función del grado de madurez del modelo este documento puede consistir o bien en un informe de procedimientos acordados (que, como tal, no estará sujeto a la Ley de Auditoría de Cuentas) o un Informe de Aseguramiento. En el primer caso, y con el objetivo de dotar a estos informes de una necesaria homogeneidad, el grupo de trabajo organizado por la CNMC en junio de 2010 recogió una serie de procedimientos estandarizados que debían ser objeto de comprobación por el auditor antes de pronunciarse sobre la consistencia del modelo: revisión de la documentación soporte, entrevistas al personal encargado de su gestión, comparación con los procedimientos realizados en el marco de la auditoría de cuentas, lectura de actas, obtención de cartas de manifestaciones y otras de alcance similar.
Un segundo modelo de informe mucho más exigente y que hasta ahora en España solo han solicitado compañías cotizadas sujetas a Ley SOX (en Estados Unidos el modelo no solo es obligatorio sino que además se han establecido sanciones para aquellos directivos que certifiquen el modelo sin haber realizado una serie de comprobaciones previas) es aquel que se pronuncia expresamente sobre la eficacia del modelo y los desgloses de la información. Citar aquí los trabajos realizados por el International Auditing and Assurance Standard Board (IAASB) que en el pasado 2017 emitió una norma para la correcta revisión de la información financiera (ISAE 3000 revised).
EL PAPEL DE LA COMISIÓN DE AUDITORÍA EN LA SUPERVISIÓN DEL SCIIF Y REFLEXIÓN FINAL.
En la actualidad, y tras la reforma de la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas (LAC), la existencia de Comisiones de Auditoría no son solo obligatorias para las entidades con valores cotizados (como ocurría desde el año 2002), sino que el esfuerzo por mejorar los modelos de gobernanza de las compañías ha hecho que también se extienda a las Entidades de Interés Público (EIP), concepto que incluye a las sociedades cotizadas, entidades de crédito, de seguros, de servicios de inversión, y a todas aquellas grandes empresas cuyo importe neto de cifra de negocios sea superior a 2.000 millones de euros y tengan una plantilla media superior a 4.000 empleados durante dos ejercicios consecutivos.
Estas Comisiones de Auditoría deberán estar compuesta por consejeros no ejecutivos nombrados por el Consejo de Administración la mayoría de los cuales, al menos, deberán ser consejeros independientes y uno de ellos designado teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o en ambas. Cabe señalar que, desde 2014, se considera como infracción grave para los emisores de valores no solo el no disponer de una Comisión de Auditoría, sino también el incumplimiento de las reglas relativas a su composición y atribuciones. Tanto la LAC como la Ley de Sociedades de Capital contienen actualmente reglas sobre la composición, funcionamiento y responsabilidades de las Comisiones de Auditoría que se han visto recientemente complementadas por un completo conjunto de recomendaciones recogidas en la Guía Técnica 3/2017 sobre Comisiones de Auditoría de Entidades de Interés Público que, pese a su carácter de soft law, se ha convertido en la práctica de casi obligada aplicación para las 655 empresas (últimos datos disponibles) que reúnen el carácter de EIP en nuestro país.
Si bien los requisitos de nombramiento, composición, grado y diversidad de los conocimientos técnicos que deben tener sus miembros, así como en general las amplias funciones que en la actualidad se pretenden de las Comisiones de Auditoría excederían el objeto de este artículo, resaltar únicamente aquí que, por lo que respecta al SCIIF, el entendimiento del sistema de control interno de la información financiera y la evaluación de su eficacia es uno de los cometidos más significativos de la Comisión de Auditoría. Concretamente, y de acuerdo con las citadas recomendaciones, la Comisión de Auditoría debe conocer y entender suficientemente y supervisar la eficacia del sistema de control interno de la información financiera, así como estar en condiciones de concluir sobre el nivel de confianza y fiabilidad del sistema y elaborar en su caso propuestas de actuaciones de mejora. Al margen de poder solicitar la opinión de expertos ajenos a la compañía, se incluye además de manera novedosa como función de la Comisión el recibir informes de los responsables de control interno y de la auditoría interna.
Por lo que respecta a las sociedades mercantiles estatales es conocido que desde el año 2003 están obligadas a constituir en su seno una Comisión de Auditoría y Control, dependiente del Consejo, aquellas sociedades obligadas a someter sus cuentas a auditoría de cuentas anuales. Puede también ocurrir, como adelantábamos al comienzo de este artículo, que existan organismos públicos que pese a no tener la consideración de sociedades mercantiles y no serles por tanto de aplicación el artículo 180 de la LPAP (o equivalente en el ámbito autonómico o local), deban igualmente constituirla por ser emisores de instrumentos financieros y estar sujetos, en consecuencia, a los requisitos y exigencias establecidas para las sociedades de capital cotizadas.
No obstante la obligatoriedad legal para las entidades y sociedades mercantiles estatales señaladas, y pese a algunos esfuerzos realizados en los años siguientes a la entrada en vigor de la LPAP en los que se trató de establecer un contenido mínimo y unas reglas de funcionamiento comunes para las comisiones de auditorías de compañías públicas, es una realidad que el notable refuerzo de las reglas de gobernanza de compañías privadas (con funciones cada vez exigentes y con un mayor grado de especialización e implicación de los miembros) se ha venido alejando progresivamente del modo de funcionamiento de sus homónimas públicas, siendo las diferencias relativas al SCIIF tan solo un ejemplo de ello. En este alejamiento entre ambas concepciones han podido contribuir tanto la falta de un impulso firme y decidido por parte del legislador y de los órganos administrativos que les hubiera correspondido dicho impulso para su desarrollo, dudas respecto al modelo de control hacia el que debe avanzarse (legalidad vs. control financiero) y por último, el desigual interés y grado de conocimiento de los miembros de este tipo de órganos de supervisión que (de manera hasta cierto modo comprensible si las mayores funciones y responsabilidades no vienen acompañadas de otras serie de medidas) no parecen estar dispuestos a adoptar en su seno más competencias que aquellas estrictamente necesarias. Ejemplos como el anterior nos debería llevar a reflexionar, sin ambigüedades, hacia qué tipo de modelo de control interno queremos avanzar para una mejor gestión de los recursos públicos.
BIBLIOGRAFÍA
Recomendaciones Grupo de Expertos sobre el Control Interno de la Información Financiera. Junio 2010
Código de Buen Gobierno de las Sociedades Cotizadas. CNMV. Febrero 2015.
Circular 7/2015 por lo que se establecen los modelos anuales de informe de gobierno corporativo (revisión en trámite de información pública).
Nota Técnica 3/2016 de la IGAE sobre planificación y evaluación del control interno en la auditoría de cuentas.
Aplicación del Marco Integrado de Control Interno (COSO) en el Sector Público Español. Instituto de Auditores Internos. Noviembre 2016.
Guía Técnica 3/2017 sobre Comisiones de Auditoría de Entidades de Interés Público. CNMV. Junio 2017.
International Standard on Assurance Engagements (ISAE) 3000 Revised, Assurance engagement other than Audit of Reviews of Historial Financial Information. IAASB.
Norma Técnica de junio de 2017 de recomendaciones de control interno e informe adicional al de auditoría de cuentas.
Ciclo de sesiones de la Fundación para la investigación sobre el derecho y la empresa. Diciembre 2017.
Pedro Portellano Díez (2017) La nueva composición de la comisión de auditoría y los conocimientos técnicos de sus miembros.