Control Interno Financiero: Ley Sarbanes-Oxley, primer año de aplicación y situación actual en España

Transcripción

1 especial auditoría Control Interno Financiero: Ley Sarbanes-Oxley, primer año de aplicación y situación actual en España Análisis de las consecuencias que supuso para las compañías estadounidenses la implantación de la ley para evaluar anualmente la efectividad del control interno, así como el escenario reciente en nuestro país relativo a la aplicación del Código de Buen Gobierno

2 José Luís Solís Céspedes Socio responsable del Grupo de Gobierno Corporativo y Gestión de Riesgos Ernst & Young Alfredo Pumarino García-Agull Gerente del Centro de Estudios Ernst & Young FICHA RESUMEN Autores: José Luís Solís Céspedes y Alfredo Pumarino García-Agull Título: Control Interno Financiero: Ley Sarbanes-Oxley, primer año de aplicación y situación actual en España Fuente: Partida Doble, núm. 180, inas 86 a 93, septiembre 2006 Localización: PD Resumen: Los autores analizan, a partir de datos empíricos, las consecuencias de la aplicación de la Ley Sabanes-Oxley (SOX), que establece la obligatoriedad para las compañías estadounidenses de presentar una evaluación anual sobre la efectividad del control interno y su revisión por parte de una firma auditora. Los datos corresponden a un estudio elaborado por la firma Ernst & Young, con el objetivo de conocer el esfuerzo realizado por las compañías tras el primer año de aplicación de la SOX. Por otra parte, reseñan la situación actual en España respecto a la realización de procedimientos relacionados con la gestión de riesgos, la auditoría interna y los sistemas de control interno referentes a la información financiera. Descriptores ICALI: Auditoría. Ley Sabanes-Oxley. Control interno. 1. INTRODUCCIÓN En el mes de mayo del año 2003 la Comisión del Mercado de Valores de Estados Unidos (la SEC) aprobó la Ley Sarbanes-Oxley (SOX) que establece, para las compañías cotizadas en las bolsas de valores de este país, la obligatoriedad de presentar una evaluación anual sobre la efectividad del control interno y su revisión por parte de una firma auditora. La SEC establece a estos efectos que el control interno es el proceso establecido por la dirección de la sociedad con la finalidad de ofrecer una seguridad razonable sobre la fiabilidad de la información financiera y la preparación de los estados financieros, de acuerdo con los principios contables generalmente aceptados y que incluye aquellas políticas y procedimientos que: Permiten el mantenimiento de los registros que, con un detalle razonable de exactitud y fiabilidad, reflejen las transacciones de activos en las empresas, Ofrecen una seguridad razonable sobre las transacciones y registros, necesaria para permitir la preparación de los estados financieros de acuerdo con principios contables generalmente aceptados, y que los gastos y los ingresos de la empresa se están realizando únicamente con las autorizaciones pertinentes establecidas por la dirección, y Ofrecen una seguridad razonable acerca de la prevención o detección a tiempo de adquisiciones no-autorizadas, uso o disposición de bienes de la empresa que pudieran tener un efecto significativo sobre los estados financieros. Para cumplir con los requerimientos establecidos en la Sección 404 de la Ley Sarbanes-Oxley, la dirección de la sociedad (CFO y CEO) debe certificar la responsabilidad de la Dirección sobre el establecimiento de una estructura adecuada de control interno y de procedimientos relativos a la Información Financiera y la verificación de la eficacia del sistema de control interno de la información financiera del ejercicio fiscal. El auditor externo tiene que emitir su opinión sobre la corrección de lo certificado por la dirección de la sociedad. Después de sucesivos retrasos en las fechas requeridas para la presentación de las certificaciones exigidas por la Ley, finalmente se establecieron los ejercicios que cierren con posterioridad al 15 de noviembre de 2004 para las sociedades de nacionalidad estadounidense y el 15 de julio de 2006 para sociedades extranjeras y las sociedades norteamericanas de pequeño tamaño. 87

3 especial auditoría nº 180 septiembre 2006 Primer año de aplicación de la SOX, permitió a las compañías detectar y solucionar numerosas deficiencias en sus controles internos 2. RESULTADOS DE LA APLICACIÓN DE LA SOX EN SU PRIMER AÑO Ernst & Young ha elaborado un estudio recopilando la información de las certificaciones de control interno financiero correspondientes al primer ejercicio de aplicación de la Ley, presentadas al 30 de junio de 2005, y encuestando a más de 250 compañías de 19 sectores de actividad, lo que proporciona una visión muy completa de la situación general de la evaluaciones de control interno financiero y de los principales problemas que está creando su aplicación. GRÁFICO 1 DEBILIDADES DE CONTROL SOLUCIONADAS POR TAMAÑO DE SOCIEDADES 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 88 Menos $1,00 m $1 a $5,000 m El esfuerzo realizado por la compañía en el análisis de los procesos de control interno, en la evaluación de sus controles así como en la mejora de las deficiencias encontradas en este primer año ha sido importantísimo, tanto en horas como en costes: $5 a $20,000 m El 60% de las compañías con una cifra de negocios superior a los 20 mil millones de dólares han invertido más de horas en esta fase inicial del proceso. El 41% de las compañías situadas en un rango de facturación entre y millones de dólares han invertido más de horas. Más de $ m Más de 1, a 1, a a a 100 Menos de 50 El 32% de las compañías que facturan entre y millones han dedicado a este proceso más de horas. Estas cifras nos proporcionan una idea de la magnitud del trabajo realizado para evaluar y mejorar las deficiencias de control interno financiero detectadas durante el trabajo de implementación de la Sección 404 de la SOX en el primer año. Por otra parte, las desviaciones producidas en el número de horas incurridas sobre las estimaciones previas fueron muy significativas. El 70% de las compañías incrementó sus estimaciones iniciales en más del 50%. Como resultado del los análisis realizados para cumplir con la SOX, las compañías detectaron numerosas deficiencias en sus controles internos que fueron solucionados previamente a emitir las certificaciones correspondientes. En la mayoría de las compañías el primer año de aplicación de la SOX les permitió detectar y solucionar deficiencias en sus controles internos financieros, proceso de mejora de controles que no se puede dar por finalizado y que deberá continuar en años sucesivos. Así, en las certificaciones presentadas sobre la evaluación de los controles, de las compañías que presentaron su certificación sobre la evaluación de control interno financiero 411 (13,8%) informaron no disponer de sistemas de control interno financiero efectivos. Los resultados generales de la encuesta, después de la aplicación de la SOX en su primer ejercicio, muestran debilidades generales de los controles financieros internos superiores a lo inicialmente previsto. Las debilidades significativas, asumidas por la Dirección y confirmadas por los auditores en este primer ejercicio, reflejan la existencia de problemas y por tanto la oportunidad de realizar mejoras sustanciales en el control interno financiero de las compañías que minimicen los riesgos de errores e irregularidades financieras y contables. Las compañías,

4 Control Interno Financiero: Ley Sarbanes-Oxley independientemente de cumplir con las exigencias legales aplicables en sus respectivos países, deberían preguntarse sobre la situación de su propia organización del control interno. La mayor parte de las compañías que declararon debilidades significativas en su control interno tenían relación con la preparación de los formularios para la SEC (10-K) en cuanto a: La aplicación de los principios y normas contables, Revisión de transacciones inusuales, El 14% de las compañías no disponían de sistemas de control interno financiero efectivos CUADRO 1 LECCIONES APRENDIDAS EN EL PRIMER EJERCICIO DE CERTIFICACIÓN 404 Organización de personal, Entorno de control, Documentación, Compañías Compañías Proceso de cierre de los estados financieros y consolidación, Contabilización de impuestos, Conciliación de las cuentas con empresas del grupo, Correcta contabilización de los arrendamientos financieros, Debilidades Materiales Deficiencias Significativas Deficiencias de control Inaceptable Riesgo Alto Riesgo a controlar 14%?%?% Reconocimiento de ingresos. Hay que tener en cuenta que cada debilidad de control interno en sí misma puede no ser una debilidad material, sin embargo agregada a otras debilidades de control puede llegar a constituir una debilidad calificada como material. La dirección de las sociedades considera que la aplicación de la SOX ha mejorado la gestión y el control interno de sus compañías, mejorando la comprensión de sus procesos y controles, identificando deficiencias y proponiendo las mejoras pertinentes. Los aspectos que las compañías valoran como más positivos de la experiencia son principalmente la mejora en la responsabilidad sobre los controles, la mejora de los procesos de generación de información financiera y las mejoras en los sistemas. GRÁFICO 2 PORCENTAJE DE MEDIDAS DE CONTROL INTERNO POR CATEGORÍAS 11% 27% 3% 3% 1% 6% 7% 9% 34% Documentación Controles antifraude y controles generales a nivel entidad Proceso de cierre de los Estados Financieros Controles IT Consolidación Intercompañías Otros Personal Asuntos contables 89

5 especial auditoría nº 180 septiembre 2006 El 40% de las compañías tuvieron que realizar mejoras en los controles establecidos en los procesos de cierre de los estados financieros El 25% de las grandes empresas objeto del estudio identificaron y solucionaron mas de 500 deficiencias en sus controles internos y el 70% de las sociedades resolvieron problemas relevantes en los sistemas de información. Más de un 80% espera volver a probar al menos el 75% de los controles identificados el primer año dedicando una parte importante de los recursos de auditoría interna. De las debilidades materiales de control informadas, un 34% correspondían al proceso general de cierre de los estados financieros y el 27% afectaban a temas significativos en el control específico de algunas cuentas Proceso de cierre de los estados financieros El 40% de todas las compañías encuestadas tuvieron que realizar mejoras significativas en los controles establecidos en los procesos de cierre de los estados financieros. El 34% de todas las deficiencias destacadas están relacionadas con este proceso y se refieren más concretamente a: La aplicación de principios y políticas contables (37%) Revisión de transacciones significativas o inusuales (31%) Proceso de cierre de los estados financieros y proceso de consolidación (18%) Conciliación de las cuentas intercompañía (14%) GRÁFICO 3 DEFICIENCIA POR PROCESO Y POR ÁREA Deficiciendas de controles por proceso Áreas clave por deficiencias detectadas 19% 80% 70% 72% 53% 60% 50% 40% 30% 49% 40% 32% 28% 20% 10% 12% 11% 0% Procesos rutinarios 53% Procesos no rutinarios 28% Procesos de estimación 19% IT y Sistemas Operaciones del negocio Procesos de cierre de Estados Financieros Impuestos Controles generales a nivel de compañía Otros 90

6 Control Interno Financiero: Ley Sarbanes-Oxley GRÁFICO 4 PRINCIPALES ÁREAS CON CONTROLES INEFECTIVOS Resultados del primer ejercicio del 404 9% 7% 6% 3% 2% 1% 34% Principales áreas con controles inefectivos: Procesos de cierre de estados financieros 34% Temas significativos a nivel de 27% epígrafes contables Temas de Personal (cualificación) 11% 11% 27% Controles generales a nivel de entidad 9% y antifraude Documentación 7% Controles de IT 6% Controles generales a nivel de entidad & antifraude Temas significativos a nivel de epígrafes contables Temas de Personal (cualificación) Documentación Procesos de cierre de EEFF Multilocalización Controles de IT Temas de fusiones Otros Multilocalización 3% Funciones y otros 3% El proceso de cierre de los estados financieros es un proceso importante para asegurar la corrección en los datos de la información financiera que se presenta tanto internamente como a terceros. Sin embargo, las pruebas sobre controles en esta área a menudo se realizaron demasiado tarde para poder solucionar las deficiencias encontradas antes de finalizar el año, en este primer ejercicio de aplicación de la SOX. En los próximos años, la evaluación de los controles establecidos en el proceso de cierre de los estados financieros se debería realizar con tiempo suficiente para permitir introducir los cambios necesarios en el diseño de los controles del proceso que aseguren su correcto funcionamiento y con tiempo suficiente, asimismo, para comprobar y evaluar el nuevo diseño, realizando un cierre completo de los estados financieros en el mes o en el trimestre anterior al cierre del ejercicio. 3. SITUACIÓN ACTUAL EN ESPAÑA En el año 1997 se constituyó una Comisión Especial, con el doble cometido de redactar un informe sobre la problemática de los consejos de administración de las sociedades que operan en mercados financieros, así como de elaborar un Código ético de Buen Gobierno (Código Olivencia), de asunción voluntaria CUADRO 2 QUÉ FACTORES CONTRIBUYEN A REDUCIR EL ESFUERZO (HORAS/COSTE) DEL AÑO 2? Porcentaje de compañías Calidad de la documentación inicial 94% Determinación más precisa del número de controles clave para probar 57% Mejora de las pruebas a realizar 45% Reducción en la estructura de personal de Gestión del Proyecto 39% Mejoras generales en el proceso 22% Sustitución de controles manuales por automáticos 14% 91

7 El Comité de Auditoria identificará en la política de gestión de riesgos, entre otros, los distintos tipos de riesgo a que se enfrenta la sociedad, incluyendo, entre los financieros o económicos, los pasivos contingentes y otros riesgos fuera de balance, la probabilidad de que se materialicen y la fijación del nivel de riesgo que la sociedad considere acepespecial auditoría nº 180 septiembre 2006 Código de Buen Gobierno: el Comité de Auditoría revisará los sistemas de control interno y de gestión de riesgos 92 por este tipo de sociedades. Se trataba de analizar el funcionamiento de los consejos de administración en un momento en el que múltiples empresas iban a ser privatizadas, con el correspondiente aumento de accionistas. Transcurridos seis años desde la promulgación del Código Olivencia, se constituyó una Comisión Especial (Comisión Aldama) para el Fomento de la Transparencia y la Seguridad en los mercados financieros y las Sociedades Cotizadas. Esta Comisión tenía la finalidad de: informar sobre el grado de observancia del Código de buena conducta de los Consejos de Administración de las sociedades cotizadas, dar mayor seguridad y protección a los accionistas e inversores, contemplando las relaciones existentes entre las sociedades emisoras de valores y las personas, tanto físicas como jurídicas, que le prestaban sus servicios, y aumentar la transparencia de los mercados. Dicha Comisión determinó en sus conclusiones la conveniencia de un soporte normativo en el ámbito del fomento de la transparencia, con mandatos cuyo cumplimiento no dependieran sólo de la libre y voluntaria determinación de las propias empresas destinatarias, las sociedades cotizadas. A estos efectos, se promulgó la Ley 26/2003 que, a través de la reforma de la LMV y de la LSA, plasmó las principales conclusiones de la Comisión Aldama. Transcurridos tres años desde la Comisión Aldama, como consecuencia de las novedades legislativas introducidas desde 2003, de las recomendaciones de la Comisión Europea, así como de los comentarios recibidos durante la fase de consulta pública, el Grupo Especial de Trabajo, creado por el Gobierno para asesorar a la CNMV en la armonización y actualización de las recomendaciones de los Informes Olivencia y Aldama, aprobó el 19 de mayo el informe que contiene el Código Unificado de Buen Gobierno (Código, en adelante). El Código comienza con una declaración de principios en la que se pone de manifiesto que las declaraciones contenidas en el mismo son de carácter voluntario, no obstante las sociedades que no cumplan las recomendaciones deberán manifestar en el Informe Anual de Gobierno Corporativo de 2008 por qué no las cumplen (principio anglosajón comply or explain ). Por otra parte, se indica que las sociedades que decidan aplicar las directrices del Código deberán ser respetuosas con las definiciones y conceptos en él contenidos. Por tanto, corresponderá a los accionistas, a los inversores y en general a los mercados valorar las explicaciones que las sociedades cotizadas den sobre el grado de cumplimiento de las recomendaciones. Las recomendaciones del Código hacen referencia a normas de buen gobierno relativas a los estatutos y la Junta General de Accionistas, la composición y competencias del Consejo de Administración, así como al funcionamiento y composición de las Comisiones Delegada o Ejecutiva, de Nombramientos y de Retribuciones y la Comisión de Auditoría. Las recomendaciones relativas a la Comisión de Auditoría son las que tratan del control interno, la gestión del riesgo y de la información financiera que nos ocupa. El Código en este apartado integra lo dispuesto en una recomendación de la Comisión Europea, de 15 de febrero de 2005, con lo establecido por la LMV.

8 Control Interno Financiero: Ley Sarbanes-Oxley table, así como las medidas previstas para mitigar el impacto de los riesgos identificados. Del mismo modo, se encargará de supervisar el proceso de elaboración y la integridad de la información financiera relativa a la sociedad y, en su caso, al grupo, revisando el cumplimiento de los requisitos normativos, la adecuada delimitación del perímetro de consolidación y la correcta aplicación de los criterios contables. Revisará, igualmente, los sistemas de control interno y de gestión de riesgos de forma periódica, con el fin de que se identifiquen, gestionen y se den a conocer adecuadamente los principales riesgos. Velará por la independencia y eficacia de la función de auditoría interna. En este sentido, propondrá la selección, nombramiento, reelección y cese del responsable del servicio auditoria interna, propondrá el presupuesto para ese servicio, recibirá información periódica sobre sus actividades y verificará que la alta dirección tenga en cuenta las recomendaciones y conclusiones de sus informes. Así mismo, establecerá y supervisará un mecanismo que permita a sus empleados comunicar, de forma confidencial y anónima, en su caso, las irregularidades de potencial trascendencia, especialmente financiera y contable, que adviertan en la empresa. 3.1 Proyecto de Ley de Reforma Mercantil El Proyecto de Ley de Reforma y Adaptación de la Legislación Mercantil en Materia Contable para su Armonización Internacional con Base en la Normativa de la Unión Europea estipula en dos apartados de sendos artículos del Código de Comercio y de la Ley de Sociedades Anónimas que Los grupos en los que alguna de las sociedades que los integran hayan emitido valores admitidos a negociación en un mercado regulado de cualquier Estado miembro de la Unión Europea, incluirán en el informe de gestión su informe de gobierno corporativo. Estos procedimientos en el ámbito español no se estiman tan costosos como los que ha supuesto la SOX, según la línea del Código 4. CONCLUSIONES Transparencia, información fiable, confianza de inversores y mercados son el objeto de las normas, obligatoria la primera y voluntaria la segunda. Posiblemente, la realización de procedimientos en el ámbito español en relación con la gestión de riesgos, la auditoría interna y los sistemas de control interno referentes a la información financiera, no se estiman tan costosos como los que ha supuesto la SOX 404. Entendemos que el Código Unificado va en esta línea. En una encuesta realizada en julio de 2005 entre los 137 mayores fondos de inversión internacionales, por Taylor, Nelson y Solves, y patrocinada por Ernst & Young, se puso de manifiesto que el 69% de los encuestados asignan una prioridad alta a la transparencia cuando hacen una inversión en una compañía, el 89% admiten un premium para las compañías que realizan una gestión de riesgos exitosa y finalmente el 62% de ellos admiten que no realizaron inversiones en compañías cuya gestión de riesgos fue juzgada como insuficiente y, lo que más grave, realizaron desinversiones en empresas al juzgar su gestión de riesgos como inadecuada. Bajo el principio de cumplir o explicar que inspira el código unificado, explicar algo sobre estas materias significa o puede significar: no gestionar estos aspectos y los mercados lo tendrán en cuenta en el momento de hacer sus valoraciones, como se ha puesto de manifiesto en la encuesta mencionada. 93