Investigaciones y Publicaciones

Transcripción

1 Investigaciones y Publicaciones 2012 (I) Comités de Auditoría Contexto Regulatorio, Buenas Prácticas y Tendencias Ferrán Rodríguez Arias Ramón Abella Rubio Joaquín Guerola Gonzálvez Ana Cendón Cubero Raquel Valencia Ramírez

2

3 Comités de Auditoría Contexto Regulatorio, Buenas Prácticas y Tendencias 1 Ferrán Rodríguez Arias Ramón Abella Rubio Joaquín Guerola Gonzálvez Ana Cendón Cubero Raquel Valencia Ramírez

4 2

5 Índice ÍNDICE Prólogo... pág. 5 Resumen Ejecutivo... pág. 7 Capítulo 1... pág. 13 Reporting de Información financiera... pág. 13 I. El rol de supervisión del Comité en el reporting de información financiera... pág. 13 II. El Sistema de control interno sobre la información financiera (SCIIF)... pág. 20 Capítulo 2... pág. 25 Gestión de Riesgos y Control Interno... pág. 25 I. Sistema de Gestión de Riesgos y Control Interno... pág. 25 II. Riesgo de Fraude... pág. 34 Capítulo 3... pág. 39 Auditoría Interna... pág. 39 I. La relación del Comité con la función de Auditoría Interna... pág. 39 II. Los recursos de la función de Auditoría Interna... pág Capítulo 4... pág. 51 Auditoría Externa... pág. 51 I. Nombramiento del auditor externo... pág. 51 II. Independencia y servicios distintos a los de auditoría... pág. 56 Capítulo 5... pág. 67 Aspectos clave de Funcionamiento... pág. 67 I. Composición de los Comités de Auditoría... pág. 67 II. Conocimiento y experiencia necesarios... pág. 72 III. Asesoramiento externo... pág. 76 IV. Reuniones... pág. 79 V. Evaluación de desempeño... pág. 82 Anexos... pág. 86 Anexo A. Detalle metodológico del estudio... pág. 86 Anexo B. Guía de entrevistas a los Comités de Auditoría... pág. 86 Anexo C. Bibliografía y fuentes... pág. 91 Anexo D. Relación de empresas participantes... pág. 92 Anexo E. Autores del informe... pág. 93 Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

6 4

7 Prólogo PRÓLOGO En los últimos años, se ha producido a nivel internacional una tendencia creciente en la emisión de normativa en materia de Buen Gobierno, con el objetivo de mejorar la calidad y transparencia en la información facilitada por parte de las compañías cotizadas a sus grupos de interés. En los esquemas de esta creciente emisión de normativa, el Comité de Auditoría ha sido posicionado por los reguladores como una pieza clave en la estructura de Gobierno Corporativo de las compañías cotizadas. El creciente interés por el papel del Comité de Auditoría en materia de Gobierno Corporativo de las compañías cotizadas, unido a las turbulencias financieras de los últimos tiempos, le han otorgado un papel cada vez más relevante, siendo las exigencias y responsabilidades para sus miembros también más elevadas. 5 En este contexto, el presente estudio sobre Comités de Auditoría de compañías cotizadas pretende recoger las tendencias actuales en la normativa que les son de aplicación, su funcionamiento y su efectividad, estableciéndose un doble objetivo: Identificar las tendencias de normativas aplicables a los Comités de Auditoría, analizando de forma comparativa las normas y recomendaciones emitidas en Estados Unidos y la Unión Europea, profundizando en este último caso en determinados países que forman parte de la misma. Analizar factores clave y buenas prácticas de funcionamiento de Comités de Auditoría en compañías cotizadas en España, a través del estudio de información pública contenida en las memorias anuales de Gobierno Corporativo junto con la realización de encuestas a miembros de sus Comités de Auditoría y comparándolos con las tendencias de normativa aplicable. Las conclusiones, para su mayor comprensión y aplicabilidad, se muestran en cada uno de los diferentes capítulos que constituyen tanto las responsabilidades principales de los Comités de Auditoría, como también los aspectos clave para su funcionamiento, detallados tal como sigue: Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

8 Responsabilidades clave: Reporting Financiero Gestión de Riesgos y Control Interno Auditoría Externa Auditoría Interna Aspectos clave de funcionamiento: Independencia y eficacia Comunicación y relaciones del Comité de Auditoría con la Dirección y otros Órganos de Gobierno Figura 0.1 Responsabilidades y aspectos clave de funcionamiento del Comité de Auditoría Comités de Auditoría 6 Reporting Financiero Supervisión de la información financiera Adecuación de las políticas contables Actualización continua y adaptación a la nueva normativa Gestión de Riesgos y Controles Interno Entendimiento de las áreas clave de riesgo Efectividad de los controles Riesgo de fraude Código de conducta / ético Denuncia de irregularidades Auditoria Externa Responsabilidades Auditoría Interna Elección y remuneración Alcance del trabajo Requisitos de independencia Hallazgos significativos de auditoría / recomendaciones Revisar el desempeño de los auditores externos Alcance del trabajo Efectividad de la Auditoría Interna Respuesta a las recomendaciones de Auditoría Interna Independencia Requisitos de conocimientos Evaluación anual del desempeño Reuniones Aspectos clave de funcionamiento Relaciones con la Dirección Actualizaciones y recomendaciones Reporte al Consejo y a los accionistas Eficacia del sistema para asegurar el cumplimiento de leyes y reglamentos Cada capítulo se inicia con los temas concretos que se tratan y una perspectiva general de los mismos, continuando con el análisis comparativo de la normativa aplicable en los países dentro del alcance y el estudio de las prácticas identificadas en compañías españolas cotizadas. Cada capítulo se cierra con conclusiones sobre tendencias observadas y el grado de alineamiento con la normativa y prácticas identificadas.

9 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias RESUMEN EJECUTIVO La efectividad del Comité de Auditoría en las compañías cotizadas constituye, cada vez más, uno de los aspectos críticos para los Grupos de Interés. Como respuesta, hemos analizado las recomendaciones y normativa actualmente vigente en distintos países, además de las prácticas de Comités de Auditoría de compañías cotizadas en el IBEX-35. El objetivo principal ha sido identificar tendencias normativas y de funcionamiento. La conclusión más relevante es que las crecientes exigencias a los Comités de Auditoría, más allá de su eficacia, se centra ahora en que abarquen un mayor ámbito de responsabilidades y por tanto, de actividades, quedando patente no sólo en las exigencias del regulador, sino también de otros grupos de interés (dirección, analistas, entidades financieras, accionistas, etc.). 7 Estas exigencias están obligando a que los Comités adopten un rol de supervisión cada vez más protagonista, no sólo en los ámbitos de responsabilidad tradicionales, sino también en otros aspectos clave en los que hasta hace poco tiempo no representaban una involucración significativa, y que en forma de resumen incorporamos a continuación. Reporting de Información financiera En cuanto al Reporting de Información Financiera, el presente estudio refleja que los Comités de Auditoría más efectivos conocen y comprenden las principales políticas y criterios contables y otros aspectos relevantes para la fiabilidad de dicho reporting. Las buenas prácticas identificadas muestran que los Comités deben tener (o en su caso incrementar) la relación con otros órganos de gobierno de la compañía (por ejemplo, con el Comité de Remuneraciones para entender el sistema de compensación y las implicaciones en el reporting) y otros involucrados en la elaboración de la información financiera para obtener un mejor entendimiento de la misma (por ejemplo, el Comité debe apreciar de forma detallada la dimensión en la que la dirección puede modificar los estados financieros a través de estimaciones y cambios en las políticas contables). Las buenas prácticas indican también que la tendencia es que los Comités de Auditoría consideren el Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

10 Reporting Financiero en su modalidad más amplia. Deben involucrarse, no sólo en la información facilitada a la CNMV, sino también en la información proporcionada para las publicaciones de prensa sobre resultados, así como en la información financiera facilitada a los analistas y agencias de calificación. Con el fin de aportar a los Grupos de Interés un mayor confort sobre la fiabilidad de la información financiera reportada, los Comités deben asumir cada vez mayores responsabilidades en relación a su Sistema de Control Interno. En esta línea, los países europeos han ido incrementando cada vez más su nivel de exigencia. Del mismo modo, en España, se prevé una mayor involucración del Comité de Auditoría en la supervisión del sistema de control interno de la información financiera (en adelante SCIIF). Su rol ha empezado a ser más relevante con la supervisión de la formalización del SCIIF y continuará con la supervisión de su efectividad. Para llevar a cabo dicha supervisión, los Comités considerados Mejor Práctica, tanto en España como en otros países como Estados Unidos, han intensificado sus actividades en tres ámbitos fundamentales: 8 Conocimiento del negocio de la compañía y de las actividades de control asociadas a los riesgos más relevantes para la fiabilidad de la información financiera. Entendimiento del trabajo de la función de auditoría interna para maximizar el valor aportado por esta última. Mantenimiento de reuniones periódicas con la Dirección, el auditor externo, los gerentes de control interno, el auditor interno y otros expertos que pudieran estar involucrados. Los Comités de Auditoría que quieran aportar el máximo nivel de confort en cuanto a su SCIIF, deberán intensificar su trabajo en estos tres ámbitos. Gestión de Riesgos y Control Interno La falta de regulación e interés en años anteriores, ha supuesto que las agencias de calificación crediticia (S&P, Fitch, Moodys, etc.), el legislador, los reguladores de los mercados (por ejemplo, la CNMV), expertos en Gobierno Corporativo (por ejemplo, el informe The Turnbull Report, que aporta una guía detallada de la supervisión de la gestión de riesgos) y otros Grupos de Interés (inversores, entidades financieras, analistas, etc.), reclamen una mayor eficacia y transparencia en la Gestión de Riesgos de las compañías cotizadas y emisoras de títulos de deuda. En España, las últimas propuestas de modificación del Informe Anual de Gobierno Corporativo marcan una acentuación de este interés, que se consolidará en el medio y largo plazo, obligando a los Comités de Auditoría a prepararse para incrementar significativamente sus actividades de supervisión del Sistema de Gestión de Riesgos. Entre las principales tendencias en este ámbito se pueden destacar las siguientes:

11 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Supervisión del funcionamiento del Sistema de Gestión de Riesgos, enfocándose en aspectos como el alcance de dicho Sistema, la definición de responsabilidades, los criterios de identificación y evaluación de riesgos, los responsables de los planes de respuesta, etc. Integración del Sistema de Gestión de Riesgos con el Sistema de Control Interno y el modelo de Gobierno Corporativo y cumplimiento. El Comité deberá supervisar que dicha integración se realiza de manera adecuada a las necesidades de la compañía, eliminándose duplicidades. El Comité debe centrarse en la supervisión de políticas y procedimientos y, fundamentalmente, en los programas de cumplimiento implementados para promover una conducta y comportamiento adecuados en el conjunto de la compañía. Para ello, los Comités deben intensificar sus reuniones con los Directivos clave en las áreas de Gestión de Riesgos, Cumplimiento y Control Interno, además de trabajar en equipo con otros órganos de gobierno. Supervisión independiente y eficiente, que aporte seguridad razonable, sin exigir esfuerzos adicionales relevantes para las compañías. Los Comités de Auditoría deben integrarse de manera adecuada en el modelo de Gobierno Corporativo de las compañías. Para ello, deben tener definido su papel en base a criterios de eficiencia y continuidad en la supervisión, deben considerar los canales de comunicación más eficientes, tanto desde la Dirección como hacia otros órganos de gobierno y deben conocer las obligaciones de la compañía en la materia. Las mejores prácticas revelan también que la supervisión de los Comités de Auditoría debe abordar todo tipo de riesgos de la compañía, incluyendo aquellos relacionados con el fraude. Para prevenir este último, los Comités deben enfocarse en las medidas implementadas para minimizar el riesgo, y de este modo proteger la reputación de las empresas y reducir su exposición a sanciones. En primer lugar, deben entender las actividades empresariales en países susceptibles a casos de fraude y corrupción, deben verificar la existencia y el alcance de programas anti-corrupción / fraude implementados y por último, deben involucrarse en la implementación de mecanismos de denuncia que aporten vías directas de comunicación de este tipo de situaciones y se conviertan en controles persuasivos, previniendo irregularidades, incumplimientos regulatorios o comportamientos no éticos. 9 Auditoría Interna Una función de Auditoría Interna efectiva es uno de los pilares clave para los Comités de Auditoría. Así se desprende de los Comités de Auditoría consultados, que entienden la relevancia de la función de Auditoría Interna, no sólo en cuanto a sus facultades de supervisión, sino también en cuanto a aquellas actividades de consultoría a través de las cuales podrá aportar valor, dado el conocimiento profundo que tienen de la compañía. A su vez, la regulación vigente otorga a los Comités la responsabilidad de supervisión de la función de Auditoría Interna, participando en el establecimiento de objetivos, velando por su independencia y supervisando su efectividad. Más allá de su función de supervisión, es importante que, una vez entendido el trabajo que realiza la función de auditoría interna, el Comité defina claramente el rol que quiere que ejerza. No está siendo fácil una definición del rol que satisfaga a todos los Grupos de Interés. Es más, el Comité de Auditoría Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

12 debe gestionar adecuadamente la dualidad de creación de valor de la Auditoría Interna a la Dirección y al propio Comité. Sólo si se gestiona proactivamente esta dualidad se maximizará el valor aportado por dicha función. En este sentido, como ejemplo de mecanismo adecuado, cabe mencionar el Estatuto de Auditoría Interna, en el que se definan claramente las responsabilidades, alcance de trabajo y mecanismos de dependencia y comunicación de la función. Definido el rol de la función de auditoría interna y considerando los recursos que se le asignan, el Comité de Auditoría debe asegurarse de que su plan de auditoría prioriza las áreas de mayor interés y de que los informes de resultados se adaptan a sus necesidades, considerándose para ello los riesgos y operaciones clave de la compañía. En este punto, vuelve a tener relevancia el que el Comité conozca el negocio de su compañía y mantenga una línea directa con la Dirección y los responsables de Gestión de Riesgos y Control Interno. 10 La responsabilidad de supervisión si bien ha sido definida en prácticamente todas las normativas europeas y en Estados Unidos, el nivel de implicación de los Comités de Auditoría en el nombramiento, destitución y remuneración del responsable de Auditoría Interna no ha sido regulado de manera homogénea. Las mejores prácticas identificadas recomiendan que los Comités se involucren activamente en estas tareas. También, cabe destacar la relevancia de que los Comités entiendan las razones y necesidades que llevan al Director de Auditoría Interna a contratar recursos externos: contar con habilidades que no tiene en el equipo interno, cubrir el plan de auditoría en diferentes localizaciones en el extranjero, transferencia de conocimientos, etc. Auditoría Externa Los requisitos de independencia y las exigencias a las firmas de auditoría externa se han incrementado en los últimos años. La legislación actual de los países analizados exige a los Comités actuaciones en materia de supervisión de la Auditoría Externa y les otorga responsabilidad a la hora de proponer al auditor y velar por su independencia. En la misma línea, la gran mayoría de los Comités consultados son responsables del nombramiento del auditor externo. En este sentido, los criterios clave a considerar por los Comités se deben centrar, entre otros, en la experiencia, los procedimientos de calidad dentro de la firma auditora, su presencia internacional o su reputación. La independencia de la firma auditora es otro de los aspectos clave que determina la decisión de los Comités de Auditoría para su selección, tanto en la auditoría externa como en trabajos de otra naturaleza. Así, los Comités consultados se involucran cada vez más en la supervisión de la independencia del auditor externo y en la contratación y seguimiento de trabajos realizados y honorarios por servicios contratados distintos a la auditoría. Las mejores prácticas identificadas indican que, una vez seleccionado el auditor externo, es aconsejable que el Comité de Auditoría conozca el alcance de los planes de auditoría, los riesgos que aborda, y que

13 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias además esté informado sobre el progreso del trabajo y sus resultados. La regulación vigente actualmente así lo reconoce, estableciendo obligaciones y recomendaciones en materia de supervisión del trabajo de auditoría externa. En este sentido, existe un concepto habitual en la auditoría externa que el Comité de Auditoría debe dominar; la materialidad. Deben evaluar la materialidad considerada por los auditores y tener una opinión propia acerca de la misma, considerando que se trata, de un concepto delimitado por factores tanto cuantitativos como cualitativos que deben ser tenidos en cuenta a la hora de evaluar si un error es material o no. A la hora de la renovación o cambio de auditor externo, los Comités considerados mejor práctica son conscientes de los costes adicionales que supone dicho cambio priorizando aspectos relacionados con el valor que se aporte. Por último, conviene no pasar por alto que las reformas planteadas en la propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 1 pueden suponer un cambio importante en las responsabilidades e involucración de los Comités de Auditoría en relación al auditor externo. En este ámbito, deben conocer con antelación y profundidad adecuadas cuáles son los principales cambios y cómo van a impactar en sus compañías. Llegados a este punto, el Comité debe supervisar que la Dirección asume los planes de acción necesarios para adecuarse de forma eficiente. Aspectos clave de funcionamiento de los Comités de Auditoría 11 La relevancia de las responsabilidades de los Comités de Auditoría y la necesidad de asegurar y mantener objetividad y escepticismo al desempeñar sus funciones, argumentan las exigencias en relación a la independencia y conocimientos de sus miembros. En cuanto a la independencia, tanto algunas de las regulaciones de los países analizados (fundamentalmente Estados Unidos, Italia y Reino Unido), como la mejores prácticas identificadas, permiten vislumbrar la relevancia de los miembros independientes y la tendencia a que sean más de los estrictamente requeridos por la Unión Europea. En este sentido, las políticas de rotación de miembros o de establecimiento de plazos de mandato pueden ser adecuadas para mitigar el riesgo de que los Comités reduzcan su nivel de escepticismo / independencia con el paso de los años. En cuanto a los conocimientos, los de índole técnica en materia de contabilidad, finanzas, control interno, gestión de riesgos y auditoría son básicos para el adecuado ejercicio de las funciones de los miembros de los Comités de Auditoría. En este sentido, cada vez cobra mayor relevancia el concepto integrado de Gobierno, Riesgo y Cumplimiento, tanto para el Comité como para la Dirección. En cualquier caso, las mejores prácticas identificadas hacen recomendable la implementación de programas de orientación para nuevos miembros del Comité, así como programas de desarrollo continuo de sus miembros. La formación técnica ya no es suficiente, siendo la experiencia también 1 Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

14 fundamental, tal como se refleja en las normas de algunos de los países analizados. En relación a la experiencia, debido a la dedicación que se espera de los miembros del Comité de Auditoría, muchas compañías plantean políticas de limitación del número de Comités a los que puede servir un mismo miembro del Comité de Auditoría. (por ejemplo, la NYSE requiere que en caso de que sea miembro en más de 3 comités, tenga aprobación de todos los Consejos). Para mitigar una posible falta de conocimientos técnicos o experiencia en un ámbito específico, el Comité debe tener la opción de recurrir al asesoramiento externo objetivo e independiente a expensas de la compañía. En cualquier caso, si es previsible que algún miembro abandone el Comité, puede resultar conveniente incrementar temporalmente el número de miembros de cara a prevenir la pérdida de expertise. 12 En cuanto a la frecuencia de las reuniones de los Comités, las compañías del IBEX-35 consideradas Mejor Práctica mantienen una media de 9 reuniones al año 2. Adicionalmente, los Comités de Auditoría deben reunirse con directivos de diferentes áreas de negocio de forma periódica y ante situaciones relevantes para la compañía (como puede ser un proceso de fusión, una adquisición, riesgos relevantes que se hayan puesto de manifiesto, etc.). Las reuniones con la Alta Dirección, los auditores externos e internos y otros asesores si fuera necesario, permiten aprovechar la consecución de múltiples objetivos, tales como profundizar y revisar críticamente la información que se les provee, así como realizar preguntas eficaces para conocer en profundidad los negocios de su compañía. Este conocimiento en profundidad es uno de los factores clave para incrementar la eficiencia del Comité. Por último, con el objetivo de alcanzar un nivel adecuado de independencia, conocimientos, eficacia y eficiencia en su funcionamiento, se recomienda que los Comités de Auditoría lleven a cabo una evaluación periódica, interna o externa, sobre su desempeño, efectividad y adecuación de sus planes de trabajo, actividades y reportes de información para el proceso de mejora continua y eficiencia. 2 Informe de PwC 2011 sobre Consejos de Administración de empresas cotizadas.

15 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias CAPÍTULO 1 REPORTING DE INFORMACIÓN FINANCIERA Temas tratados en este capítulo: El rol de supervisión del Comité en el reporting de información financiera El sistema de control interno sobre la información financiera Los requisitos sobre la preparación y divulgación de la información financiera para empresas cotizadas se han incrementado notablemente en los últimos años. Con el objeto de restablecer y fortalecer la confianza en los mercados, se exigen mayores niveles de transparencia. En este ámbito, la función de los Comités de Auditoría es clave para el aseguramiento de la información reportada por las compañías. 13 Para cumplir con determinados parámetros de efectividad de su rol, el Comité debe comprender el contexto en el que se prepara la información financiera, debe conocer las normas y criterios contables aplicables para las diferentes transacciones, los temas sobre los que se debe informar y la anticipación con la que debe recibir información suficiente para tomar las decisiones apropiadas. I. El rol de supervisión del Comité en el reporting de información financiera a) Análisis de tendencias normativas, recomendaciones y buenas prácticas A nivel europeo, la Directiva 2006/43/CE 3, en su artículo 41, apartado 2), establece: Sin perjuicio de la responsabilidad de los miembros del órgano administrativo o de gestión o del organismo de supervisión, o de otros miembros designados en la junta general de accionistas de la entidad auditada, el Comité de Auditoría, entre otras cosas: a) supervisará el proceso de presentación de la información financiera ( ). 3 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, artículo 41, apartado 1. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

16 En recomendaciones anteriores, la Comisión Europea se había manifestado en la misma línea: ( ) el Comité de Auditoría debe ayudar a: controlar la integridad de la información financiera suministrada por la empresa, especialmente revisando la pertinencia y la coherencia de las normas contables aplicadas por la empresa y su grupo (incluidos los criterios de consolidación de las cuentas de las empresas del grupo). 4 Los países europeos incluidos en este estudio reflejan en sus normativas la obligación del Comité de supervisar el proceso de preparación de información financiera. En las compañías cotizadas de Estados Unidos, la propia definición del término Comité de Auditoría, establece como su propósito principal, supervisar los procesos de contabilidad e información financiera, y las auditorías de los estados financieros del emisor 5, y en ausencia del mencionado órgano de gobierno, traslada las mismas responsabilidades al Consejo de Administración. Las recomendaciones emitidas por los diferentes órganos reguladores de los mercados de valores europeos exponen con mayor detalle las responsabilidades de los Comités en relación a la preparación y presentación de la información financiera. De esta forma, en España la Comisión Nacional del Mercado de Valores (CNMV) determina lo siguiente 6 : 14 Que el Comité de Auditoría informe al Consejo, con carácter previo a la adopción por éste de las correspondientes decisiones, sobre los siguientes asuntos ( ): a) La información financiera que, por su condición de cotizada, la sociedad deba hacer pública periódicamente. El Comité debiera asegurarse de que las cuentas intermedias se formulan con los mismos criterios contables que las anuales y, a tal fin, considerar la procedencia de una revisión limitada del auditor externo; b) La creación o adquisición de participaciones en entidades de propósito especial o domiciliadas en países o territorios que tengan la consideración de paraísos fiscales, así como cualesquiera otras transacciones u operaciones de naturaleza análoga que, por su complejidad, pudieran menoscabar la transparencia del grupo; c) Las operaciones vinculadas, salvo que esa función de informe previo haya sido atribuida a otra Comisión de las de supervisión y control. En las mismas recomendaciones de la CNMV, incluso se realiza mención específica a la revisión de la adecuada delimitación del perímetro de consolidación 7. 4 Recomendación de la Comisión, 15 de febrero de 2005, Anexo I, punto Securities Exchange Act, SEC, 6 de junio de 1934, sección 3, punto Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación 50.

17 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Siguiendo similares criterios, las recomendaciones francesas mencionan también el perímetro de consolidación y resaltan la importancia del factor tiempo: ( ) El tiempo disponible para la revisión de las cuentas debe ser suficiente (no menos de dos días antes de la revisión por el Consejo de Administración) 8. El Comité de Auditoría debe revisar el perímetro de consolidación, y en su caso, las razones para excluir a determinadas empresas del mismo 9. Por otra parte, en las compañías cotizadas de Estados Unidos identificamos una doble perspectiva: Por un lado, a partir de las modificaciones introducidas por la Ley Sarbanes-Oxley de 2002 (SOX), en su sección 302, se indica que la Alta Dirección o Gerencia debe implementar, supervisar e informar sobre la efectividad de los procedimientos de información financiera. 10 Adicionalmente, el Manual de la New York Stock Exchange (NYSE), incluye la recomendación de que el Comité de Auditoría revise y discuta (en el sentido anglosajón de la palabra), además de la información financiera suministrada periódicamente por la compañía cotizada al regulador, las publicaciones de prensa sobre sus resultados, así como la información financiera y previsión de beneficios para los analistas y agencias de calificación. 11 Ejercer un rol de supervisión efectivo puede ser una tarea desafiante para los Comités de Auditoría, especialmente en grupos empresariales diversos, o en compañías que operan en mercados internacionales que deben cumplir y adaptarse a diferentes marcos regulatorios. 15 Los miembros del Comité de Auditoría necesitan tener un profundo conocimiento sobre la compañía, sus actividades y la realidad del sector en el que opera, para poder evaluar la fiabilidad de la información que reporta al mercado. La Comisión Europea expresó la importancia de capacitar a los miembros de los Comités y mantenerlos adecuadamente informados, principalmente respecto a transacciones no habituales, donde se pueden aplicar distintos tratamientos contables 12 : 1. La empresa debe ofrecer un programa de formación para los nuevos miembros del Comité de Auditoría y, posteriormente, un programa pertinente de formación continua organizado cuando se considere oportuno. Todos los miembros del Comité deben, en particular, disponer de toda la información sobre las características contables, financieras y operativas de la empresa. 8 Recomendación de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, 0ctubre de 2003, capítulo Recomendaciones de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, 0ctubre de 2003, capítulo SOX, Parlamento Estadounidense, 30 de julio de 2002, sección Manual para las Empresas Cotizadas, NYSE, seeción 303 A Recomendación de la Comisión, 15 de febrero de 2005, Anexo I, punto 4.3. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

18 2. La dirección debe informar al Comité de Auditoría de los métodos utilizados para contabilizar las transacciones inhabituales relevantes en los casos en los que se pueden aplicar distintos tratamientos contables. A este respecto, debe prestarse atención particular tanto a la existencia como a la justificación de cualquier actividad que efectúe la empresa en centros offshore o mediante canales especiales. b) Prácticas en compañías cotizadas Al analizar las prácticas en compañías cotizadas españolas, se ha trabajado en tres vertientes: Actividades de supervisión llevadas a cabo por las compañías encuestadas y comparación frente a las actividades establecidas y recomendadas por los reguladores y supervisores de los mercados. Identificación de aquellos Comités de Auditoría de compañías españolas cotizadas, dentro del estudio, que están acometiendo la recomendación de la NYSE de revisar y discutir (en el sentido anglosajón de la palabra) las publicaciones de prensa sobre sus resultados, así como la información financiera y previsión de beneficios para los analistas y agencias de calificación. 16 Identificación del nivel de satisfacción de los Comités sobre la información que reciben de la Alta Dirección. Análisis comparativo de la periodicidad y forma de supervisión del perímetro de consolidación por parte del Comité de Auditoría. En cuanto a las actividades de supervisión, todos los Comités de Auditoría consultados están acometiendo en general, las establecidas en la normativa europea y en las recomendaciones de la CNMV. Así, todos los Comités consultados supervisan el proceso de elaboración y presentación de la información financiera regulada, discuten con los auditores de cuentas y con el Director Económico Financiero los estados financieros (resultados consolidados anuales e intermedios) y revisan los criterios contables críticos para la sociedad. Es necesario destacar que todos los Comités consultados van más allá de la normativa europea y las recomendaciones de la CNMV y acometen la recomendación del Manual de la NYSE de revisar y discutir (en el sentido anglosajón de la palabra) las publicaciones de prensa sobre sus resultados, así como la información financiera y previsión de beneficios para los analistas y agencias de calificación (véase gráfico 1.1). El 50% de los Comités consultados están acometiendo siempre dicha recomendación, mientras que el resto de los consultados declara que lo está realizando casi siempre o en determinadas ocasiones.

19 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Gráfico 1.1 En línea con las recomendaciones del Manual de la NYSE, revisa y discute el Comité de Auditoría las publicaciones de prensa sobre los resultados de la sociedad, así como la información financiera y previsión de beneficios para los analistas y agencias de calificación? a; 50% c; 33% b; 17% d; 0% a- Siempre b- Casi siempre c- A veces d- Nunca Al consultar a los miembros de los Comités sobre su nivel de satisfacción respecto de la información que reciben por parte de la Alta Dirección de las compañías, el 100% de los consultados manifestó estar completamente satisfecho con la información financiera recibida. En relación a la supervisión de perímetro de consolidación, todas las compañías consultadas consideran la recomendación de la CNMV, variando la periodicidad con que se realiza esta actividad. En la mayoría de los Comités consultados (véase gráfico 1.2), se realiza dicha revisión trimestralmente, coincidiendo con la presentación de resultados de la compañía. En un menor número de casos, el Comité realiza dicha revisión, anualmente. El mismo número de Comités ha informado sobre la realización de dicha revisión antes de llevar a cabo cualquier operación de inversión o desinversión significativa, manteniendo una reunión específica sobre el perímetro de consolidación. La periodicidad semestral ha sido la que menor representación ha obtenido entre los Comités consultados. 17 Gráfico 1.2 Con qué periodicidad supervisa el Comité de Auditoría el perímetro de consolidación? d; 44% c; 12% a; 22% b; 22% a- Cada vez que se realiza cualquier operación de inversión o desinversión significativa b- Anualmente c- Semestralmente d- Trimestralmente Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

20 Generalmente, las compañías consultadas declaran que para la supervisión del perímetro de consolidación se cuenta con la asistencia de los responsables financieros, que exponen al Comité de Auditoría los aspectos sustanciales de los estados financieros consolidados. c) Conclusiones Una de las principales responsabilidades de los Comités de Auditoría es velar por la adecuación del reporting financiero y sus principales desgloses. De las conversaciones con los Comités de Auditoría, la primera conclusión obtenida es que supervisar la preparación y presentación de la información financiera no es una tarea simple. A nivel europeo, las líneas generales a nivel normativo están establecidas mediante Directiva. Los países dentro del análisis realizado las reflejan, con distinto nivel de detalle, en sus normativas y las desarrollan con mayor profundidad en las recomendaciones de sus supervisores de mercados de valores. En Estados Unidos, SOX estableció en el año 2002 la responsabilidad de la Dirección sobre la fiabilidad de la información financiera, mientras que el Manual de la NYSE, refleja los mismos aspectos que en el ámbito europeo e incluso incluye algunas recomendaciones adicionales y un mayor nivel de detalle. 18 Por tanto, a nivel normativo podríamos concluir que la tendencia que se vislumbra es la de un nivel de detalle en la regulación cada vez mayor. Es decir, cada vez más, los países dentro del alcance de este estudio están haciendo hincapié en la relevancia del Comité de Auditoría como el órgano de gobierno responsable de la revisión del reporting financiero. En cuanto a los Comités de Auditoría consultados, la mayoría, no sólo cumplen con las recomendaciones establecidas por la CNMV, sino que van más allá en su rol de supervisión del reporting financiero. En línea con la tendencia observada de un incremento en las regulaciones / recomendaciones al respecto, los Comités de Auditoría también están asumiendo cada vez un rol más protagonista en la supervisión del reporting financiero. Como ejemplo conviene destacar que todos ellos están acometiendo, con distinto grado de periodicidad y detalle, la recomendación del Manual de la NYSE de supervisar las comunicaciones de información financiera en prensa y a analistas y agencias de calificación. Es destacable que los Comités de Auditoría están la mayoría de acuerdo en que intensificarán sus actividades en este ámbito, en línea con la tendencia incremental de las regulaciones / recomendaciones aplicables. En diversos estudios sobre la efectividad de los Comité de Auditoría realizados por PwC 13, se sugiere que aquéllos que son más efectivos conocen y comprenden las principales políticas y criterios contables que afectan a procesos significativos de la información financiera, como la evaluación de la 13 Audit Committee Effectiveneness - What Works Best, Estudio de PwC en colaboración con el IIA 2011.

21 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias materialidad, cálculo de provisiones, estimaciones y proyecciones relevantes. Tan importante como las mencionadas políticas es la interpretación y aplicación que de éstas hace la Alta Dirección ante determinada clase de transacciones. También es relevante la opinión y alternativas presentadas por los auditores externos ante determinadas situaciones. En estudios previos sobre Comités de Auditoría, las siguientes son consideradas como mejores prácticas a desarrollar por los Comités de Auditoría en su supervisión y entendimiento de los Estados Financieros 14 : Conocer los principales epígrafes que contienen estimaciones importantes. Una manera de comprobar la integridad podría ser revisar las manifestaciones no estándar incluidas en la carta de la Alta Dirección que se proporciona a los auditores externos. Discutir con la Alta Dirección sobre la calidad de los procesos y sistemas, y la fiabilidad de los datos incluidos en las estimaciones. Considerar las estimaciones históricas frente a los resultados reales. Comprender los supuestos clave del negocio y las dependencias de las estimaciones, y cuando esos supuestos cambian o deberían cambiar. 19 Entender el alcance de la aplicación de modelos para el desarrollo de estimaciones y cómo se asegura la Alta Dirección que esos modelos son válidos (por ejemplo, solicitando a terceras partes que comprueben modelos complejos de valoración de productos financieros). Conocer la probabilidad de que se produzcan los hechos subyacentes. Comprender por qué la Alta Dirección registró, o decidió no registrar una estimación particular y si los saldos siguen siendo apropiados. Comprender los criterios para el cálculo de las provisiones. Entender cómo un cambio menor en un supuesto podría modificar los registros. Contratar auditores u otros expertos para testear y validar modelos de estimación que son particularmente significativos y/o complejos. El Comité debe conocer los principales criterios y políticas contables, asimismo, se le debería informar antes de aplicar una norma contable que afecte a los estados financieros de la compañía. 14 Audit Committee Effectiveneness - What Works Best, Estudio de PwC en colaboración con el IIA Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

22 En definitiva, los Comités de Auditoría desempeñan, y más aún de cara al futuro, un papel clave en la supervisión del reporting financiero, no sólo porque la normativa y las recomendaciones de los reguladores son cada vez mayores, sino también porque las actividades que ejecutan los Comités considerados como Mejor Práctica son cada vez más. II. El Sistema de control interno sobre la información financiera (SCIIF) a) Análisis de tendencias normativas, recomendaciones y buenas prácticas En el ámbito europeo la Directiva 2006/46, por la que se modificó la Directiva del Consejo 78/660/CEE relativa a las cuentas anuales, establece, entre otros requisitos, la obligación para las entidades cotizadas de publicar un informe anual de gobierno corporativo, incluyendo: una descripción de las principales características de los sistemas internos de control y Gestión de Riesgos de la sociedad en relación con el proceso de emisión de información financiera 15. La misma Directiva señala que dicha descripción será objeto de revisión por parte del auditor externo. 20 Comparativamente, desde SOX, en Estados Unidos se han establecido responsabilidades para la Alta Dirección o Gerencia e implementado requerimientos muy estructurados que han obligado a las compañías a realizar inversiones significativas destinadas a mejorar, realizar seguimiento e informar sobre sus sistemas de control interno. En este país, se propone el informe del Committee of Sponsoring Organizations (COSO) como marco de referencia de control interno, sin obligar a su adopción. A nivel europeo, adecuándose con la mencionada Directiva, encontramos marcos normativos menos estrictos, como los existentes en Alemania, Reino Unido y Francia. En los últimos dos países, se han desarrollado sus propios marcos de referencia, que no son obligatorios, como también las correspondientes guías de apoyo. En España, la CNMV, constituyó el Grupo de Trabajo de Control Interno sobre la información financiera (GTCI), que en junio del 2010 elaboró un documento con recomendaciones e indicadores básicos de información en relación al SCIIF: un conjunto de recomendaciones, una guía para la preparación de la descripción del sistema, pautas de actuación para llevar a cabo la labor de supervisión de los Comités de Auditoría sobre el SCIIF y un modelo de procedimientos para la revisión por el auditor externo. 15 Directiva 2006/46/CE del Parlamento Europeo y del Consejo, 14 de junio de 2006, artículo 1, apartado 7, punto 1-c).

23 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias La descripción del proceso de supervisión del mencionado documento establece 16 : La supervisión de la información financiera es una responsabilidad encomendada al Comité de Auditoría que comprende el control del proceso de elaboración y presentación, el cumplimiento de los requisitos normativos, la adecuada delimitación del perímetro de consolidación y la correcta aplicación de los criterios contables. El objetivo del SCIIF es proporcionar una seguridad razonable sobre la fiabilidad de la información financiera. La actividad de supervisión del Comité de Auditoría consiste en velar por su eficacia, obteniendo evidencias suficientes de su correcto diseño y funcionamiento, lo que exige evaluar el proceso de identificación de los riesgos que puedan afectar a la imagen fiel de la información financiera, verificar que existen controles para mitigarlos y comprobar que funcionan eficazmente. La supervisión también consiste en revisar, analizar y comentar la información financiera con la dirección y con los auditores internos y externos, para asegurarse de que los criterios contables aplicados son correctos y la información suministrada es completa y consistente con las operaciones. El modelo para la supervisión propuesto, señala que: La Alta Dirección debe identificar los procesos críticos y sus correspondientes riesgos significativos, que puedan afectar a la información financiera, evaluar su impacto potencial y desarrollar acciones para mitigarlos. 21 Agregando que, si bien el Comité de Auditoría debe ser proactivo en el análisis de las aéreas clave de control y supervisión del SCIIF, normalmente encargará la ejecución de la evaluación a las funciones de apoyo a: (i) los auditores internos; (ii) auditores externos (salvo que se produzcan incompatibilidades legales); y (iii) otros expertos, con quienes mantendrá una comunicación fluida para desarrollar sus responsabilidades de supervisión. b) Prácticas en compañías cotizadas El rol ejercido por los Comités de Auditoría consultados en relación a las recomendaciones de la CNMV sobre el SCIIF está sujeto al nivel de madurez de cada compañía en materia de control interno: aquéllas que cumplen con SOX cuentan con sistemas de control interno sensiblemente más maduros que aquéllas que no lo están. En este segundo grupo, el rol del Comité está condicionado por la relativamente reciente publicación de las recomendaciones de la CNMV y la previsible obligatoriedad de informar sobre el SCIIF de forma detallada en el Informe Anual de Gobierno Corporativo (IAGC). A fecha de realización del presente informe, a falta de entrada en vigor del nuevo modelo de IAGC, la CNMV está requiriendo a las compañías que informen por otras vías paralelas. 16 CNMV, Informe de Control Interno sobre la información financiera en las entidades cotizadas, junio 2010, página 43. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

24 Las compañías consultadas sujetas a SOX ya contaban, con anterioridad a la publicación de las recomendaciones de la CNMV, con un despliegue incluso superior en materia de SCIIF. En estas compañías el rol del Comité de Auditoría estaba ya consolidado y es más prolijo en relación a la supervisión del control interno. Tal y como puede apreciarse en el gráfico 1.3, entre las compañías no sujetas a SOX, como mejor práctica y en línea con las recomendaciones de la CNMV, hemos observado que la mayoría de los Comités han adoptado un rol proactivo en la mejora del SCIIF. Aunque el grado de avance es dispar, en general las compañías están avanzadas en este ámbito y los Comités de Auditoría están involucrados desde la fase de diagnóstico para la mejora del SCIIF. Gráfico 1.3 Qué rol ha ejercido el Comité de Auditoría en el diagnóstico y mejora del Sistema de Control Interno de la información Financiera (SCIIF) en relación a las recomendaciones de la CNMV? b; 15% 22 a; 85% a- Ha supervisado el proceso de adecuación a las nuevas exigencias de la CNMV. b- No ha ejercido ningún rol Como contrapunto, es necesario destacar que el 15% de los Comités consultados afirma no haber ejercido ningún rol en la adecuación del SCIIF a las recientes recomendaciones de la CNMV. c) Conclusiones La necesidad de restaurar la confianza en la información financiera de las empresas americanas dio lugar a las normas SOX. Con menor nivel de exigencia y responsabilidades, líneas similares se han replicado en los diferentes cuerpos normativos europeos. En España, la normativa y las recomendaciones del Regulador, han seguido la línea de otros países europeos, acercándose a SOX en sus requerimientos. La más que probable necesidad de informar sobre el sistema de control interno sobre la información financiera obliga a los Comités a involucrarse más en estos temas. En este sentido, las previsibles obligaciones de información van a condicionar una mayor involucración del Comité de Auditoría en dos ámbitos:

25 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Mayores responsabilidades e involucración en la supervisión del SCIIF. Necesidad de una mayor supervisión de la información que emite la compañía, tanto de sus Estados Financieros como de su control interno. Mientras el GTCI de la CNMV establece que el Consejo de Administración delega en la Alta Dirección la responsabilidad de la implementación de un SCIIF, los Comités de Auditoría tienen la responsabilidad delegada de la supervisión del mismo, normalmente a través de la función de Auditoría Interna. A continuación se exponen Mejores Prácticas identificadas para ejecutar dicha supervisión 17 : Reunirse periódicamente con los principales responsables del control interno sobre los informes financieros. Entender y ayudar a establecer la cultura de hacer las cosas bien. Discutir con la gerencia los controles para mitigar los principales riesgos de la información financiera, incluyendo los riesgos de fraude. Centrar las discusiones en áreas de mayor riesgo potencial. 23 Entender las actividades planificadas por la gerencia para evaluar el control interno y cuál es el rol de la función de Auditoría Interna y otros recursos relacionados. Comprender el alcance del plan de auditoría externa para probar los controles. Reunirse regularmente con la Dirección, Auditoría Interna, y los auditores externos para analizar los hallazgos particularmente significativos sobre debilidades materiales de control, así como también el plan de acción de la gerencia para responder de forma apropiada. En resumen, SOX marcó el objetivo de máximo detalle de formalización del control interno y los países europeos en general, y España en concreto, han ido acercándose cada vez más a su nivel de exigencia (aunque sin llegar a ser equiparables). En consonancia con esta tendencia, es previsible una involucración cada vez mayor de los Comités de Auditoría en la supervisión del SCIIF. Su rol ha empezado este año con la supervisión de la formalización de dicho SCIIF y continuará con la supervisión de su efectividad. 17 Audit Committee Effectiveneness - What Works Best, Estudio de PwC, Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

26 24

27 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias CAPÍTULO 2 GESTIÓN DE RIESGOS Y CONTROL INTERNO Temas tratados en este capítulo: Sistema de Gestión de Riesgos Riesgo de Fraude En los últimos años, el rol de los Comités de Auditoría en la supervisión de los riesgos de negocio ha crecido en complejidad e importancia, tanto a nivel estratégico como operativo. Al mismo tiempo, la diversidad y complejidad de la actividad económica es cada vez mayor, el ritmo de cambio y necesidad de actualización desafía la capacidad de gestión de quienes están al frente de las compañías. 25 Actualmente, las agencias de calificación crediticia (S&P, Fitch, Moodys, etc.), los reguladores de los mercados (por ejemplo, la CNMV) y los inversores, reclaman una mayor eficacia y transparencia en la Gestión de Riesgos de las compañías cotizadas y emisoras de títulos de deuda. Adicionalmente, la encuesta mundial sobre fraude y delito económico 2011 que realiza PwC refleja que el riesgo de fraude es muy relevante en tiempos de crisis. En este contexto de incertidumbre y complejidad económica y de mayores requerimientos de los Grupos de Interés en relación a la Gestión de Riesgos, los Comités de Auditoría deben intensificar cada vez más su rol, bien como palanca de conocimiento del negocio, bien en forma de supervisión de la Gestión de Riesgos que realiza la Dirección. I. Sistema de Gestión de Riesgos y Control Interno a) Análisis de tendencias normativas, recomendaciones y buenas prácticas En respuesta a la creciente complejidad del entorno económico y financiero (sucesos de Enron, WorldCom, Parmalat, Madoff, crisis financiera, entre otros), en los últimos 10 años se han Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012