10Minutos Las novedades más interesantes para tu negocio. Elaborado por PricewaterhouseCoopers Marzo 2010

Transcripción

1 Las claves sobre la reforma del control interno de las compañías cotizadas 10Minutos Las novedades más interesantes para tu negocio. Elaborado por PricewaterhouseCoopers Marzo 2010 La CNMV desarrolla las nuevas obligaciones legales sobre control interno sobre la información financiera en entidades cotizadas En diez segundos La CNMV impulsa la mejora del control interno en las entidades cotizadas y ha publicado el documento: Control interno sobre la información financiera en entidades cotizadas. Incluye un marco de referencia con 30 buenas prácticas en materia de control interno sobre la información financiera y un modelo para supervisar la eficacia de los sistemas de control de las compañías. El Informe Anual de Gobierno Corporativo (IAGC) deberá reflejar en qué consiste el sistema de control interno sobre la información financiera. Para ello se deberán abordar, al menos, 16 indicadores de referencia. Las compañías cotizadas tendrán que decidir qué mecanismos quieren implantar, cómo supervisarlos y qué papel tendrá el auditor externo. Será más complicado esquivar responsabilidades sobre información financiera que pueda resultar errónea, lo que fomentará la implantación de mecanismos de control sobre la preparación y presentación de la información Nuevo marco regulatorio y nuevas obligaciones Dos nuevas obligaciones legales surgen de la Ley de Auditoría de Cuentas (LAC) y de la Ley de Desarrollo Sostenible, sobre las que se centra la reforma promovida por la CNMV: Los comités de auditoría serán responsables de supervisar la información financiera y la eficacia de los sistemas de control interno y gestión de riesgos de la entidad. Las compañías tendrán que informar a los mercados de cuáles son sus sistemas de control interno sobre la información financiera (SCIIF) a través del Informe Anual de Gobierno Corporativo (IAGC). 2. Documento de control interno El desarrollo promovido por la CNMV se ha orientado a elaborar un Marco de Referencia sobre el SCIIF, una Guía para la preparación de su descripción, así como prácticas generalmente aceptadas sobre la labor de supervisión del SCIIF a realizar por el comité de auditoría. 3. Cómo abordar este nuevo entorno La responsabilidad sobre los sistemas de control interno reside en las propias entidades. Son los propios administradores y los miembros de los comités quienes tendrán que decidir hasta dónde desarrollar sus mecanismos de control interno. La compañías deberían comparar en cualquier caso sus prácticas actuales con el Marco de Referencia publicado por la CNMV (u otro marco generalmente reconocido) y confirmar cuáles resultan aplicables a la entidad y si las 30 propuestas le son suficientes. En cuanto a supervisión se podrán realizar desde revisiones concretas hasta evaluaciones completas. Para la supervisión en el ámbito interno, las compañías pueden solicitar la colaboración de terceros. 4. Los factores clave en la decisión Los criterios más destacados son el perfil de riesgo, el grado de desarrollo de los sistemas de control, las necesidades de la entidad y los recursos disponibles.

2 01 Por qué surge el cambio impulsado por la CNMV? Qué nuevas obligaciones tendrán las compañías cotizadas? El Mercado necesita más elementos para valorar la fiabilidad de la información financiera con la finalidad de aumentar la confianza en las compañías cotizadas. La Unión Europea y los reguladores entienden que es preciso ampliar la transparencia informativa y aumentar los mecanismos que aseguren que la información financiera es fiable. Se generan dos nuevas obligaciones legales surgidas de la Ley de Auditoría de Cuentas (LAC) y de la Ley de Desarrollo Sostenible: Por una parte, los miembros del comité de auditoría serán responsables de supervisar la información financiera que se publique en los mercados y, además, de supervisar si los sistemas de control interno (que incluyen en SCIIF) y los sistemas de gestión de riesgos son eficaces. Por otra, las compañías tendrán que informar a los mercados de en qué consisten sus SCIIF a través del Informe Anual de Gobierno Corporativo (IAGC). En este contexto, la CNMV ha promovido un grupo de trabajo (GTCI) para la elaboración del documento Control interno sobre la información financiera en entidades cotizadas. Con este trabajo, el regulador especifica: qué es control interno sobre la información financiera, un modelo para supervisarlo y qué información deben recibir los mercados al respecto. El documento estará en fase de consulta pública hasta el 18 de abril. La reforma promovida por la CNMV y las propuestas del GTCI se han dirigido a aproximar el marco español a los de otros países de nuestro entorno, promover el desarrollo de los sistemas de control interno y lograr una aplicación efectiva, homogénea y razonable en términos de coste / beneficio de las nuevas obligaciones de las compañías. El conjunto de propuestas se ha centrado en el SCIIF de las entidades, que es sólo una parte del sistema de control interno y gestión de riesgos de las mismas (por lo que se refiere solamente a una parte de las nuevas obligaciones de los comités). Por tanto, no han tenido como objeto abordar cuestiones que exceden el ámbito de la transparencia de los mercados. En adelante, resultará más complicado esquivar la responsabilidad sobre efectos de información financiera que posteriormente se revelase errónea, incompleta o fraudulenta.

3 02 En qué consiste y qué partes tiene el documento impulsado por el regulador? Se trata de una norma voluntaria u obligatoria? El documento Control interno sobre la información financiera en entidades cotizadas contiene tres partes esenciales: Marco de Referencia, Guía para la preparación de la descripción del sistema de control interno y un capítulo sobre La Labor de supervisión del sistema de control interno sobre la información financiera a realizar por el comité de auditoría. 1. Marco de Referencia Su objetivo es sentar las bases sobre qué es el SCIIF para que las entidades puedan comparar sus actuales prácticas con otras generalmente aceptadas. Además, servirá a inversores, comités de auditoría y auditores externos para evaluar el desarrollo del SCIIF de cada entidad. El marco de referencia se basa en COSO (The Committee of Sponsoring Organizations of the Treadway Commission) e incorpora 30 prácticas generalmente recomendadas distribuidas en sus cinco componentes: Entorno de control, Evaluación de riesgos, Actividades de control, Información y comunicación y Supervisión del funcionamiento del sistema. Las 30 prácticas del Marco de Referencia son de carácter voluntario pero cabe destacar la referencia al carácter vinculante de las definiciones y conceptos. Esta obligatoriedad se limita a la utilización de los términos cuando se informe públicamente sobre el SCIIF. 2. Guía para la preparación de la descripción del SCIIF Recoge dieciséis indicadores de referencia que servirán a los usuarios de la información para conocer hasta qué punto los mecanismos de control de cada entidad están desarrollados. La información sobre la implementación y características de esos indicadores en la entidad tendrán que incluirse en el Informe Anual de Gobierno Corporativo (IAGC). 3. La Supervisión del SCIIF a realizar por el comité de auditoría Incorpora un marco de actuación para comités de auditoría. Tiene dos capítulos. El primero indica las responsabilidades del comité en relación con el SCIIF, y en quiénes y cómo se pueden delegar trabajos para cubrirlas. El segundo se centra en el proceso de evaluación e incluye prácticas generalmente aceptadas y recomendaciones para realizar esos trabajos.

4 03 Cómo abordar este nuevo entorno normativo? Los administradores y los miembros de los comités de auditoría tendrán que decidir qué mecanismos quieren implantar, cómo desarrollar la función supervisora y qué papel tendría el auditor externo. Las empresas tienen las siguientes opciones por lo que respecta al alcance de las mejoras en los sistemas de control: Comparar sus prácticas actuales con el Marco de Referencia y documentarlas sin realizar cambios (cabe recordar que este marco es de carácter voluntario, pero su terminología es vinculante). Comparar su sistema de control actual con el Marco de Referencia y desarrollar aquellas prácticas que no tenga implementadas. Comparar su sistema con la nueva norma y desarrollar de manera programada las prácticas no implementadas que puedan ser aplicables, razonando la no adopción de otras. Revisar las prácticas en curso y armonizar el sistema con un marco de control reconocido, implementando cada práctica que éste sugiera. Estas dos últimas son las opciones generalmente recomendables. En cualquier caso, la entidad debería confirmar antes qué prácticas resultan aplicables a la entidad y si las 30 propuestas son suficientes.

5 04 Qué tienen que hacer las compañías cotizadas para adaptarse a los nuevos requerimientos? En cuanto a la supervisión, las compañías podrán realizar desde revisiones concretas de procesos o controles hasta evaluaciones completas in house del sistema, pasando por otras opciones intermedias. Las compañías deben tener en cuenta cuestiones fundamentales como la identificación de riesgos y los controles clave sobre los que centrar la supervisión. Los responsables de abordar los nuevos requerimientos deberían plantearse cuestiones como qué podría estar mal en el informe financiero?, dónde están los riesgos de error o irregularidades?, son sólidos los sistemas informáticos que recogen y procesan la información financiera?, etc. Además, la estrategia para abordar este análisis debería contemplar cuestiones relacionadas con la frecuencia de las revisiones, la repercusión de las debilidades encontradas, la manera de documentar la supervisión o los responsables de ejecutar cada tarea, entre otras. Las compañías pueden solicitar la colaboración de terceros para llevar a cabo el proceso de supervisión. Por otra parte, podrán solicitar informes de auditores externos: éstos podrían consistir simplemente en someter la descripción del sistema a la revisión específica del auditor, o bien añadir a este análisis básico una evaluación de la eficacia de su diseño, de su funcionamiento o de ambos. La opción más completa sería solicitar un informe que cubra, además de la auditoría de la información financiera, el funcionamiento eficaz del sistema de control interno de la entidad (auditorías integradas).

6 05 Cuáles son los factores clave a la hora de abordar lo que indica la nueva normativa? Cada entidad abordará la aplicación de la nueva normativa en función de varios factores, pero los más destacados son: Perfil de riesgo: En función del perfil de riesgo de las entidades, podrá existir un mayor incentivo para dotar a las mismas de sistemas robustos, realizar supervisiones con mayor profundidad y frecuencia, así como respaldar éstas con el trabajo de un auditor externo. Grado de desarrollo de los sistemas de control: Cuanto menos desarrollados estén los mecanismos actuales, más se necesitará la implementación de nuevos controles, con un adecuado balance entre, por ejemplo, controles preventivos y detectivos, manuales y automáticos, o generales y a nivel de procesos, siendo recomendable partir de una evaluación inicial. Necesidades de la entidad: Cuanto más necesidad exista de captar fondos, de fortalecer los ratings, de cumplir con covenants o de responder a requisitos regulatorios, más decisivo será contar con información que demuestre la solvencia de los sistemas de control interno. Recursos disponibles: Los recursos que cada compañía pueda dedicar a sus mecanismos de control son un factor determinante. No obstante, éstos dependerán de las prioridades y del perfil de cada empresa.

7 06 Cómo te podemos ayudar? PricewaterhouseCoopers ha jugado un rol protagonista en los cambios introducidos en materia de control interno, persiguiendo su razonabilidad y el equilibrio entre las necesidades de los mercados, los requerimientos de la Unión Europea, la mejora de la competitividad de las entidades españolas y el potencial de crecimiento de nuestros mercados de capitales. PwC ha sido miembro del Grupo de trabajo promovido por la CNMV. Nuestra experiencia en el desarrollo y aplicación posterior de normas de información financiera, de modelos de control interno, así como nuestro conocimiento de los mercados de capitales nos permiten prestar servicios de asesoramiento y de auditoría en materia de control interno sobre la información financiera con la mayor extensión y solvencia. Con un enfoque multidisciplinar, PwC presta servicios en las siguientes áreas: Diagnóstico inicial para identificar fortalezas y debilidades, determinar áreas críticas y aspectos sobre los que actuar, así como analizar las diferencias entre las recomendaciones de la CNMV y las prácticas de la entidad. Asesoramiento en la resolución de debilidades del SCIIF: diseño, elaboración de manuales de procedimientos, definición de controles e implementación de oportunidades de mejora. Asesoramiento y asistencia en el proceso de supervisión para maximizar su eficacia y eficiencia. Informes de revisión especial y auditoría: sobre la descripción del sistema, sobre el diseño, implantación, funcionamiento o ambos, sobre la seguridad e integridad de los sistemas de información asociados, o incluso auditorías integradas (Opinión combinada sobre la información financiera y sobre la eficacia del sistema de control interno que asegura su fiabilidad). Planes de Continuidad de Negocio. Revisiones de seguridad informática y de controles generales informáticos. Servicios de auditoría interna. Elaboración de mapas de riesgos e implantación de sistemas de gestión de riesgos. Otros servicios: asesoramiento para reporte en el IAGC, co-sourcing de actividades de control, revisión de procedimientos externalizados, benchmarks sobre requisitos internacionales y selección/ evaluación de personal.

8 Si desea solicitar la Guía rápida de la nueva normativa, puede hacerlo a través del siguiente capitalmarkets@es.pwc.com Si necesita más información puede contactar con: Rocío Fernández Funcia Socia Mercado de Capitales y miembro del grupo de trabajo de control interno promovido por la CNMV Tel.: rocio.fernandez@es.pwc.com Carlos Sobrino Director Mercado de Capitales y miembro del grupo de trabajo de control interno promovido por la CNMV Tel.: carlos.sobrino.hernandez@es.pwc.com Ferrán Rodríguez Socio Grupo Gobierno Responsable Tel.: ferran.rodriguez@es.pwc.com Ramón Abella Socio Governance, Risk and Compliance Tel.: ramon.abella.rubio@es.pwc.com 2010 PricewaterhouseCoopers. Todos los derechos reservados. PricewaterhouseCoopers se refiere a la red de firmas miembros de PricewaterhouseCoopers International Limited; cada una de las cuales es una entidad legal separada e independiente.