En los últimos cinco o seis años hemos vivido un boom en el desarrollo e implantación de modelos de cumplimiento en organizaciones de distinta naturaleza y tamaño, impulsados por la creciente regulación tanto nacional como internacional en distintos ámbitos: desde la responsabilidad de la persona jurídica, requerimientos fiscales, o normativa en materia de competencia, seguido de cerca, actualmente, por la gestión de la Inteligencia Artificial generativa y su gobernanza, que ha incrementado la necesidad de las organizaciones por asegurar el cumplimiento de las mismas, así como demostrarlo formalmente tanto interna como externamente.
Todos estos nuevos requerimientos y exigencias han hecho que las organizaciones hayan dedicado gran parte de sus recursos al desarrollo e impulso de mecanismos de control para asegurar el cumplimiento con las nuevas normativas que, en la mayor parte de los casos, han sido creados ad hoc de forma separada de otros elemento o ámbitos de control.
Es importante recordar que el origen de todos estos modelos de control y cumplimiento se remontan a aquellos dirigidos al control interno de la información financiera y que se vieron incrementados y su importancia reforzada por normativas como la ley Sarbanes Oxley de 2004, o la guía de la CNMV para entidades cotizadas, en España. En ambos casos se exigían sistemas de control interno, aunque, en este caso particular, sobre la información financiera para asegurar a los inversores transparencia, exactitud e integridad sobre los Estados Financieros y la información que se publicaba en los mercados. Estos Modelos de control fueron los precursores de los Modelos de Cumplimiento.
Así, hasta este momento, y en la mayor parte de las compañías, los modelos de cumplimiento normativo se han venido separando de los modelos de control relacionados con la fiabilidad de la información financiera. Ambos con una finalidad de control, pero gestionados de forma separada debido a los diferentes objetivos que se perseguían con ellos. Es decir: por un lado, cumplir las exigencias de los mercados de valores en cuanto a transparencia y fiabilidad de la información financiera reportada y, por otro, asegurar el cumplimiento de la ley o regulación concreta.
De hecho, en muchos casos el liderazgo de estos modelos de control reside en departamentos o áreas diferentes, atendiendo a la especialización de cada una. Por un lado, los departamentos financieros y, por otro, los departamentos jurídicos, o aquellos específicamente creados para cubrir estas necesidades concretas. En este sentido, en base a nuestra experiencia en el asesoramiento a áreas de Control y/o Cumplimiento, hemos venido observando que, en estas situaciones, cada área define sus propios controles de forma separada o desalineada, generando unos inventarios de riesgos y controles inflacionados y, en muchos casos, solapados, duplicando actividades de control que provocan ineficiencias e incluso fallos en efectividad por sobrecarga de tareas en los control owners o responsables de controles.
Aún cuando hay compañías que han intentado generar Modelos de Control y Cumplimiento Integrados y aprovechar las sinergias, la experiencia nos dice que, a día de hoy, no han terminado de ser implantados de forma efectiva y que siguen existiendo silos que dificultan la verdadera integración y el uso de mecanismos de control que sirvan para cubrir diferentes objetivos en diferentes modelos de Control y Cumplimiento. Es más, aún no se han llegado a plantear realizar un análisis detallado que permita identificar redundancias, aún a sabiendas de que existen.
Desde mediados del año 2023 el PCAOB, que es el regulador de los auditores en Estados Unidos, se encuentra en proceso de modificación y actualización de determinados estándares de auditoría. Uno de ellos, el AS 2405 (NOCLAR-Noncompliance with laws and regulations, que actualmente se encuentran en proceso de revisión los comentarios recibidos al borrador del PCAOB.
Esta actualización entronca, directamente, con los requerimientos habituales de los Modelos de Cumplimiento a través del concepto de cumplimiento de las leyes y regulaciones, y supone un cambio de paradigma en cómo el auditor tiene que analizar y valorar los riesgos de error material considerando, no solo los riesgos asociados con las cuentas contables sino, este específico ítem dentro de sus auditorías integradas, hasta ahora no determinado explícitamente.
En la consulta pública realizada por el PCAOB en el año 2023 se presentaron modificaciones al estándar de auditoría (AS 2405) que tiene, entre otras, la finalidad de que las compañías identifiquen aquellas leyes, normas y regulaciones cuyo incumplimiento pudiera tener un impacto significativo en los Estados Financieros, y asegurar que existe un adecuado control interno del cumplimiento de dichas leyes y regulaciones por el impacto que dichos incumplimientos pudieran ocasionar tanto en el “bottom line” de las compañías debido a posibles sanciones, como al daño reputacional, todo ello con consecuencias negativas para los inversores. Esta norma presenta elementos comunes con las ISA 250 (Revised) y la AU-C 250.
Esta reforma va a suponer para los auditores, además de mayor escrutinio por parte del regulador, entre otras, 2 cuestiones fundamentales:
Esta cuestión, que aparentemente se encuentra acotada, es muy amplia, debido a que las normas y regulaciones que afrontan las organizaciones son numerosas y que no existe una única forma de asegurar el cumplimiento.
Será importante en este nuevo contexto que las organizaciones sean capaces de identificar y documentar las normativas que pudieran impactar a la fiabilidad de la información financiera (cosa que muchas organizaciones con Modelos o funciones de Cumplimiento ya tienen avanzado) y que ese ejercicio derive en la definición de controles. Este análisis, además, deberá ser entregado al auditor para su valoración y análisis de riesgos.
Es en este punto donde enlazamos los Modelos de Control de la Información Financiera con los Modelos de Cumplimiento, más amplios, que hasta este momento habían discurrido por caminos separados y habían sido gestionados, de forma segregada, por expertos o especialistas en diferentes materias específicas. Es decir, a la luz de esta reforma se prevé, por necesidad organizativa relacionada con el aprovechamiento de sinergias y reducción de costes de mantenimiento de los mecanismos de control, cierta convergencia entre los modelos de control.
Es decir, es de esperar, en el medio plazo que necesariamente los Modelos de Control y Cumplimiento gestionados por diferentes áreas, se alineen e integren favoreciendo las sinergias y optimizando y eficientando los elementos de mitigación de riesgos que permitan dar seguridad, por un lado, a los auditores externos y, por otro, a los inversores. Todo ello con objeto de reducir la carga administrativa de la ejecución y documentación de los controles, favorecer el cumplimiento, aportar seguridad a los inversores y facilitar la supervisión de los auditores.
Aun siendo un estándar de auditoría aplicable únicamente a entidades cotizadas en Estados Unidos, es probable que esta tendencia se vaya imponiendo poco a poco en todas las organizaciones como una Buena Práctica, y que los modelos de control tiendan a converger y aprovechar el conocimiento en materia de control de áreas de Control Interno ligadas a la información financiera.
La consideración de estos nuevos requerimientos contribuye a reforzar la importancia de las áreas de Control y Cumplimiento en cuanto a:
iii. Adaptación y/o ajuste de forma efectiva de los presupuestos y recursos dedicados al Control y el Cumplimiento.
De aquí a final de 2025 tendremos que estar pendientes de la publicación definitiva del estándar para identificar las consideraciones adicionales que el Consejo del PCAOB ha incluido sobre la base de los comentarios recibidos y la información recabada en la mesa redonda de marzo de 2024. En adición, necesitará ser aprobado por el SEC.
Deja un comentario