Investigaciones y Publicaciones

Transcripción

1 Investigaciones y Publicaciones 2012 (I) Comités de Auditoría Contexto Regulatorio, Buenas Prácticas y Tendencias Ferrán Rodríguez Arias Ramón Abella Rubio Joaquín Guerola Gonzálvez Ana Cendón Cubero Raquel Valencia Ramírez

2

3 Comités de Auditoría Contexto Regulatorio, Buenas Prácticas y Tendencias 1 Ferrán Rodríguez Arias Ramón Abella Rubio Joaquín Guerola Gonzálvez Ana Cendón Cubero Raquel Valencia Ramírez

4 2

5 Índice ÍNDICE Prólogo... pág. 5 Resumen Ejecutivo... pág. 7 Capítulo 1... pág. 13 Reporting de Información financiera... pág. 13 I. El rol de supervisión del Comité en el reporting de información financiera... pág. 13 II. El Sistema de control interno sobre la información financiera (SCIIF)... pág. 20 Capítulo 2... pág. 25 Gestión de Riesgos y Control Interno... pág. 25 I. Sistema de Gestión de Riesgos y Control Interno... pág. 25 II. Riesgo de Fraude... pág. 34 Capítulo 3... pág. 39 Auditoría Interna... pág. 39 I. La relación del Comité con la función de Auditoría Interna... pág. 39 II. Los recursos de la función de Auditoría Interna... pág Capítulo 4... pág. 51 Auditoría Externa... pág. 51 I. Nombramiento del auditor externo... pág. 51 II. Independencia y servicios distintos a los de auditoría... pág. 56 Capítulo 5... pág. 67 Aspectos clave de Funcionamiento... pág. 67 I. Composición de los Comités de Auditoría... pág. 67 II. Conocimiento y experiencia necesarios... pág. 72 III. Asesoramiento externo... pág. 76 IV. Reuniones... pág. 79 V. Evaluación de desempeño... pág. 82 Anexos... pág. 86 Anexo A. Detalle metodológico del estudio... pág. 86 Anexo B. Guía de entrevistas a los Comités de Auditoría... pág. 86 Anexo C. Bibliografía y fuentes... pág. 91 Anexo D. Relación de empresas participantes... pág. 92 Anexo E. Autores del informe... pág. 93 Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

6 4

7 Prólogo PRÓLOGO En los últimos años, se ha producido a nivel internacional una tendencia creciente en la emisión de normativa en materia de Buen Gobierno, con el objetivo de mejorar la calidad y transparencia en la información facilitada por parte de las compañías cotizadas a sus grupos de interés. En los esquemas de esta creciente emisión de normativa, el Comité de Auditoría ha sido posicionado por los reguladores como una pieza clave en la estructura de Gobierno Corporativo de las compañías cotizadas. El creciente interés por el papel del Comité de Auditoría en materia de Gobierno Corporativo de las compañías cotizadas, unido a las turbulencias financieras de los últimos tiempos, le han otorgado un papel cada vez más relevante, siendo las exigencias y responsabilidades para sus miembros también más elevadas. 5 En este contexto, el presente estudio sobre Comités de Auditoría de compañías cotizadas pretende recoger las tendencias actuales en la normativa que les son de aplicación, su funcionamiento y su efectividad, estableciéndose un doble objetivo: Identificar las tendencias de normativas aplicables a los Comités de Auditoría, analizando de forma comparativa las normas y recomendaciones emitidas en Estados Unidos y la Unión Europea, profundizando en este último caso en determinados países que forman parte de la misma. Analizar factores clave y buenas prácticas de funcionamiento de Comités de Auditoría en compañías cotizadas en España, a través del estudio de información pública contenida en las memorias anuales de Gobierno Corporativo junto con la realización de encuestas a miembros de sus Comités de Auditoría y comparándolos con las tendencias de normativa aplicable. Las conclusiones, para su mayor comprensión y aplicabilidad, se muestran en cada uno de los diferentes capítulos que constituyen tanto las responsabilidades principales de los Comités de Auditoría, como también los aspectos clave para su funcionamiento, detallados tal como sigue: Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

8 Responsabilidades clave: Reporting Financiero Gestión de Riesgos y Control Interno Auditoría Externa Auditoría Interna Aspectos clave de funcionamiento: Independencia y eficacia Comunicación y relaciones del Comité de Auditoría con la Dirección y otros Órganos de Gobierno Figura 0.1 Responsabilidades y aspectos clave de funcionamiento del Comité de Auditoría Comités de Auditoría 6 Reporting Financiero Supervisión de la información financiera Adecuación de las políticas contables Actualización continua y adaptación a la nueva normativa Gestión de Riesgos y Controles Interno Entendimiento de las áreas clave de riesgo Efectividad de los controles Riesgo de fraude Código de conducta / ético Denuncia de irregularidades Auditoria Externa Responsabilidades Auditoría Interna Elección y remuneración Alcance del trabajo Requisitos de independencia Hallazgos significativos de auditoría / recomendaciones Revisar el desempeño de los auditores externos Alcance del trabajo Efectividad de la Auditoría Interna Respuesta a las recomendaciones de Auditoría Interna Independencia Requisitos de conocimientos Evaluación anual del desempeño Reuniones Aspectos clave de funcionamiento Relaciones con la Dirección Actualizaciones y recomendaciones Reporte al Consejo y a los accionistas Eficacia del sistema para asegurar el cumplimiento de leyes y reglamentos Cada capítulo se inicia con los temas concretos que se tratan y una perspectiva general de los mismos, continuando con el análisis comparativo de la normativa aplicable en los países dentro del alcance y el estudio de las prácticas identificadas en compañías españolas cotizadas. Cada capítulo se cierra con conclusiones sobre tendencias observadas y el grado de alineamiento con la normativa y prácticas identificadas.

9 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias RESUMEN EJECUTIVO La efectividad del Comité de Auditoría en las compañías cotizadas constituye, cada vez más, uno de los aspectos críticos para los Grupos de Interés. Como respuesta, hemos analizado las recomendaciones y normativa actualmente vigente en distintos países, además de las prácticas de Comités de Auditoría de compañías cotizadas en el IBEX-35. El objetivo principal ha sido identificar tendencias normativas y de funcionamiento. La conclusión más relevante es que las crecientes exigencias a los Comités de Auditoría, más allá de su eficacia, se centra ahora en que abarquen un mayor ámbito de responsabilidades y por tanto, de actividades, quedando patente no sólo en las exigencias del regulador, sino también de otros grupos de interés (dirección, analistas, entidades financieras, accionistas, etc.). 7 Estas exigencias están obligando a que los Comités adopten un rol de supervisión cada vez más protagonista, no sólo en los ámbitos de responsabilidad tradicionales, sino también en otros aspectos clave en los que hasta hace poco tiempo no representaban una involucración significativa, y que en forma de resumen incorporamos a continuación. Reporting de Información financiera En cuanto al Reporting de Información Financiera, el presente estudio refleja que los Comités de Auditoría más efectivos conocen y comprenden las principales políticas y criterios contables y otros aspectos relevantes para la fiabilidad de dicho reporting. Las buenas prácticas identificadas muestran que los Comités deben tener (o en su caso incrementar) la relación con otros órganos de gobierno de la compañía (por ejemplo, con el Comité de Remuneraciones para entender el sistema de compensación y las implicaciones en el reporting) y otros involucrados en la elaboración de la información financiera para obtener un mejor entendimiento de la misma (por ejemplo, el Comité debe apreciar de forma detallada la dimensión en la que la dirección puede modificar los estados financieros a través de estimaciones y cambios en las políticas contables). Las buenas prácticas indican también que la tendencia es que los Comités de Auditoría consideren el Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

10 Reporting Financiero en su modalidad más amplia. Deben involucrarse, no sólo en la información facilitada a la CNMV, sino también en la información proporcionada para las publicaciones de prensa sobre resultados, así como en la información financiera facilitada a los analistas y agencias de calificación. Con el fin de aportar a los Grupos de Interés un mayor confort sobre la fiabilidad de la información financiera reportada, los Comités deben asumir cada vez mayores responsabilidades en relación a su Sistema de Control Interno. En esta línea, los países europeos han ido incrementando cada vez más su nivel de exigencia. Del mismo modo, en España, se prevé una mayor involucración del Comité de Auditoría en la supervisión del sistema de control interno de la información financiera (en adelante SCIIF). Su rol ha empezado a ser más relevante con la supervisión de la formalización del SCIIF y continuará con la supervisión de su efectividad. Para llevar a cabo dicha supervisión, los Comités considerados Mejor Práctica, tanto en España como en otros países como Estados Unidos, han intensificado sus actividades en tres ámbitos fundamentales: 8 Conocimiento del negocio de la compañía y de las actividades de control asociadas a los riesgos más relevantes para la fiabilidad de la información financiera. Entendimiento del trabajo de la función de auditoría interna para maximizar el valor aportado por esta última. Mantenimiento de reuniones periódicas con la Dirección, el auditor externo, los gerentes de control interno, el auditor interno y otros expertos que pudieran estar involucrados. Los Comités de Auditoría que quieran aportar el máximo nivel de confort en cuanto a su SCIIF, deberán intensificar su trabajo en estos tres ámbitos. Gestión de Riesgos y Control Interno La falta de regulación e interés en años anteriores, ha supuesto que las agencias de calificación crediticia (S&P, Fitch, Moodys, etc.), el legislador, los reguladores de los mercados (por ejemplo, la CNMV), expertos en Gobierno Corporativo (por ejemplo, el informe The Turnbull Report, que aporta una guía detallada de la supervisión de la gestión de riesgos) y otros Grupos de Interés (inversores, entidades financieras, analistas, etc.), reclamen una mayor eficacia y transparencia en la Gestión de Riesgos de las compañías cotizadas y emisoras de títulos de deuda. En España, las últimas propuestas de modificación del Informe Anual de Gobierno Corporativo marcan una acentuación de este interés, que se consolidará en el medio y largo plazo, obligando a los Comités de Auditoría a prepararse para incrementar significativamente sus actividades de supervisión del Sistema de Gestión de Riesgos. Entre las principales tendencias en este ámbito se pueden destacar las siguientes:

11 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Supervisión del funcionamiento del Sistema de Gestión de Riesgos, enfocándose en aspectos como el alcance de dicho Sistema, la definición de responsabilidades, los criterios de identificación y evaluación de riesgos, los responsables de los planes de respuesta, etc. Integración del Sistema de Gestión de Riesgos con el Sistema de Control Interno y el modelo de Gobierno Corporativo y cumplimiento. El Comité deberá supervisar que dicha integración se realiza de manera adecuada a las necesidades de la compañía, eliminándose duplicidades. El Comité debe centrarse en la supervisión de políticas y procedimientos y, fundamentalmente, en los programas de cumplimiento implementados para promover una conducta y comportamiento adecuados en el conjunto de la compañía. Para ello, los Comités deben intensificar sus reuniones con los Directivos clave en las áreas de Gestión de Riesgos, Cumplimiento y Control Interno, además de trabajar en equipo con otros órganos de gobierno. Supervisión independiente y eficiente, que aporte seguridad razonable, sin exigir esfuerzos adicionales relevantes para las compañías. Los Comités de Auditoría deben integrarse de manera adecuada en el modelo de Gobierno Corporativo de las compañías. Para ello, deben tener definido su papel en base a criterios de eficiencia y continuidad en la supervisión, deben considerar los canales de comunicación más eficientes, tanto desde la Dirección como hacia otros órganos de gobierno y deben conocer las obligaciones de la compañía en la materia. Las mejores prácticas revelan también que la supervisión de los Comités de Auditoría debe abordar todo tipo de riesgos de la compañía, incluyendo aquellos relacionados con el fraude. Para prevenir este último, los Comités deben enfocarse en las medidas implementadas para minimizar el riesgo, y de este modo proteger la reputación de las empresas y reducir su exposición a sanciones. En primer lugar, deben entender las actividades empresariales en países susceptibles a casos de fraude y corrupción, deben verificar la existencia y el alcance de programas anti-corrupción / fraude implementados y por último, deben involucrarse en la implementación de mecanismos de denuncia que aporten vías directas de comunicación de este tipo de situaciones y se conviertan en controles persuasivos, previniendo irregularidades, incumplimientos regulatorios o comportamientos no éticos. 9 Auditoría Interna Una función de Auditoría Interna efectiva es uno de los pilares clave para los Comités de Auditoría. Así se desprende de los Comités de Auditoría consultados, que entienden la relevancia de la función de Auditoría Interna, no sólo en cuanto a sus facultades de supervisión, sino también en cuanto a aquellas actividades de consultoría a través de las cuales podrá aportar valor, dado el conocimiento profundo que tienen de la compañía. A su vez, la regulación vigente otorga a los Comités la responsabilidad de supervisión de la función de Auditoría Interna, participando en el establecimiento de objetivos, velando por su independencia y supervisando su efectividad. Más allá de su función de supervisión, es importante que, una vez entendido el trabajo que realiza la función de auditoría interna, el Comité defina claramente el rol que quiere que ejerza. No está siendo fácil una definición del rol que satisfaga a todos los Grupos de Interés. Es más, el Comité de Auditoría Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

12 debe gestionar adecuadamente la dualidad de creación de valor de la Auditoría Interna a la Dirección y al propio Comité. Sólo si se gestiona proactivamente esta dualidad se maximizará el valor aportado por dicha función. En este sentido, como ejemplo de mecanismo adecuado, cabe mencionar el Estatuto de Auditoría Interna, en el que se definan claramente las responsabilidades, alcance de trabajo y mecanismos de dependencia y comunicación de la función. Definido el rol de la función de auditoría interna y considerando los recursos que se le asignan, el Comité de Auditoría debe asegurarse de que su plan de auditoría prioriza las áreas de mayor interés y de que los informes de resultados se adaptan a sus necesidades, considerándose para ello los riesgos y operaciones clave de la compañía. En este punto, vuelve a tener relevancia el que el Comité conozca el negocio de su compañía y mantenga una línea directa con la Dirección y los responsables de Gestión de Riesgos y Control Interno. 10 La responsabilidad de supervisión si bien ha sido definida en prácticamente todas las normativas europeas y en Estados Unidos, el nivel de implicación de los Comités de Auditoría en el nombramiento, destitución y remuneración del responsable de Auditoría Interna no ha sido regulado de manera homogénea. Las mejores prácticas identificadas recomiendan que los Comités se involucren activamente en estas tareas. También, cabe destacar la relevancia de que los Comités entiendan las razones y necesidades que llevan al Director de Auditoría Interna a contratar recursos externos: contar con habilidades que no tiene en el equipo interno, cubrir el plan de auditoría en diferentes localizaciones en el extranjero, transferencia de conocimientos, etc. Auditoría Externa Los requisitos de independencia y las exigencias a las firmas de auditoría externa se han incrementado en los últimos años. La legislación actual de los países analizados exige a los Comités actuaciones en materia de supervisión de la Auditoría Externa y les otorga responsabilidad a la hora de proponer al auditor y velar por su independencia. En la misma línea, la gran mayoría de los Comités consultados son responsables del nombramiento del auditor externo. En este sentido, los criterios clave a considerar por los Comités se deben centrar, entre otros, en la experiencia, los procedimientos de calidad dentro de la firma auditora, su presencia internacional o su reputación. La independencia de la firma auditora es otro de los aspectos clave que determina la decisión de los Comités de Auditoría para su selección, tanto en la auditoría externa como en trabajos de otra naturaleza. Así, los Comités consultados se involucran cada vez más en la supervisión de la independencia del auditor externo y en la contratación y seguimiento de trabajos realizados y honorarios por servicios contratados distintos a la auditoría. Las mejores prácticas identificadas indican que, una vez seleccionado el auditor externo, es aconsejable que el Comité de Auditoría conozca el alcance de los planes de auditoría, los riesgos que aborda, y que

13 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias además esté informado sobre el progreso del trabajo y sus resultados. La regulación vigente actualmente así lo reconoce, estableciendo obligaciones y recomendaciones en materia de supervisión del trabajo de auditoría externa. En este sentido, existe un concepto habitual en la auditoría externa que el Comité de Auditoría debe dominar; la materialidad. Deben evaluar la materialidad considerada por los auditores y tener una opinión propia acerca de la misma, considerando que se trata, de un concepto delimitado por factores tanto cuantitativos como cualitativos que deben ser tenidos en cuenta a la hora de evaluar si un error es material o no. A la hora de la renovación o cambio de auditor externo, los Comités considerados mejor práctica son conscientes de los costes adicionales que supone dicho cambio priorizando aspectos relacionados con el valor que se aporte. Por último, conviene no pasar por alto que las reformas planteadas en la propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 1 pueden suponer un cambio importante en las responsabilidades e involucración de los Comités de Auditoría en relación al auditor externo. En este ámbito, deben conocer con antelación y profundidad adecuadas cuáles son los principales cambios y cómo van a impactar en sus compañías. Llegados a este punto, el Comité debe supervisar que la Dirección asume los planes de acción necesarios para adecuarse de forma eficiente. Aspectos clave de funcionamiento de los Comités de Auditoría 11 La relevancia de las responsabilidades de los Comités de Auditoría y la necesidad de asegurar y mantener objetividad y escepticismo al desempeñar sus funciones, argumentan las exigencias en relación a la independencia y conocimientos de sus miembros. En cuanto a la independencia, tanto algunas de las regulaciones de los países analizados (fundamentalmente Estados Unidos, Italia y Reino Unido), como la mejores prácticas identificadas, permiten vislumbrar la relevancia de los miembros independientes y la tendencia a que sean más de los estrictamente requeridos por la Unión Europea. En este sentido, las políticas de rotación de miembros o de establecimiento de plazos de mandato pueden ser adecuadas para mitigar el riesgo de que los Comités reduzcan su nivel de escepticismo / independencia con el paso de los años. En cuanto a los conocimientos, los de índole técnica en materia de contabilidad, finanzas, control interno, gestión de riesgos y auditoría son básicos para el adecuado ejercicio de las funciones de los miembros de los Comités de Auditoría. En este sentido, cada vez cobra mayor relevancia el concepto integrado de Gobierno, Riesgo y Cumplimiento, tanto para el Comité como para la Dirección. En cualquier caso, las mejores prácticas identificadas hacen recomendable la implementación de programas de orientación para nuevos miembros del Comité, así como programas de desarrollo continuo de sus miembros. La formación técnica ya no es suficiente, siendo la experiencia también 1 Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

14 fundamental, tal como se refleja en las normas de algunos de los países analizados. En relación a la experiencia, debido a la dedicación que se espera de los miembros del Comité de Auditoría, muchas compañías plantean políticas de limitación del número de Comités a los que puede servir un mismo miembro del Comité de Auditoría. (por ejemplo, la NYSE requiere que en caso de que sea miembro en más de 3 comités, tenga aprobación de todos los Consejos). Para mitigar una posible falta de conocimientos técnicos o experiencia en un ámbito específico, el Comité debe tener la opción de recurrir al asesoramiento externo objetivo e independiente a expensas de la compañía. En cualquier caso, si es previsible que algún miembro abandone el Comité, puede resultar conveniente incrementar temporalmente el número de miembros de cara a prevenir la pérdida de expertise. 12 En cuanto a la frecuencia de las reuniones de los Comités, las compañías del IBEX-35 consideradas Mejor Práctica mantienen una media de 9 reuniones al año 2. Adicionalmente, los Comités de Auditoría deben reunirse con directivos de diferentes áreas de negocio de forma periódica y ante situaciones relevantes para la compañía (como puede ser un proceso de fusión, una adquisición, riesgos relevantes que se hayan puesto de manifiesto, etc.). Las reuniones con la Alta Dirección, los auditores externos e internos y otros asesores si fuera necesario, permiten aprovechar la consecución de múltiples objetivos, tales como profundizar y revisar críticamente la información que se les provee, así como realizar preguntas eficaces para conocer en profundidad los negocios de su compañía. Este conocimiento en profundidad es uno de los factores clave para incrementar la eficiencia del Comité. Por último, con el objetivo de alcanzar un nivel adecuado de independencia, conocimientos, eficacia y eficiencia en su funcionamiento, se recomienda que los Comités de Auditoría lleven a cabo una evaluación periódica, interna o externa, sobre su desempeño, efectividad y adecuación de sus planes de trabajo, actividades y reportes de información para el proceso de mejora continua y eficiencia. 2 Informe de PwC 2011 sobre Consejos de Administración de empresas cotizadas.

15 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias CAPÍTULO 1 REPORTING DE INFORMACIÓN FINANCIERA Temas tratados en este capítulo: El rol de supervisión del Comité en el reporting de información financiera El sistema de control interno sobre la información financiera Los requisitos sobre la preparación y divulgación de la información financiera para empresas cotizadas se han incrementado notablemente en los últimos años. Con el objeto de restablecer y fortalecer la confianza en los mercados, se exigen mayores niveles de transparencia. En este ámbito, la función de los Comités de Auditoría es clave para el aseguramiento de la información reportada por las compañías. 13 Para cumplir con determinados parámetros de efectividad de su rol, el Comité debe comprender el contexto en el que se prepara la información financiera, debe conocer las normas y criterios contables aplicables para las diferentes transacciones, los temas sobre los que se debe informar y la anticipación con la que debe recibir información suficiente para tomar las decisiones apropiadas. I. El rol de supervisión del Comité en el reporting de información financiera a) Análisis de tendencias normativas, recomendaciones y buenas prácticas A nivel europeo, la Directiva 2006/43/CE 3, en su artículo 41, apartado 2), establece: Sin perjuicio de la responsabilidad de los miembros del órgano administrativo o de gestión o del organismo de supervisión, o de otros miembros designados en la junta general de accionistas de la entidad auditada, el Comité de Auditoría, entre otras cosas: a) supervisará el proceso de presentación de la información financiera ( ). 3 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, artículo 41, apartado 1. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

16 En recomendaciones anteriores, la Comisión Europea se había manifestado en la misma línea: ( ) el Comité de Auditoría debe ayudar a: controlar la integridad de la información financiera suministrada por la empresa, especialmente revisando la pertinencia y la coherencia de las normas contables aplicadas por la empresa y su grupo (incluidos los criterios de consolidación de las cuentas de las empresas del grupo). 4 Los países europeos incluidos en este estudio reflejan en sus normativas la obligación del Comité de supervisar el proceso de preparación de información financiera. En las compañías cotizadas de Estados Unidos, la propia definición del término Comité de Auditoría, establece como su propósito principal, supervisar los procesos de contabilidad e información financiera, y las auditorías de los estados financieros del emisor 5, y en ausencia del mencionado órgano de gobierno, traslada las mismas responsabilidades al Consejo de Administración. Las recomendaciones emitidas por los diferentes órganos reguladores de los mercados de valores europeos exponen con mayor detalle las responsabilidades de los Comités en relación a la preparación y presentación de la información financiera. De esta forma, en España la Comisión Nacional del Mercado de Valores (CNMV) determina lo siguiente 6 : 14 Que el Comité de Auditoría informe al Consejo, con carácter previo a la adopción por éste de las correspondientes decisiones, sobre los siguientes asuntos ( ): a) La información financiera que, por su condición de cotizada, la sociedad deba hacer pública periódicamente. El Comité debiera asegurarse de que las cuentas intermedias se formulan con los mismos criterios contables que las anuales y, a tal fin, considerar la procedencia de una revisión limitada del auditor externo; b) La creación o adquisición de participaciones en entidades de propósito especial o domiciliadas en países o territorios que tengan la consideración de paraísos fiscales, así como cualesquiera otras transacciones u operaciones de naturaleza análoga que, por su complejidad, pudieran menoscabar la transparencia del grupo; c) Las operaciones vinculadas, salvo que esa función de informe previo haya sido atribuida a otra Comisión de las de supervisión y control. En las mismas recomendaciones de la CNMV, incluso se realiza mención específica a la revisión de la adecuada delimitación del perímetro de consolidación 7. 4 Recomendación de la Comisión, 15 de febrero de 2005, Anexo I, punto Securities Exchange Act, SEC, 6 de junio de 1934, sección 3, punto Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación 50.

17 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Siguiendo similares criterios, las recomendaciones francesas mencionan también el perímetro de consolidación y resaltan la importancia del factor tiempo: ( ) El tiempo disponible para la revisión de las cuentas debe ser suficiente (no menos de dos días antes de la revisión por el Consejo de Administración) 8. El Comité de Auditoría debe revisar el perímetro de consolidación, y en su caso, las razones para excluir a determinadas empresas del mismo 9. Por otra parte, en las compañías cotizadas de Estados Unidos identificamos una doble perspectiva: Por un lado, a partir de las modificaciones introducidas por la Ley Sarbanes-Oxley de 2002 (SOX), en su sección 302, se indica que la Alta Dirección o Gerencia debe implementar, supervisar e informar sobre la efectividad de los procedimientos de información financiera. 10 Adicionalmente, el Manual de la New York Stock Exchange (NYSE), incluye la recomendación de que el Comité de Auditoría revise y discuta (en el sentido anglosajón de la palabra), además de la información financiera suministrada periódicamente por la compañía cotizada al regulador, las publicaciones de prensa sobre sus resultados, así como la información financiera y previsión de beneficios para los analistas y agencias de calificación. 11 Ejercer un rol de supervisión efectivo puede ser una tarea desafiante para los Comités de Auditoría, especialmente en grupos empresariales diversos, o en compañías que operan en mercados internacionales que deben cumplir y adaptarse a diferentes marcos regulatorios. 15 Los miembros del Comité de Auditoría necesitan tener un profundo conocimiento sobre la compañía, sus actividades y la realidad del sector en el que opera, para poder evaluar la fiabilidad de la información que reporta al mercado. La Comisión Europea expresó la importancia de capacitar a los miembros de los Comités y mantenerlos adecuadamente informados, principalmente respecto a transacciones no habituales, donde se pueden aplicar distintos tratamientos contables 12 : 1. La empresa debe ofrecer un programa de formación para los nuevos miembros del Comité de Auditoría y, posteriormente, un programa pertinente de formación continua organizado cuando se considere oportuno. Todos los miembros del Comité deben, en particular, disponer de toda la información sobre las características contables, financieras y operativas de la empresa. 8 Recomendación de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, 0ctubre de 2003, capítulo Recomendaciones de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, 0ctubre de 2003, capítulo SOX, Parlamento Estadounidense, 30 de julio de 2002, sección Manual para las Empresas Cotizadas, NYSE, seeción 303 A Recomendación de la Comisión, 15 de febrero de 2005, Anexo I, punto 4.3. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

18 2. La dirección debe informar al Comité de Auditoría de los métodos utilizados para contabilizar las transacciones inhabituales relevantes en los casos en los que se pueden aplicar distintos tratamientos contables. A este respecto, debe prestarse atención particular tanto a la existencia como a la justificación de cualquier actividad que efectúe la empresa en centros offshore o mediante canales especiales. b) Prácticas en compañías cotizadas Al analizar las prácticas en compañías cotizadas españolas, se ha trabajado en tres vertientes: Actividades de supervisión llevadas a cabo por las compañías encuestadas y comparación frente a las actividades establecidas y recomendadas por los reguladores y supervisores de los mercados. Identificación de aquellos Comités de Auditoría de compañías españolas cotizadas, dentro del estudio, que están acometiendo la recomendación de la NYSE de revisar y discutir (en el sentido anglosajón de la palabra) las publicaciones de prensa sobre sus resultados, así como la información financiera y previsión de beneficios para los analistas y agencias de calificación. 16 Identificación del nivel de satisfacción de los Comités sobre la información que reciben de la Alta Dirección. Análisis comparativo de la periodicidad y forma de supervisión del perímetro de consolidación por parte del Comité de Auditoría. En cuanto a las actividades de supervisión, todos los Comités de Auditoría consultados están acometiendo en general, las establecidas en la normativa europea y en las recomendaciones de la CNMV. Así, todos los Comités consultados supervisan el proceso de elaboración y presentación de la información financiera regulada, discuten con los auditores de cuentas y con el Director Económico Financiero los estados financieros (resultados consolidados anuales e intermedios) y revisan los criterios contables críticos para la sociedad. Es necesario destacar que todos los Comités consultados van más allá de la normativa europea y las recomendaciones de la CNMV y acometen la recomendación del Manual de la NYSE de revisar y discutir (en el sentido anglosajón de la palabra) las publicaciones de prensa sobre sus resultados, así como la información financiera y previsión de beneficios para los analistas y agencias de calificación (véase gráfico 1.1). El 50% de los Comités consultados están acometiendo siempre dicha recomendación, mientras que el resto de los consultados declara que lo está realizando casi siempre o en determinadas ocasiones.

19 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Gráfico 1.1 En línea con las recomendaciones del Manual de la NYSE, revisa y discute el Comité de Auditoría las publicaciones de prensa sobre los resultados de la sociedad, así como la información financiera y previsión de beneficios para los analistas y agencias de calificación? a; 50% c; 33% b; 17% d; 0% a- Siempre b- Casi siempre c- A veces d- Nunca Al consultar a los miembros de los Comités sobre su nivel de satisfacción respecto de la información que reciben por parte de la Alta Dirección de las compañías, el 100% de los consultados manifestó estar completamente satisfecho con la información financiera recibida. En relación a la supervisión de perímetro de consolidación, todas las compañías consultadas consideran la recomendación de la CNMV, variando la periodicidad con que se realiza esta actividad. En la mayoría de los Comités consultados (véase gráfico 1.2), se realiza dicha revisión trimestralmente, coincidiendo con la presentación de resultados de la compañía. En un menor número de casos, el Comité realiza dicha revisión, anualmente. El mismo número de Comités ha informado sobre la realización de dicha revisión antes de llevar a cabo cualquier operación de inversión o desinversión significativa, manteniendo una reunión específica sobre el perímetro de consolidación. La periodicidad semestral ha sido la que menor representación ha obtenido entre los Comités consultados. 17 Gráfico 1.2 Con qué periodicidad supervisa el Comité de Auditoría el perímetro de consolidación? d; 44% c; 12% a; 22% b; 22% a- Cada vez que se realiza cualquier operación de inversión o desinversión significativa b- Anualmente c- Semestralmente d- Trimestralmente Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

20 Generalmente, las compañías consultadas declaran que para la supervisión del perímetro de consolidación se cuenta con la asistencia de los responsables financieros, que exponen al Comité de Auditoría los aspectos sustanciales de los estados financieros consolidados. c) Conclusiones Una de las principales responsabilidades de los Comités de Auditoría es velar por la adecuación del reporting financiero y sus principales desgloses. De las conversaciones con los Comités de Auditoría, la primera conclusión obtenida es que supervisar la preparación y presentación de la información financiera no es una tarea simple. A nivel europeo, las líneas generales a nivel normativo están establecidas mediante Directiva. Los países dentro del análisis realizado las reflejan, con distinto nivel de detalle, en sus normativas y las desarrollan con mayor profundidad en las recomendaciones de sus supervisores de mercados de valores. En Estados Unidos, SOX estableció en el año 2002 la responsabilidad de la Dirección sobre la fiabilidad de la información financiera, mientras que el Manual de la NYSE, refleja los mismos aspectos que en el ámbito europeo e incluso incluye algunas recomendaciones adicionales y un mayor nivel de detalle. 18 Por tanto, a nivel normativo podríamos concluir que la tendencia que se vislumbra es la de un nivel de detalle en la regulación cada vez mayor. Es decir, cada vez más, los países dentro del alcance de este estudio están haciendo hincapié en la relevancia del Comité de Auditoría como el órgano de gobierno responsable de la revisión del reporting financiero. En cuanto a los Comités de Auditoría consultados, la mayoría, no sólo cumplen con las recomendaciones establecidas por la CNMV, sino que van más allá en su rol de supervisión del reporting financiero. En línea con la tendencia observada de un incremento en las regulaciones / recomendaciones al respecto, los Comités de Auditoría también están asumiendo cada vez un rol más protagonista en la supervisión del reporting financiero. Como ejemplo conviene destacar que todos ellos están acometiendo, con distinto grado de periodicidad y detalle, la recomendación del Manual de la NYSE de supervisar las comunicaciones de información financiera en prensa y a analistas y agencias de calificación. Es destacable que los Comités de Auditoría están la mayoría de acuerdo en que intensificarán sus actividades en este ámbito, en línea con la tendencia incremental de las regulaciones / recomendaciones aplicables. En diversos estudios sobre la efectividad de los Comité de Auditoría realizados por PwC 13, se sugiere que aquéllos que son más efectivos conocen y comprenden las principales políticas y criterios contables que afectan a procesos significativos de la información financiera, como la evaluación de la 13 Audit Committee Effectiveneness - What Works Best, Estudio de PwC en colaboración con el IIA 2011.

21 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias materialidad, cálculo de provisiones, estimaciones y proyecciones relevantes. Tan importante como las mencionadas políticas es la interpretación y aplicación que de éstas hace la Alta Dirección ante determinada clase de transacciones. También es relevante la opinión y alternativas presentadas por los auditores externos ante determinadas situaciones. En estudios previos sobre Comités de Auditoría, las siguientes son consideradas como mejores prácticas a desarrollar por los Comités de Auditoría en su supervisión y entendimiento de los Estados Financieros 14 : Conocer los principales epígrafes que contienen estimaciones importantes. Una manera de comprobar la integridad podría ser revisar las manifestaciones no estándar incluidas en la carta de la Alta Dirección que se proporciona a los auditores externos. Discutir con la Alta Dirección sobre la calidad de los procesos y sistemas, y la fiabilidad de los datos incluidos en las estimaciones. Considerar las estimaciones históricas frente a los resultados reales. Comprender los supuestos clave del negocio y las dependencias de las estimaciones, y cuando esos supuestos cambian o deberían cambiar. 19 Entender el alcance de la aplicación de modelos para el desarrollo de estimaciones y cómo se asegura la Alta Dirección que esos modelos son válidos (por ejemplo, solicitando a terceras partes que comprueben modelos complejos de valoración de productos financieros). Conocer la probabilidad de que se produzcan los hechos subyacentes. Comprender por qué la Alta Dirección registró, o decidió no registrar una estimación particular y si los saldos siguen siendo apropiados. Comprender los criterios para el cálculo de las provisiones. Entender cómo un cambio menor en un supuesto podría modificar los registros. Contratar auditores u otros expertos para testear y validar modelos de estimación que son particularmente significativos y/o complejos. El Comité debe conocer los principales criterios y políticas contables, asimismo, se le debería informar antes de aplicar una norma contable que afecte a los estados financieros de la compañía. 14 Audit Committee Effectiveneness - What Works Best, Estudio de PwC en colaboración con el IIA Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

22 En definitiva, los Comités de Auditoría desempeñan, y más aún de cara al futuro, un papel clave en la supervisión del reporting financiero, no sólo porque la normativa y las recomendaciones de los reguladores son cada vez mayores, sino también porque las actividades que ejecutan los Comités considerados como Mejor Práctica son cada vez más. II. El Sistema de control interno sobre la información financiera (SCIIF) a) Análisis de tendencias normativas, recomendaciones y buenas prácticas En el ámbito europeo la Directiva 2006/46, por la que se modificó la Directiva del Consejo 78/660/CEE relativa a las cuentas anuales, establece, entre otros requisitos, la obligación para las entidades cotizadas de publicar un informe anual de gobierno corporativo, incluyendo: una descripción de las principales características de los sistemas internos de control y Gestión de Riesgos de la sociedad en relación con el proceso de emisión de información financiera 15. La misma Directiva señala que dicha descripción será objeto de revisión por parte del auditor externo. 20 Comparativamente, desde SOX, en Estados Unidos se han establecido responsabilidades para la Alta Dirección o Gerencia e implementado requerimientos muy estructurados que han obligado a las compañías a realizar inversiones significativas destinadas a mejorar, realizar seguimiento e informar sobre sus sistemas de control interno. En este país, se propone el informe del Committee of Sponsoring Organizations (COSO) como marco de referencia de control interno, sin obligar a su adopción. A nivel europeo, adecuándose con la mencionada Directiva, encontramos marcos normativos menos estrictos, como los existentes en Alemania, Reino Unido y Francia. En los últimos dos países, se han desarrollado sus propios marcos de referencia, que no son obligatorios, como también las correspondientes guías de apoyo. En España, la CNMV, constituyó el Grupo de Trabajo de Control Interno sobre la información financiera (GTCI), que en junio del 2010 elaboró un documento con recomendaciones e indicadores básicos de información en relación al SCIIF: un conjunto de recomendaciones, una guía para la preparación de la descripción del sistema, pautas de actuación para llevar a cabo la labor de supervisión de los Comités de Auditoría sobre el SCIIF y un modelo de procedimientos para la revisión por el auditor externo. 15 Directiva 2006/46/CE del Parlamento Europeo y del Consejo, 14 de junio de 2006, artículo 1, apartado 7, punto 1-c).

23 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias La descripción del proceso de supervisión del mencionado documento establece 16 : La supervisión de la información financiera es una responsabilidad encomendada al Comité de Auditoría que comprende el control del proceso de elaboración y presentación, el cumplimiento de los requisitos normativos, la adecuada delimitación del perímetro de consolidación y la correcta aplicación de los criterios contables. El objetivo del SCIIF es proporcionar una seguridad razonable sobre la fiabilidad de la información financiera. La actividad de supervisión del Comité de Auditoría consiste en velar por su eficacia, obteniendo evidencias suficientes de su correcto diseño y funcionamiento, lo que exige evaluar el proceso de identificación de los riesgos que puedan afectar a la imagen fiel de la información financiera, verificar que existen controles para mitigarlos y comprobar que funcionan eficazmente. La supervisión también consiste en revisar, analizar y comentar la información financiera con la dirección y con los auditores internos y externos, para asegurarse de que los criterios contables aplicados son correctos y la información suministrada es completa y consistente con las operaciones. El modelo para la supervisión propuesto, señala que: La Alta Dirección debe identificar los procesos críticos y sus correspondientes riesgos significativos, que puedan afectar a la información financiera, evaluar su impacto potencial y desarrollar acciones para mitigarlos. 21 Agregando que, si bien el Comité de Auditoría debe ser proactivo en el análisis de las aéreas clave de control y supervisión del SCIIF, normalmente encargará la ejecución de la evaluación a las funciones de apoyo a: (i) los auditores internos; (ii) auditores externos (salvo que se produzcan incompatibilidades legales); y (iii) otros expertos, con quienes mantendrá una comunicación fluida para desarrollar sus responsabilidades de supervisión. b) Prácticas en compañías cotizadas El rol ejercido por los Comités de Auditoría consultados en relación a las recomendaciones de la CNMV sobre el SCIIF está sujeto al nivel de madurez de cada compañía en materia de control interno: aquéllas que cumplen con SOX cuentan con sistemas de control interno sensiblemente más maduros que aquéllas que no lo están. En este segundo grupo, el rol del Comité está condicionado por la relativamente reciente publicación de las recomendaciones de la CNMV y la previsible obligatoriedad de informar sobre el SCIIF de forma detallada en el Informe Anual de Gobierno Corporativo (IAGC). A fecha de realización del presente informe, a falta de entrada en vigor del nuevo modelo de IAGC, la CNMV está requiriendo a las compañías que informen por otras vías paralelas. 16 CNMV, Informe de Control Interno sobre la información financiera en las entidades cotizadas, junio 2010, página 43. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

24 Las compañías consultadas sujetas a SOX ya contaban, con anterioridad a la publicación de las recomendaciones de la CNMV, con un despliegue incluso superior en materia de SCIIF. En estas compañías el rol del Comité de Auditoría estaba ya consolidado y es más prolijo en relación a la supervisión del control interno. Tal y como puede apreciarse en el gráfico 1.3, entre las compañías no sujetas a SOX, como mejor práctica y en línea con las recomendaciones de la CNMV, hemos observado que la mayoría de los Comités han adoptado un rol proactivo en la mejora del SCIIF. Aunque el grado de avance es dispar, en general las compañías están avanzadas en este ámbito y los Comités de Auditoría están involucrados desde la fase de diagnóstico para la mejora del SCIIF. Gráfico 1.3 Qué rol ha ejercido el Comité de Auditoría en el diagnóstico y mejora del Sistema de Control Interno de la información Financiera (SCIIF) en relación a las recomendaciones de la CNMV? b; 15% 22 a; 85% a- Ha supervisado el proceso de adecuación a las nuevas exigencias de la CNMV. b- No ha ejercido ningún rol Como contrapunto, es necesario destacar que el 15% de los Comités consultados afirma no haber ejercido ningún rol en la adecuación del SCIIF a las recientes recomendaciones de la CNMV. c) Conclusiones La necesidad de restaurar la confianza en la información financiera de las empresas americanas dio lugar a las normas SOX. Con menor nivel de exigencia y responsabilidades, líneas similares se han replicado en los diferentes cuerpos normativos europeos. En España, la normativa y las recomendaciones del Regulador, han seguido la línea de otros países europeos, acercándose a SOX en sus requerimientos. La más que probable necesidad de informar sobre el sistema de control interno sobre la información financiera obliga a los Comités a involucrarse más en estos temas. En este sentido, las previsibles obligaciones de información van a condicionar una mayor involucración del Comité de Auditoría en dos ámbitos:

25 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Mayores responsabilidades e involucración en la supervisión del SCIIF. Necesidad de una mayor supervisión de la información que emite la compañía, tanto de sus Estados Financieros como de su control interno. Mientras el GTCI de la CNMV establece que el Consejo de Administración delega en la Alta Dirección la responsabilidad de la implementación de un SCIIF, los Comités de Auditoría tienen la responsabilidad delegada de la supervisión del mismo, normalmente a través de la función de Auditoría Interna. A continuación se exponen Mejores Prácticas identificadas para ejecutar dicha supervisión 17 : Reunirse periódicamente con los principales responsables del control interno sobre los informes financieros. Entender y ayudar a establecer la cultura de hacer las cosas bien. Discutir con la gerencia los controles para mitigar los principales riesgos de la información financiera, incluyendo los riesgos de fraude. Centrar las discusiones en áreas de mayor riesgo potencial. 23 Entender las actividades planificadas por la gerencia para evaluar el control interno y cuál es el rol de la función de Auditoría Interna y otros recursos relacionados. Comprender el alcance del plan de auditoría externa para probar los controles. Reunirse regularmente con la Dirección, Auditoría Interna, y los auditores externos para analizar los hallazgos particularmente significativos sobre debilidades materiales de control, así como también el plan de acción de la gerencia para responder de forma apropiada. En resumen, SOX marcó el objetivo de máximo detalle de formalización del control interno y los países europeos en general, y España en concreto, han ido acercándose cada vez más a su nivel de exigencia (aunque sin llegar a ser equiparables). En consonancia con esta tendencia, es previsible una involucración cada vez mayor de los Comités de Auditoría en la supervisión del SCIIF. Su rol ha empezado este año con la supervisión de la formalización de dicho SCIIF y continuará con la supervisión de su efectividad. 17 Audit Committee Effectiveneness - What Works Best, Estudio de PwC, Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

26 24

27 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias CAPÍTULO 2 GESTIÓN DE RIESGOS Y CONTROL INTERNO Temas tratados en este capítulo: Sistema de Gestión de Riesgos Riesgo de Fraude En los últimos años, el rol de los Comités de Auditoría en la supervisión de los riesgos de negocio ha crecido en complejidad e importancia, tanto a nivel estratégico como operativo. Al mismo tiempo, la diversidad y complejidad de la actividad económica es cada vez mayor, el ritmo de cambio y necesidad de actualización desafía la capacidad de gestión de quienes están al frente de las compañías. 25 Actualmente, las agencias de calificación crediticia (S&P, Fitch, Moodys, etc.), los reguladores de los mercados (por ejemplo, la CNMV) y los inversores, reclaman una mayor eficacia y transparencia en la Gestión de Riesgos de las compañías cotizadas y emisoras de títulos de deuda. Adicionalmente, la encuesta mundial sobre fraude y delito económico 2011 que realiza PwC refleja que el riesgo de fraude es muy relevante en tiempos de crisis. En este contexto de incertidumbre y complejidad económica y de mayores requerimientos de los Grupos de Interés en relación a la Gestión de Riesgos, los Comités de Auditoría deben intensificar cada vez más su rol, bien como palanca de conocimiento del negocio, bien en forma de supervisión de la Gestión de Riesgos que realiza la Dirección. I. Sistema de Gestión de Riesgos y Control Interno a) Análisis de tendencias normativas, recomendaciones y buenas prácticas En respuesta a la creciente complejidad del entorno económico y financiero (sucesos de Enron, WorldCom, Parmalat, Madoff, crisis financiera, entre otros), en los últimos 10 años se han Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

28 desarrollado diversos estándares y regulaciones de ámbito internacional, en relación a la Gestión de Riesgos y control interno (ver gráfico 2.1). Gráfico 2.1 Hitos normativos, recomendaciones y estándares Sarbanes Oxley Act 2004 Basilea II Marco de Gestión de Riesgos empresarial COSO II 2004 Directiva 109/CE 2005 Recomendación 162/CE 2006 Directiva 43/CE 2009 ISO Directiva 138/CE 2010 Basilea III Libro verde de Gobierno Corporativo de la Unión Europea España España España España 2006 Código Unificado de Buen Gobierno Nuevas Responsabilidad obligaciones para penal de las el Comité de personas jurídicas Auditoría en materia de gestión de riesgos y control interno 2011 Propuesta de Modificaciónal IAGC 26 Entre los hitos más importantes, destacan los siguientes: Durante julio del 2002, se publica SOX, que tiene como propósito restablecer la confianza de los inversores en los mercados de capitales de los Estados Unidos. En líneas generales, incrementa la autoridad y responsabilidad de los Comités de Auditoría, las responsabilidades de los miembros de los Consejos de Administración, los requerimientos de desglose de información para los reportes financieros y limita el alcance de los servicios que los auditores pueden prestar a sus clientes. En junio de 2004 el Comité de Basilea publicó Basilea II, un acuerdo que afecta a entidades financieras, que entre otros aspectos, establece la aplicación de modelos más sofisticados de medición del riesgo, pasando de un enfoque de tipo contable a otro que propicia un manejo dinámico, proponiéndose además el tratamiento explícito de otros tipos de riesgos e introduciendo el riesgo operativo. Entre las recomendaciones de Basilea II, se incluye que el Comité de Auditoría discuta sobre las áreas de riesgos en las operaciones. Tres años más tarde, se desencadenó la crisis financiera consecuencia, entre otras cosas, de una infravaloración del riesgo que asumían las entidades financieras con la comercialización de determinados productos financieros, baja transparencia, y otros fallos del sistema. Esta situación impulsó la reforma de los estándares globales y la generación de un nuevo acuerdo durante el año 2010, Basilea III, norma que pretende entre otros aspectos, mejorar los requerimientos de capital sobre exposición al riesgo.

29 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias En septiembre de 2004, el Committee of Sponsoring Organizations of the Treadway Commission emitió el Marco de Gestión de Riesgos, COSO II. Este marco metodológico considerado mejor práctica a nivel mundial, define a la Gestión de Riesgos como un proceso efectuado por el Consejo de Administración y otros integrantes, que afecta a la definición estratégica y a todo el negocio, diseñado para identificar eventos potenciales que pueden afectar a la entidad, y gestionar el riesgo según el nivel de riesgo aceptado, con el objeto de proporcionar una seguridad razonable respecto al logro de los objetivos. En diciembre del mismo año, el Parlamento Europeo emitió la Directiva 2004/109/CE, sobre la armonización de los requisitos de transparencia de las entidades cotizadas que requiere, en línea con las normas internacionales de información financiera (NIIF, o IFRS en inglés), que los responsables de dichas entidades incluyan en los informes financieros anuales una descripción de los principales riesgos e incertidumbres a que se enfrentan. En 2009, la International Organization for Standarization, presentó la ISO 31000:2009 Risk Management Principles and guidelines, cuyo objeto es ayudar a las compañías de todo tipo y tamaño a gestionar los riesgos adecuadamente. Esta norma establece una serie de principios, un marco de trabajo y un proceso destinado a gestionar cualquier tipo de riesgo en forma transparente, sistemática y con eficacia. En noviembre del 2009 en el ámbito de la Unión Europea se emite Solvencia I, o Directiva 2009/138/CE, la cual codifica y armoniza la regulación de los seguros de la UE. Refleja las nuevas prácticas de Gestión de Riesgos para definir el capital necesario y gestionar el riesgo con el objeto de promover la confianza en la estabilidad financiera del sector de seguros. Esta norma trata sobre tres áreas principales: requisitos cuantitativos, en relación al capital por ejemplo; requisitos de gobierno corporativo, Gestión de Riesgos y supervisión efectiva de las aseguradoras; divulgación y requisitos de transparencia. 27 Durante el año 2011, la Comisión Europea emitió el libro verde sobre Gobierno Corporativo, el cual destaca la responsabilidad última del Consejo de Administración respecto de la Gestión de Riesgos de las compañías, y la criticidad de establecer claramente las responsabilidades de todos los participantes, y comunicarlas interna y externamente 18 : Para que una política de riesgos sea eficaz y coherente, debe estar claramente definida desde arriba, es decir, debe ser decidida por el Consejo de Administración para toda la organización. Está admitido generalmente que el Consejo de Administración es el principal responsable de definir el perfil de riesgo de una organización determinada según la estrategia seguida y de supervisarlo adecuadamente para garantizar que funcione. 18 Libro Verde: La normativa de gobierno corporativo de la UE, Bruselas, 5 de abril de Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

30 Algunos aspectos pueden diferir debido a la variedad de los marcos jurídicos vigentes, por ejemplo, la estructura dual o unitaria de los consejos de administración. En cada caso, es indispensable definir con claridad los papeles y las responsabilidades de todas las partes que intervienen en el proceso de gestión del riesgo: el Consejo, la dirección ejecutiva y todo el personal operativo que trabaja en la gestión del riesgo. La descripción de los puestos de trabajo debe conocerse interna y externamente. Paralelamente, las responsabilidades de los Comités de Auditoría respecto de la Gestión de Riesgos se han incrementado. A nivel de la Unión Europea, la Directiva 2006/43/CE, establece que el Comité de Auditoría: supervisará la eficacia del control interno de la empresa ( ) y los sistemas de Gestión de Riesgos 19. Las normas legales de los diversos países europeos analizados en este estudio han replicado la tendencia asignando al Comité de Auditoría similar rol de supervisión (ver cuadro 2.1). Cuadro España 20 Reino Unido 21 Francia 22 Italia 23 Alemania 24 Supervisar la eficacia del control interno de la sociedad y los sistemas de Gestión de Riesgos. Discutir con los auditores externos las debilidades significativas de control interno. Revisar el sistema de control interno de la compañía, el sistema de Gestión de Riesgos y los controles financieros. Asegurar el seguimiento de la eficacia de los sistemas de control interno y Gestión de Riesgos. Supervisar el sistema de control interno. Supervisar la efectividad de los sistemas de control interno y de los sistemas de Gestión de Riesgos. Anteriormente, en el año 2005, la Comisión Europea se había manifestado en el mismo sentido, asignando una función similar al Comité de Auditoría 25 : revisar, al menos anualmente, los sistemas internos de control y Gestión de Riesgos para garantizar que los principales riesgos (incluidos los riesgos vinculados al cumplimiento de la legislación y las normativas en vigor) se han identificado, gestionado y divulgado correctamente. 19 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, artículo 41, apartado 2, punto b). 20 Ley 24/1988 del Mercado de Valores. Boletín Oficial del Estado, 29 de julio de 1988, disposición adicional 18ª, punto 4.2ª. 21 The UK Corporate Governance Code, 3 junio de 2010, punto C Ordonance 2008, Código de Comercio Francés, 8 de diciembre de 2008, artículo Testo Unico della Finanza, artículo 149. Aplicable al collegio sindicale, consiglio di sorveglianza o comitato per il controllo. 24 Aktiengesetz (Ley del Mercado de Valores), VorstAG, 31 de julio de 2009, sección Recomendación de la Comisión, 15 de febrero de 2005, Anexo I, punto

31 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Como puede observarse en el cuadro comparativo 2.2, las recomendaciones para sociedades cotizadas emitidas a nivel nacional por los países europeos, detallan las normas legales de dichos países en relación al rol de supervisión del Comité de Auditoría: Cuadro 2.2 España 26 Reino Unido 27 Francia 28 Italia 29 Alemania 30 Estados Unidos 31 Revisar periódicamente los sistemas de control interno y Gestión de Riesgos, para que los principales riesgos se identifiquen, gestionen y den a conocer adecuadamente. Revisar la eficacia del control interno y Gestión de Riesgos. Recibir los informes de la dirección de la empresa sobre la efectividad de los sistemas que se han establecido y las conclusiones de los testeos realizados por los auditores internos y externos. Revisar y aprobar la información incluida en los informes anuales respecto del control interno y la Gestión de Riesgos. Monitorizar la efectividad de los sistemas de control interno y Gestión de Riesgos. Asistir al Consejo de Administración para: - definir las líneas básicas del sistema de control interno y de Gestión de Riesgos de acuerdo a los objetivos estratégicos de la empresa, que permitan la correcta identificación de los principales riesgos, su adecuada medición, gestión y control; - evaluar, por lo menos una vez al año, la adecuación, efectividad y el funcionamiento real del sistema de control interno; - describir, en el informe de gobierno corporativo, los elementos esenciales del sistema de control interno, expresando su evaluación sobre la adecuación general del mismo; - expresar opinión sobre aspectos concretos relacionados con la identificación de los principales riesgo de la compañía. Involucrarse en la Gestión de Riesgos. Discutir (en el sentido anglosajón del término) las políticas sobre evaluación y Gestión de Riesgos Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación 50, 1º b. 27 Guidance Audit Committee, Financial Reporting Council, diciembre del 2010, punto 4.6 y Recomendaciones de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, 0ctubre de 2003, capítulo Código de Gobierno Coporativo, Comitato per la Corporate Governance, Borsa Italiana S.p.A., marzo 2006, actualizado en diciembre 2011, artículo 7.C Deutscher Corporate Governance Kodex (DCGK), 18 de junio de 2009, apartado Manual para las Empresas Cotizadas, NYSE, seeción 303 A 07, b), iii, D. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

32 En España, el proyecto de circular de reforma del IAGC 32 en curso requiere que cada entidad detalle, en relación a su Sistema de Gestión de Riesgos, los siguientes aspectos clave: alcance general del sistema de Gestión de Riesgos; principales responsabilidades a nivel directivo; descripción de principales riesgos críticos; nivel de tolerancia al riesgo a nivel corporativo; riesgos críticos que se hayan materializado durante el ejercicio; planes de respuesta a los principales riesgos críticos; actividades de supervisión realizadas sobre el Sistema de Gestión de Riesgos. Adicionalmente, tal y como se mencionó en el capítulo 1 del presente informe, las compañías tendrán que informar sobre los sistemas internos de control interno y Gestión de Riesgos en relación con el proceso de emisión de información financiera. b) Prácticas en compañías cotizadas 30 El 33% de los Comités de Auditoría analizados en este estudio opinan que la actividad de supervisión del Comité se ha incrementado de forma moderada, en un 59% se ha incrementado significativamente y en el restante 8% sigue en la misma línea (ver gráfico 2.2). Gráfico 2.2 Cuál ha sido la evolución en los últimos años de la actividad de supervisión del Comité en relación al Sistema de Gestión de Riesgos y Control Interno de la compañía? d c b 0% 8% 33% a- Se ha incrementado significativamente b- Se ha incrementado de forma moderada c- Sigue en la misma línea d- Se ha reducido a 58% Hemos preguntado a miembros de Comités de Auditoría sobre la relevancia que otorga la Dirección de sus compañías a la Gestión de Riesgos. La mayoría consideran que la Dirección ha incrementado significativamente la relevancia que le otorgan (ver gráfico 2.3). En este sentido, es destacable que ningún consultado considera que la relevancia otorgada por la Dirección se ha reducido en el pasado reciente. 32 Proyecto de Circular de la CNMV, por la que se modifica el IAGCde las sociedades anónimas cotizadas, de las Cajas de Ahorro y del resto de entidades que emiten valores que se negocien en mercados oficiales de valores, 2011.

33 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Gráfico 2.3 En su opinión, cree que la relevancia otorgada por la Dirección de la compañía a la Gestión de Riesgos se ha incrementado en los últimos años? 67% a- Se ha incrementado significativamente b- Se ha incrementado de forma moderada c- Sigue en la misma línea d- Se ha reducido 25% 8% 0% a b c d Un amplia mayoría de los representantes de Comités de Auditoría que han participado en este estudio, el 83%, cree que la Gestión de Riesgos está aportando los beneficios esperados a la compañía (ver gráfico 2.4). En relación a cuáles son los beneficios que aporta, las opiniones de los consejeros consultados están en línea con las Mejores Prácticas aplicables y las recomendaciones de la Comisión Europea: 31 Homogenización de conceptos y metodología en todas las áreas de la compañía. Visión transversal de procesos y riesgos. Concienciación del impacto de la materialización de algunos riesgos. Utilización de indicadores clave (KRI s) para los principales riesgos. Definición de políticas y límites de tolerancia para la gestión operativa de los riesgos. Seguimiento y reporte continuos. Gráfico 2.4 La Gestión de Riesgos está aportando a la compañía los beneficios esperados? b; 17% a; 83% a- Completamente de acuerdo b- Moderadamente de acuerdo c- Moderadamente en desacuerdo Totalmente en desacuerdo c; 0% d; 0% Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

34 Al consultar sobre la frecuencia con la que el Comité de Auditoría recibe información sobre el Sistema de Gestión de Riesgos y Control Interno, se observa que la frecuencia varía según las prácticas de cada compañía: el 55% recibe información trimestralmente y el resto se reparte entre una frecuencia semestral y mensual (ver gráfico 2.5). En las normativas y recomendaciones no se establece periodicidad de reporte. El proyecto de Circular de la CNMV para poner en práctica las reformas al IAGC, obliga a informar anualmente, pero la mayor parte de las compañías superan este estándar e informan a su Comité de Auditoría trimestralmente, coincidiendo con el reporte de resultados. Gráfico 2.5 Con qué periodicidad recibe información de la Dirección sobre el Sistema de Gestión de Riesgos y Control Interno? 32 d; 18% c; 55% b; 27% a; 0% a- Anualmente b- Semestralmente c- Trimestralmente d- Mensualmente En relación a la supervisión del Sistema de Gestión de Riesgos en compañías más maduras, el Comité de Auditoría recibe información directamente de los responsables o gestores de cada área sobre los riesgos y planes de control asociados, y/o supervisa los sistemas de Gestión de Riesgos del grupo a través de los informes elaborados por los responsable de Gestión de Riesgos, Finanzas y Auditoría Interna. El Comité valida la metodología utilizada, procesos de identificación, de evaluación, los resultados obtenidos en forma general, y en mayor detalle algunos riesgos específicos. Al consultarles sobre qué elementos del Sistema de Gestión de Riesgos y Control Interno centran los Comités sus actividades de supervisión, o trabajan con mayor frecuencia o detalle, éstos han destacado por orden de importancia: Riesgos clave para el negocio Actividades de monitorización sobre riesgos clave Planes de respuesta / Actividades de control sobre riesgos clave

35 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias c) Conclusiones Los diversos escándalos financieros y convulsiones económicas sufridas en los últimos 10 años, han incentivado la generación de nuevas metodologías, normativas y recomendaciones en materia de Gestión de Riesgos y Control Interno. Consecuentemente, en las compañías cotizadas las prácticas en estas materias han evolucionado en igual sentido. Algunos expertos han destacado que la creciente tendencia regulatoria en materia de Gestión de Riesgos y Control Interno se debe al gran desinterés años atrás. En cualquier caso, es constatable, si nos fijamos en la evolución de los últimos años, que todos los reguladores están focalizando sus miradas cada vez más en este ámbito. En línea con este incremento normativo, las regulaciones y recomendaciones sobre el papel del Comité de Auditoría también se han incrementado notablemente en los últimos años. En España, las recientes propuestas de reforma del IAGC por parte de la CNMV, han incrementado significativamente la necesidad de informar sobre estos temas. Cuando entren en vigor, es más que previsible un incremento del protagonismo de los Comités de Auditoría en materia de Gestión de Riesgos, no sólo a nivel de supervisión de la información proporcionada, sino también en cuanto a la revisión en sí del Sistema de Gestión de Riesgos y Control Interno de las compañías. 33 El creciente interés de los Directivos de las compañías cotizadas por la Gestión de Riesgos y el Control Interno es también un impulsor clave del rol del Comité en este ámbito. En este sentido, la encuesta a los CEOs de PwC , refleja el creciente interés de los directivos (consejeros delegados y directores generales) por la Gestión de Riesgos, indicando su intención de que evolucione desde un enfoque de cumplimiento a un enfoque estratégico, con un alcance más amplio. Así, un enfoque más amplio a nivel directivo condicionará también la necesidad de un enfoque de supervisión más amplio en los Comités de Auditoría. A modo de guía resumen, se incluyen actuaciones de supervisión consideradas Mejor Práctica por Comités de Auditoría consultados por PwC a nivel mundial: El Comité de Auditoría debe entender los negocios de la compañía y cómo funciona el proceso de Gestión de Riesgos. Es necesario que el Comité analice la forma en que la Alta Dirección identifica los riesgos y evalúa su probabilidad de ocurrencia e impacto th Annual Global CEO Survey PwC 2011: Growth reimagined. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

36 El proceso de Gestión de Riesgos debe estar adaptado a las necesidades de la compañía. El Comité debe supervisar que la Alta Dirección no ha adaptado un enfoque estándar que no aporta todo el valor que debiera o que se considera como algo residual en la organización. El proceso de Gestión de Riesgos debe ser continuo. El Comité de Auditoría debe obtener confort suficiente de que no es una actividad eventual o pasajera. El Comité debe asegurarse de que la función que tiene asignada la responsabilidad de Gestión de Riesgos cuenta con los conocimientos técnicos, la jerarquía dentro de la empresa y el tiempo disponible apropiados. Es necesario que obtenga un entendimiento detallado de los riesgos clave que la Alta Dirección ha identificado y que se han comunicado al Consejo de Administración. La función de auditoría debe cubrir los principales riesgos de negocio. En este sentido, el Comité de Auditoría debe comprender el rol de Auditoría Interna en la Gestión de Riesgos y supervisar si su plan cubre los riesgos clave. 34 Es necesario trabajar con el resto de comités del Consejo de Administración, para asegurar que todos los riesgos clave están sujetos a la supervisión de este último. En líneas generales, podemos concluir que el creciente interés regulatorio y de la Dirección de las compañías en la gestión de riesgos está requiriendo que los Comités de Auditoría se involucren más en este ámbito. En España, las últimas propuestas de modificación del IAGC van a provocar que esta tendencia se acentúe aun más en el futuro próximo para consolidarse en el medio y largo plazo. Por esta razón, los Comités deben prepararse para incrementar significativamente sus actividades de supervisión en materia de Gestión de Riesgos. II. Riesgo de Fraude a) Análisis de tendencias normativas, recomendaciones y buenas prácticas Las debilidades del control interno pueden hacer a las empresas más vulnerables ante el riesgo de fraude. Si bien existen diversos tipos, como la malversación de fondos, abuso de información privilegiada, soborno, el que más preocupa a los Comités de Auditoría es el fraude en informes financieros. Éste es comúnmente definido como una tergiversación deliberada de la situación financiera de la empresa, derivadas de errores u omisiones intencionadas en los estados financieros. Para conocer posibles irregularidades, los Comités de Auditoría pueden valerse de mecanismos o fuentes de información anónimos y confidenciales, como por ejemplo el canal de denuncias.

37 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias El objetivo de este último es identificar comportamientos inapropiados y poder tomar decisiones al respecto. En Estados Unidos, desde SOX, se requiere que cada Comité de Auditoría establezca procedimientos para 34 : a) la recepción, retención y tratamiento de las reclamaciones recibidas por el emisor en relación con asuntos de contabilidad, controles internos, contables o de auditoría; y b) la presentación confidencial, anónima, por parte de los empleados del emisor, de preocupaciones relacionadas con asuntos de contabilidad o auditoría. A nivel de la Unión Europea, en el año 2005 se emitieron recomendaciones similares 35 : El Comité de Auditoría debe controlar el procedimiento en virtud del cual la empresa se atiene a las disposiciones en vigor relativas a la posibilidad de que los empleados señalen las irregularidades importantes que consideren se han podido cometer en la empresa presentando una reclamación o una denuncia anónima, normalmente a un administrador independiente, y garantizar que disponga lo necesario para una investigación proporcionada e independiente a este respecto, seguida de una actuación apropiada. Por otra parte, en España, la CNMV ha recomendado en el Código de Buen Gobierno: 35 Que la supervisión del cumplimiento de los códigos internos de conducta y de las reglas de gobierno corporativo se atribuya al Comité de Auditoría, a la Comisión de Nombramientos, o, si existieran de forma separada, a las Comisiones de Cumplimiento o de Gobierno Corporativo 36. Establecer y supervisar un mecanismo que permita a los empleados comunicar, de forma confidencial y, si se considera apropiado, anónima las irregularidades de potencial trascendencia, especialmente financieras y contables, que adviertan en el seno de la empresa 37. b) Prácticas actuales en compañías cotizadas El 67% de los Comités de Auditoría consultados participan siempre en la resolución de las denuncias que se reciben a través de los mecanismos implementados en cada compañía, un 17% participa casi siempre, y un 8% se involucra en algunas ocasiones. Llamativamente, el 8 % restante de los comités no se involucran nunca en estos temas (ver gráfico 2.6). 34 Sección 301, punto 4.a y 4.b de SOX que reforma la sección 10 A de la SEA. 35 Recomendación de la Comisión, 15 de febrero de 2005, Anexo I, punto Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación 50, 1º d. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

38 Gráfico 2.6 Participa el Comité de Auditoría en la resolución de cualquier aspecto significativo que ha sido denunciado a través del canal de denuncias? c; 8% d; 17% a- Siempre b- Casi siempre b; 8% c- A veces d- Nunca a; 67% En general, las compañías sujetas a SOX son más maduras en este ámbito, habiendo implantado este tipo de mecanismos con anterioridad. En estas empresas se observa mayor madurez, e incluso cuentan con canales internos a disposición de todos los empleados para que puedan comunicar cualquier supuesta irregularidad en materia de contabilidad, auditoría o incumplimientos del Código Ético y canales externos que permiten a terceros informar sobre irregularidades o actos fraudulentos, y/o contrarios a las normas éticas. 36 c) Conclusiones Fraudes importantes han llevado a la quiebra a organizaciones y destruido la reputación y confianza en los mercados. Hoy en día, situaciones como las de Enron (2001), Worldcom (2002) o Parmalat (2003), pueden ser evitables gracias, en parte, a la creciente regulación y recomendaciones en materia de gestión de riesgos y prevención del fraude. La implementación de mecanismos de denuncia aporta vías directas con los órganos de gobierno de las empresas que se convierten en controles persuasivos, previniendo irregularidades, incumplimientos regulatorios, o comportamientos no éticos. En Estados Unidos, la responsabilidad del Comité sobre la existencia de este tipo de mecanismos es un requisito legal desde hace tiempo, que se ha reforzado en los últimos años. Sin embargo, en Europa dichos mecanismos y la participación del Comité en los mismos son menos maduros, siendo establecidos en forma de recomendación e incluyéndose en los Códigos de Buen Gobierno de la mayoría de países analizados. En cualquier caso, la creciente regulación sobre Gestión de Riesgos y Control Interno de la que hablábamos en el epígrafe anterior, abarca también el riesgo de fraude y el canal de denuncias. En línea con la diferente madurez a nivel regulatorio, se ha observado que aquellas compañías consultadas que deben cumplir con SOX, la gestión de riesgos de fraude es más madura e incluye

39 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias canales internos y externos de denuncia, contando con participación activa del Comité de Auditoría. En el ejercicio de sus responsabilidades, los Comités de Auditoría deben efectuar seguimiento de los riesgos relacionados a la fiabilidad de la información financiera, el fraude, el cumplimiento legal y regulatorio. La tendencia que se vislumbra en cuanto al riesgo de fraude está en línea con la de Gestión de Riesgos y Control Interno. La creciente preocupación reflejada por los CEOs 38, la actual situación económica, más proclive al fraude según recientes encuestas 39, y las cada vez mayores exigencias reputacionales, adelantan una gestión del fraude cada vez más sofisticada y, en consonancia, una necesidad de involucración de los Comités de Auditoría cada vez mayor. De acuerdo con las mejores prácticas publicadas por instituciones profesionales de primera línea 40, el rol del Comité dentro de un programa efectivo de gestión del riesgo de fraude incluye los siguientes puntos. El Comité debería: reunirse con la frecuencia, extensión y preparación suficientes para evaluar de forma adecuada y responder a los riesgos de fraude, ya que estos hechos suelen eludir los controles internos implementados en la organización. Es fundamental que el Comité de Auditoría reciba información periódica sobre el estado de los informes o denuncias de fraude. 37 convocar a sus reuniones a personas clave, sin la presencia de la alta dirección, como el auditor interno y el responsable financiero. El Comité debe comprender cómo las estrategias de Auditoría Interna y externa cubren los riesgos de fraude, prestando atención no sólo a las actividades de detección, sino a las que previene los fraudes en la organización. supervisar proactivamente la evaluación que la organización realiza de este tipo de riesgos y apoyarse en los auditores internos, u otros responsables, para controlar los riesgos de fraude. El Comité debería proporcionar a los auditores externos evidencia de su compromiso con la gestión del riesgo de fraude y discutir con ellos el enfoque del plan de auditoría para la detección del fraude como parte de la auditoría de estados financieros. mantener un diálogo abierto y sincero con los auditores externos, que facilite la comunicación inmediata sobre cualquier fraude o sospecha de fraude que afectan a la organización, así como también, a las actividades de supervisión que ejerce el Comité sobre la evaluación de los riesgos de fraude, y los diferentes controles establecidos en la organización para mitigar estos riesgos th Annual Global CEO Survey PwC 2011: Growth reimagined. 39 Encuesta mundial sobre fraude y delito económico, de PwC, Managing the Business Risk or Fraud: A Practical Guide, IIA, AICPA, ACFE, mayo de Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

40 contar con el asesoramiento de expertos legales para el análisis de cuestiones de fraude. Las acusaciones en esta materia deben analizarse minuciosamente, ya que puede existir obligación legal de investigar y / o informar a las autoridades sobre ellas. considerar el perjuicio que los comportamientos fraudulentos generan en la reputación de la compañía, y el posible impacto sobre el valor del accionista que podría ser severo. Por lo tanto, el Comité de Auditoría debe analizar la exposición y gestión del riesgo de fraude al revisar el trabajo de la alta dirección y de los auditores internos, solicitándoles que se mantengan alerta e informen sobre estos temas en forma continua. Adicionalmente existen aspectos clave respecto de la composición del Comité que impactan directamente en su eficacia para supervisar el riesgo de fraude, como la independencia de sus miembros y los conocimientos financieros que poseen. 38 En definitiva, la creciente regulación del riesgo de fraude está en línea, tanto con la relacionada con la Gestión de Riesgos y Control Interno en sentido amplio, como con las actuaciones de los Comités consultados. En cuanto a estos últimos, los de compañías sujetas a SOX presentan una mayor madurez (al igual que se reflejaba en el epígrafe anterior en relación a la Gestión de Riesgos y el Control Interno). Se puede añadir que la tendencia que se vislumbra en la gestión del fraude es la de una gestión cada vez más sofisticada, lo que requerirá mayor involucración de los Comités de Auditoría.

41 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias CAPÍTULO 3 AUDITORÍA INTERNA Temas tratados en este capítulo: La relación del Comité con la función de Auditoría Interna Los recursos de la función de Auditoría Interna Cada vez es más frecuente encontrar en las compañías cotizadas funciones de Auditoría Interna que, sin perder su condición de área independiente y objetiva, aportan valor a la gestión empresarial a través de actividades tanto de supervisión como de asesoramiento. 39 Dicha función está condicionada por el alcance del trabajo, la tipología de proyectos acometidos y los recursos de los que dispone, además de las características y las necesidades de la compañía en la que se integra. Es también muy relevante, sobre todo en cuanto a las actividades de asesoramiento, el protagonismo que tiene la Auditoría Interna en la Alta Dirección y la confianza que es capaz de generar en sus principales Grupos de Interés. Los Comités de Auditoría deben apoyarse en la función de Auditoría Interna a la hora de desarrollar sus responsabilidades. En este sentido, el papel cada vez más relevante de los Comités de Auditoría, debe ir acompañado de una función de Auditoría Interna con importancia creciente dentro de las organizaciones. I. La relación del Comité con la función de Auditoría Interna a) Análisis de tendencias normativas, recomendaciones y buenas prácticas La Directiva 2006/43/CE 41 en su artículo 41, apartado 2), establece: Sin perjuicio de la responsabilidad de los miembros del órgano administrativo o de gestión o del organismo de supervisión, o de otros miembros designados en la junta general de accionistas de la entidad auditada, el Comité de Auditoría, entre otras cosas: 41 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, artículo 41, apartado 2. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

42 a) Supervisará la eficacia del control interno de la empresa, la Auditoría Interna cuando sea pertinente, y los sistemas de Gestión de Riesgos. Con anterioridad a esta Directiva, la Comisión ya había incluido entre sus recomendaciones 42 la evaluación de la necesidad de contar con una función de Auditoría Interna y de garantizar su eficacia: ( ) el Comité de Auditoría debe ayudar al Consejo de Administración o de supervisión como mínimo a: - garantizar la eficacia de la función de Auditoría Interna, en particular haciendo recomendaciones sobre la selección, nombramiento, reelección y destitución del responsable del servicio de Auditoría Interna y sobre el presupuesto de este servicio, y verificando que la dirección tiene en cuenta sus conclusiones y recomendaciones. Cuando una empresa no disponga de función de Auditoría Interna, la necesidad de crear una debe evaluarse por lo menos anualmente. Siguiendo la línea de la Directiva y recomendaciones de la Comisión Europea, en España se modificó, entre otras, la Ley de 24/1988 del Mercado de valores a través de la Ley 12/2010 para su adaptación a la normativa comunitaria. De acuerdo al apartado 4 de la disposición adicional decimoctava 43, entre las competencias del Comité de Auditoría estará: 40 2ª. Supervisar la eficacia del control interno de la sociedad, la Auditoría Interna, en su caso, y los sistemas de Gestión de Riesgos, así como discutir con los auditores de cuentas o sociedades de auditoría las debilidades significativas del sistema de control interno detectadas en el desarrollo de la auditoría. En el año 2006, la CNMV ya había incorporado en el Código Unificado de Buen Gobierno 44 varias recomendaciones acerca de la responsabilidad de los Comités de Auditoría respecto a la función de Auditoría Interna. Dicho Código recomienda que las sociedades cotizadas dispongan de una función de Auditoría Interna que, bajo la supervisión del Comité de Auditoría, vele por el buen funcionamiento de los sistemas de información y control interno. La tendencia en otros países europeos analizados ha sido similar, incorporando todos ellos la responsabilidad de supervisión de los Comités de Auditoría sobre la función de Auditoría Interna, a través de recomendaciones emitidas por los organismos reguladores: 42 Recomendación de la Comisión de 15 de febrero de 2005 relativa al papel de los administradores no ejecutivos o supervisores y al de los comités de consejos de administración o de supervisión, aplicables a las empresas que cotizan en bolsa. Anexo I- punto Ley 12/2010, de 30 de junio, por la que se modifica la Ley 19/1988, de 12 de julio, de Auditoría de Cuentas, la Ley 24/1988, de 28 de julio, del Mercado de Valores y el texto refundido de la Ley de Sociedades Anónimas aprobado por el Real Decreto Legislativo 1564/1989, de 22 de diciembre, para su adaptación a la normativa comunitaria. 44 Anexo I del Informe del grupo especial de trabajo sobre Buen Gobierno de las sociedades cotizadas. Recomendación 47.

43 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Cuadro 3.1 España 45 Reino Unido 46 Francia 47 Italia 48 Alemania 49 Recibir el plan anual de trabajo y ser informado directamente sobre las incidencias de su desarrollo. Recibir un informe de actividades a final de cada ejercicio. Recibir información periódica sobre las actividades de Auditoría Interna. Verificar que la Alta Dirección tiene en cuenta las conclusiones y recomendaciones de sus informes. Velar por la independencia y eficacia de la función de Auditoría Interna. Monitorizar y revisar la efectividad de la función de Auditoría Interna. En los casos en los que no haya tal función, evaluar si existe la necesidad de contar con tal función y realizar recomendaciones al Consejo, y las razones para justificar la falta de necesidad deberán ser explicadas en el reporte anual. En ausencia de una función de Auditoría Interna la gerencia necesita aplicar otros procesos de monitorización con el fin de garantizar el sistema de control interno. Entrevistar al responsable de Auditoría Interna. Emitir una opinión respecto a la organización de ese departamento o función. Estar informado sobre su programa de trabajo. Recibir reportes de Auditoría Interna o una síntesis periódica de sus reportes. Asesorar al Consejo de Administración para: Aprobar el plan de trabajo preparado por el responsable de la función de Auditoría Interna. Examinar los informes de particular relevancia preparados por la función de Auditoría Interna. Monitorizar la independencia, la adecuada eficacia y eficiencia de la función de Auditoría Interna y solicitar pruebas específicas a la función en áreas operativas. Supervisar el Sistema de Revisión Interna Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación 48 y Guidance Audit Committee, Financial Reporting Council, diciembre del 2010, punto 2.2, 4.10 y Recomendaciones de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, 0ctubre de 2003, capítulo Código de Gobierno Coporativo, Comitato per la Corporate Governance, Borsa Italiana S.p.A., marzo 2006 y actualizado en diciembre 2011, artículo 7.C.1. y 7.C.2-responsabilidades del Comitato controllo e rischi. 49 Aktiengesetz (German Stock Corporation Act), 6 de septiembre de 1965, sección 107. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

44 Como se puede comprobar en el cuadro anterior, todos los países europeos analizados han incorporado la indicación de la Directiva 2006/43/CE respecto a la función supervisora de los Comités de Auditoría, si bien ninguno de ellos especifica cuáles deberán ser los mecanismos utilizados en dicha supervisión. En algunos casos, como es el español, se recomienda la recepción de un plan anual de trabajo e informes de actividades. Francia va más allá e incluye entre sus recomendaciones, la de que el Comité de Auditoría emita una opinión respecto a la organización del departamento o función de Auditoría Interna, y la de entrevistar al responsable del mismo. En Estados Unidos, las recomendaciones que realiza la NYSE 50 en materia de control interno, indican también que los Comités deberán asistir en la revisión de desempeño de la función de Auditoría Interna, sin detallar tampoco mecanismos concretos para la adopción de dicha recomendación (ver cuadro 3.2.): Cuadro Estados Unidos 51 Asistir al Consejo de Administración en la revisión del desempeño de la función de Auditoría Interna de la sociedad cotizada. (Toda compañía pública deberá contar con una función de Auditoría Interna). La SEC especifica en la parte de monitorización del sistema de control interno que normalmente incluiría monitorización de controles sobre las operaciones y los controles que monitorizan otros controles incluyendo las actividades de la función de Auditoría Interna. b) Prácticas actuales en compañías cotizadas Los Comités de Auditoría consultados consideran que la función de Auditoría Interna aporta valor a la compañía mediante la calidad y la mejora continua de sus servicios, la elaboración de recomendaciones apropiadas y la eficaz comunicación con las diferentes áreas de la compañía. En relación a la manera de optimizar la aportación de valor, se considera la Gestión de Riesgos como un campo de acción valioso, donde Auditoría Interna debe ejercer un rol de asesoramiento. Para que esto sea posible, es necesario el compromiso de la Alta Dirección con la asignación de recursos suficientes para estos servicios. Al consultar a los miembros de Comités sobre los mecanismos que utilizan para evaluar el desempeño de Auditoría Interna, la mayoría de ellos señalaron los siguientes como aspectos clave: 50 Manual New York Stock Exchange Listed Company, primera version 1953 (con actualizaciones posteriores), Sección 303A.7. y SEC Commission Guidance Regarding Management s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934; Final Rule. 51 Manual New York Stock Exchange Listed Company, primera version 1953 (con actualizaciones posteriores) y SEC Commission Guidance Regarding Management s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934; Final Rule.

45 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Aprobación del plan de trabajo anual de la función de Auditoría Interna, con anticipación a su ejecución. Propuesta del presupuesto necesario para la ejecución de las actividades. Análisis del Mapa de Riesgos de auditoría. Revisión de los informes de las auditorías realizadas, análisis de las recomendaciones y seguimiento de su implementación. La supervisión de la función de Auditoría Interna es una actividad continua. En la mayoría de los casos no existen procedimientos formales de evaluación de su desempeño y sólo en el 20% de los casos analizados se ha recurrido a evaluadores externos independientes. Este dato contrasta con estudios de PwC realizados en otros países 52, donde son más habituales las evaluaciones de la función por externos independientes. Contrasta también con los estándares profesionales y consejos para la práctica de Auditoría Interna del Instituto de Auditores Internos, que recomiendan que el programa de calidad de una función de auditoría de interna sea evaluado por un tercero externo independiente al menos cada 5 años. Durante el último año, el 44% de los Comités de Auditoría han mantenido alrededor de 10 reuniones con el Director de Auditoría Interna, mientras el 33% efectuó entre 6 y 7 reuniones y el 22% una por trimestre. En la mayoría de los casos analizados en este estudio, los Comités consideran que el número de reuniones es razonable y permite desarrollar adecuadamente sus funciones. 43 Gráfico 3.1 Verifica el Comité que la Alta Dirección tiene en cuenta las conclusiones y recomendaciones de los informes de Auditoría Interna? d; 25% c; 33% a; 25% b; 17% a- Anualmente b- Semestralmente c- Trimestralmente d- Mensualmente Tal y como se refleja en el gráfico 3.1, el 25 % de los Comités verifica anualmente que la Alta Dirección considere las recomendaciones realizadas por Auditoría Interna, un 17% lo hace semestralmente, un 33% trimestralmente y un 25% cada mes. Esta actividad se efectúa generalmente, mediante los informes de seguimiento que presenta Auditoría Interna. 52 Informe An essential role to play 2009 sobre Comités de Auditoría, de PwC. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

46 c) Conclusiones Una relación y supervisión fluida y abierta entre el Comité de Auditoría y la función de Auditoría Interna es clave para que el primero obtenga un adecuado desempeño y para que esta última alcance un rol relevante en su compañía. Fruto de la relevancia de esta relación, surge la regulación actual en la materia que existe en todos los países analizados. Todos ellos reflejan la necesidad de una adecuada supervisión en sus regulaciones y/o recomendaciones. En la misma línea, los Comités de Auditoría consultados consideran que se trata de un aspecto clave en su funcionamiento. Si profundizamos en las recomendaciones vigentes en cada país, podemos concluir que el nivel de detalle es cada vez más elevado, siendo las últimas reformas un ejemplo de ello 53. En España, uno de los últimos países en transponer la regulación 54 y desarrollar las recomendaciones relacionadas 55, se invita a los Comités de Auditoría a seguir pautas detalladas de supervisión que coinciden con Mejores Prácticas identificadas por PwC a nivel global, recomendaciones de trabajo del Instituto de Auditores Internos y otros organismos especializados en la materia 56. Entre las mencionadas Mejores Prácticas se pueden destacar las siguientes actividades: Tener comunicaciones periódicas, tanto con la función de Auditoría Interna como con la Alta Dirección para obtener una visión global de la compañía. 44 Supervisar el Plan de Auditoría Interna, comprobando que está alineado con los riesgos clave de la compañía. Velar por la independencia de la función de Auditoría Interna, teniendo en cuenta las actividades consultoras en las que participan. Entender las necesidades de la función de Auditoría Interna y los recursos de que dispone, cerciorándose de que la función cuenta con las capacidades requeridas para cumplir con las expectativas de la Dirección y de los propios Comités. Participar en la definición y aprobación de los objetivos de la función de Auditoría Interna, asegurándose de que están claramente definidos y se adecúan a las necesidades y expectativas de la compañía. Recibir un reporting periódico de los trabajos de Auditoría Interna, supervisando que las recomendaciones planteadas hayan sido consideradas por la Alta Dirección. 53 Reforma de Diciembre 2011 al Código de Gobierno Corporativo italiano (Codice di Autodisciplina de marzo 2006). 54 Modificación de la Ley de 24/1988 del Mercado de valores a través de la Ley 12/2010 para su adaptación a la normativa comunitaria. 55 Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación 48 y Han sido consultados los estándares profesionales del Instituto de Auditores Internos, el Committee of Sponsoring Organizations of the Treadway Commission (COSO), informes de PwC como The Internal Audit Role 2012 y otros informes como los Audit Committee Effectiveneness - What Works Best, Estudio de PwC en colaboración con el IIA 2010 y 2011.

47 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Tener una relación fluida y activa con el Director de Auditoría Interna. Mantener cuantas reuniones sean necesarias con la función de Auditoría Interna, destacando la necesidad de que existan reuniones específicas del Comité con el Director de Auditoría Interna. Evaluar la calidad de los trabajos de Auditoría Interna y el grado de cumplimiento de los objetivos definidos. Los Comités de Auditoría consultados son conscientes de la relevancia de la función de Auditoría Interna y para ello recogen, en mayor o en menor medida, estas Mejores Prácticas. La Encuesta sobre la profesión de Auditoría Interna 2011 de PwC 57 refleja que los Directores de la función otorgan también la máxima relevancia a su relación con el Comité (aproximadamente un 11% afirma reunirse más de diez veces con el Comité y el 35% declara hacerlo al menos entre 4 y 10 veces al año). En línea con la importancia que otorgan los Comités consultados a la faceta asesora de los auditores internos, cabe destacar que la mencionada encuesta refleja también una dedicación cada vez mayor de los auditores internos a esta tipología de actividades. Así, los auditores internos que han participado en la Encuesta sobre la profesión de Auditoría Interna 2011 de PwC 58 afirman que van a otorgar más importancia en sus planes, a trabajos de consultoría relacionados con la eficiencia de procesos, los programas de gestión de riesgos y otras iniciativas estratégicas, entre otros. 45 En definitiva, las regulaciones son uniformes en el establecimiento de la responsabilidad del Comité de Auditoría de supervisar a la función de Auditoría Interna y, tanto el Comité como la mencionada función, son conscientes de la relevancia de mantener una estrecha relación y de la necesidad de dedicar cada vez más esfuerzos a fortalecerla. II. Los recursos de la función de Auditoría Interna a) Análisis de tendencias normativas, recomendaciones y buenas prácticas Como se ha indicado con anterioridad, entre las recomendaciones de la Comisión Europea 59 respecto a las funciones de los Comités de Auditoría se encuentra: ( ) el Comité de Auditoría debe ayudar al Consejo de Administración o de supervisión como mínimo a: garantizar la eficacia de la función de Auditoría Interna, en particular haciendo recomendaciones sobre la selección, nombramiento, reelección y destitución del responsable del servicio de 57 Estudio PwC 2011 sobre el estado de la profesión de Auditoría Interna Luces, Cámara Acción. 58 Estudio PwC 2011 sobre el estado de la profesión de Auditoría Interna Luces, Cámara Acción. 59 Recomendación de la Comisión de 15 de febrero de 2005 relativa al papel de los administradores no ejecutivos o supervisores y al de los comités de consejos de administración o de supervisión, aplicables a las empresas que cotizan en bolsa. Anexo I- punto 4.2. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

48 Auditoría Interna y sobre el presupuesto de este servicio, y verificando que la dirección tiene en cuenta sus conclusiones y recomendaciones. Cuando una empresa no disponga de función de Auditoría Interna, la necesidad de crear una debe evaluarse por lo menos anualmente. En este caso, los países europeos han adoptado las recomendaciones de la Comisión Europea de distintas maneras. El cuadro comparativo 3.3, resume las recomendaciones para sociedades cotizadas emitidas a nivel nacional por los países europeos y detallan las normas legales de dichos países en relación a los recursos de la función de Auditoría Interna: Cuadro España 60 Reino Unido 61 Francia 62 Italia 63 Alemania Proponer la selección, nombramiento, reelección y cese del responsable del servicio de Auditoría Interna. Proponer el presupuesto de ese servicio. Revisar la necesidad de una función de Auditoría Interna y que cuente con los recursos adecuados para proporcionar garantía y asesoramiento. El Comité de Auditoría deberá asegurarse de que la función tiene los recursos y acceso a la información necesarios para cumplir su mandato y está equipada para actuar de acuerdo a estándares profesionales adecuados para auditores internos. Entrevistar al responsable de Auditoría Interna y emitir una opinión sobre la organización del departamento de Auditoría Interna. El Consejo de Administración, bajo propuesta del administrador encargado del sistema de control interno y de Gestión de Riesgos, y previo dictamen favorable del Comitato controllo e rischi, así como consulta al Collegio Sindicale, nombra y destituye al responsable de la función de Auditoría Interna, asegura que el mismo cuente con recursos suficientes para llevar a cabo sus responsabilidades y define la remuneración, en línea con la política de empresa. La función de Auditoría Interna, en su conjunto o por segmentos de negocio, puede ser confiada a un externo, siempre que esté dotado con la adecuada cualificación profesional, independencia y organización. Sin mención. 60 Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación 50c. 61 Guidance Audit Committee, Financial Reporting Council, diciembre del 2010, punto 4.11 y Recomendaciones de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, Octubre de 2003, capítulo Código de Gobierno Coporativo, Comitato per la Corporate Governance, Borsa Italiana S.p.A., marzo 2006 y actualizado en diciembre 2011, artículo 7.C.1. y 7.C.6.

49 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias La información contenida en el cuadro anterior incluye las actualizaciones realizadas recientemente (diciembre 2011) al Código de Gobierno Corporativo italiano (Codice di Autodisciplina de marzo 2006) por las cuales, entre otras, el Comité de Control Interno pasa a denominarse Comité de Control y Riesgo, y se hace especial hincapié en la función de Auditoría Interna y su independencia 64. En Estados Unidos, la NYSE propone la instauración de un sistema de Auditoría Interna, o controles para asegurar las transacciones y la contabilidad, y menciona, al igual que en el caso italiano, la posibilidad de encargar dicha función a un tercero. Cuadro 3.4 Estados Unidos 65 Asistir al Consejo de Administración en la revisión del desempeño de la función de Auditoría Interna de la sociedad cotizada. (Toda compañía pública deberá contar con una función de Auditoría Interna). Esta labor se puede encomendar a un tercero, siempre y cuando la Comisión colabore de forma activa con el tercero. b) Prácticas actuales en compañías cotizadas Ante la pregunta sobre el nivel de participación del Comité de Auditoría en la evaluación del rendimiento y la remuneración del Director de Auditoría Interna, un 42% de los Comités consultados declaran tener plena responsabilidad en la misma y un 17% comparte esta función con el Consejo de Administración. Por otra parte, destaca la existencia de un 41% de Comités que no participa en la evaluación del rendimiento y la remuneración del Director de Auditoría Interna (ver gráfico 3.2). 47 Gráfico 3.2 Qué nivel de participación tiene el Comité de Auditoría para evaluar el rendimiento y la remuneración del Director de Auditoría Interna? d; 41% a; 42% a- Plena responsabilidad b- Responsabilidad conjunta con el Consejo de Administración c- Proporciona recursos para la evaluación de la gestión d- No participa en la evaluación e- Otros (especificar) f- No está seguro b; 17% c; 0% e; 0 f; 0 64 Código de Gobierno Coporativo, Comitato per la Corporate Governance, Borsa Italiana S.p.A., marzo 2006 y actualizado en diciembre 2011, artículo 7.C.1, 7.C.5 y 7.C Manual New York Stock Exchange Listed Company, primera version 1953 (con actualizaciones posteriores), Sección 303A.7 y SEC Commission Guidance Regarding Management s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934; Final Rule. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

50 En cuanto a la utilización de recursos externos para la realización de actividades propias de la función de Auditoría Interna, un 72% de las compañías incluidas en este estudio recurren siempre o casi siempre a recursos externos para realizar sus actividades (ver Gráfico 3.3). Gráfico 3.3 Para realizar las funciones de Auditoría Interna, se utilizan recursos externos ante la falta de conocimiento o de recursos en áreas específicas? d c 1% 27% a- Siempre b- Casi siempre c- A veces d- Nunca b 27% a 45% 48 c) Conclusiones En este mismo capítulo, en el epígrafe anterior Relación del Comité con la función de Auditoría Interna, se destacaba la necesidad de una buena relación entre el Comité y la función. Pues bien, las Mejores Prácticas identificadas 66 sugieren que dicha relación debe incluir, como también se indicaba, la supervisión y evaluación de los recursos necesarios para realizar el trabajo por parte de la Auditoría Interna. Del análisis de las recomendaciones a Comités de Auditoría en los países dentro del alcance del presente estudio, se desprenden distintos enfoques. No todos ellos incluyen las mismas recomendaciones ni aportan el mismo nivel de detalle. Ocurre lo mismo al analizar las respuestas de los Comités consultados, ya que, si bien la mayoría de ellos declara una involucración activa en la supervisión de los recursos de la función de Auditoría Interna, un porcentaje también significativo afirma que no tiene ningún tipo de responsabilidad en algunos de estos aspectos. 66 Han sido consultados los estándares profesionales del Instituto de Auditores Internos, el Committee of Sponsoring Organizations of the Treadway Commission (COSO), informes de PwC como The Internal Audit Role 2012 y otros informes como los Audit Committee Effectiveneness - What Works Best, Estudio de PwC en colaboración con el IIA 2010 y 2011.

51 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Los países europeos analizados no han seguido una línea homogénea a la hora de regular y realizar recomendaciones sobre el nombramiento, destitución y evaluación del rendimiento del Director de la función de Auditoría Interna. Mientras que algunos países recomiendan la involucración de los Comités en su nombramiento y destitución, otros no mencionan dichos puntos entre su normativa. Probablemente fruto de la falta de homogeneidad en las recomendaciones de los reguladores, a la hora de analizar las prácticas en compañías españolas cotizadas, observamos que la mayoría de ellas se enmarca en dos posiciones contrarias: Los Comités de Auditoría como plenamente responsables en la evaluación del rendimiento y la remuneración de los directores de Auditoría Interna. Se trata de compañías con Sistemas de Control Interno más maduros, algunas de ellas sujetas a SOX. Otras, por el contrario, no participan en dicha evaluación en absoluto. En contraposición a la Encuesta sobre la profesión de Auditoría Interna 2011 de PwC 67, se desprende que los auditores internos consultados muestran falta de recursos y de confianza en la capacidad de la Auditoría Interna para abordar los asuntos que consideran críticos a partir de ahora. Por tanto, mientras la mayoría de los directivos de la función de Auditoría Interna reconocen que existe margen de mejora en la adecuación de los recursos a las nuevas necesidades, sólo una parte de los Comités de Auditoría consultados declara involucrarse directamente en este ámbito. Esta divergencia es de especial relevancia en un momento como el actual, en el que es de esperar que la tendencia a incrementar el alcance del trabajo de Auditoría Interna, se traduzca en requerimientos adicionales en cuanto a las capacidades de la misma. 49 En relación a la supervisión de los recursos de la función de Auditoría Interna, los Comités de Auditoría deben evaluar su capacitación, así como la necesidad de cubrir nuevas capacidades o requerimientos de conocimiento de la misma que le permitan cumplir con los planes de auditoría. Para cubrir dicha necesidad, el Comité de Auditoría y el responsable de la función pueden optar por las siguientes opciones: La incorporación de especialistas en los campos requeridos a la función; La utilización de recursos internos de la misma organización por un periodo de tiempo limitado; o bien por La contratación de servicios externos. A la hora de decidir entre cada una de las opciones, deberán tenerse en cuenta distintos factores, como podrían ser el tipo de proyecto a realizar y su importancia estratégica, criterios económicos, localización de las actividades, etc. En este sentido, la mayoría de Comités consultados declaran que acceden a recursos externos cuando se considera necesario. 67 Estudio PwC 2011 sobre el estado de la profesión de Auditoría Interna Luces, Cámara Acción. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

52 50 Si bien, si analizamos las recomendaciones de Estados Unidos y de los países europeos que las han renovado más recientemente (España e Italia), puede vislumbrarse la tendencia a profundizar más en detalle en estos aspectos. En general, se puede afirmar que no existe una tendencia clara y uniforme en cuanto a la supervisión de los recursos de la función de Auditoría Interna por parte de los Comités consultados. Los Comités de las compañías más maduras en materia de Control Interno se involucran más activamente, mientras que existe otro bloque de Comités que declaran no tener responsabilidad alguna en aspectos clave de la gestión de recursos como la evaluación del Director de Auditoría Interna.

53 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias CAPÍTULO 4 AUDITORÍA EXTERNA Temas tratados en este capítulo: Nombramiento del auditor externo Independencia y servicios distintos a los de auditoría Procedimiento de auditoría Los requisitos sobre la independencia y las exigencias a las firmas de auditoría externa se han incrementado notablemente en los últimos años, al convertirse en parte imprescindible en el proceso de revisión de la información financiera de la compañía. En este ámbito, la función de los Comités de Auditoría es clave para el aseguramiento del adecuado trabajo de las auditoras y la exactitud e idoneidad de sus conclusiones. 51 Por ello, es imprescindible crear y mantener una relación profesional, abierta y llena de confianza entre el Comité y los auditores externos, y en este sentido las normativas (por ejemplo: SOX de EEUU, la Directiva comunitaria 43/2006, la Ley del Mercado de Valores español, entre otras ) regulan los puntos clave de esta relación de cara a garantizar unos mínimos imprescindibles. I. Nombramiento del auditor externo a) Análisis de tendencias normativas, recomendaciones y buenas prácticas A nivel europeo, la Directiva 2006/43/CE 68, establece que el Comité de Auditoría: supervisará la auditoría legal de las cuentas anuales y consolidadas. Anteriormente, la Comisión Europea había emitido recomendaciones detallando la función del Comité en relación a los auditores externos 69 : 68 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, artículo 41, apartado 2, punto b). 69 Recomendación de la Comisión de 15 de febrero de 2005 relativa al papel de los administradores no ejecutivos o supervisores y al de los comités de consejos de administración o de supervisión, aplicables a las empresas que cotizan en bolsa. Anexo I- punto 4.2. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

54 En el caso del auditor externo contratado por la empresa, el Comité de Auditoría debe por lo menos: hacer recomendaciones al Consejo de Administración o de vigilancia sobre la selección, nombramiento, reelección y destitución del auditor externo por el órgano que sea con arreglo al derecho de sociedades nacional y sobre los términos y condiciones de su compromiso, (...) Los diferentes países analizados en este estudio, han reflejado la función del Comité en relación al nombramiento de los auditores externos en su regulación y recomendaciones a las entidades cotizadas (ver cuadro 4.1): Cuadro España 70,71 Reino Unido 72 Francia 73,74 Italia 75 Alemania 76,77 Proponer el nombramiento de auditores de cuentas de acuerdo con la normativa aplicable a la entidad. Elevar al Consejo las propuestas de selección, nombramiento, reelección y sustitución del auditor externo. Hacer recomendaciones al Consejo en relación al nombramiento, reelección y destitución del auditor externo, y aprobación de sus honorarios y condiciones de contratación. Emitir una recomendación sobre el nombramiento de los auditores que serán propuestos por la asamblea general de accionistas un órgano encargado de una función similar. Dirigir el proceso de selección de los auditores y presentar los resultados al Consejo de Administración. El proceso de selección se realizará a través de la emisión de una oferta pública supervisada por el Comité de Auditoría. La Junta General de Accionistas, bajo propuesta del Órgano de Control, designará al auditor legal y determinará la cuota a pagar durante la duración de todo el encargo. Recomendar la designación del auditor al Consejo de Vigilancia, que posteriormente la propone a la Asamblea. 70 Ley 24/1988 del Mercado de Valores. Boletín Oficial del Estado, 29 de julio de 1988, Apartado 4.4ª. 71 Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación 50, 2º a). 72 The UK Corporate Governance Code, 3 junio de 2010, C.3.2, point 4., y Financial Reporting Council Guidance on Audit Committees (Smith Report) based on The UK Corporate Governance Code. Punto Código de Comercio Francés reformado por la Ordennance del 8 de diciembre de Art. L Recomendaciones de la Asociación Francesa de Empresas Privada AFEP-MEDEF para compañías cotizadas. Capítulo Decreto Legislativo 27 Enero 2010, n.39 Art. 13 Apartado Aktiengesetz (Ley del Mercado de Valores), VorstAG, 31 de julio de 2009, sección Deutscher Corporate Governance Code Apartado

55 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias En 2010, salió a la luz en Europa el Libro Verde sobre Política de Auditoría 78, que consideraba un posible escenario en el cual la responsabilidad sobre el nombramiento, remuneración y la duración del contrato de auditoría de cuentas sea trasladada de la entidad cotizada a un tercero, como por ejemplo, una autoridad reguladora. El Libro Verde planteaba también la rotación obligatoria de las sociedades de auditoría, contemplando tanto la posibilidad de rotación de empresa auditora 79, como la rotación de los propios socios responsables de la auditoría. Dicha propuesta ha evolucionado a una propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 80, en la que se establece que: La propuesta de designación del auditor a la junta de accionistas debe basarse en una recomendación presentada por el comité de auditoría. Dicha recomendación incluirá siempre una justificación de la opción propuesta. Por otra parte, salvo cuando se trate de la renovación de un encargo de auditoría, dicha recomendación contendrá como mínimo dos alternativas (excluyendo al auditor anterior), y el comité de auditoría deberá indicar cuál de ellas es su favorita, justificando debidamente su preferencia. El comité de auditoría formulará su recomendación al término del correspondiente proceso de licitación. En el caso de las entidades de crédito y empresas de seguros, el comité de auditoría deberá someter su recomendación a la autoridad de supervisión prudencial, la cual podrá vetar la opción propuesta. Se prohíben las cláusulas contractuales pactadas con terceros que restrinjan la libertad de elección de la entidad auditada. Al objeto de reducir la amenaza de familiaridad que surge cuando la empresa auditada designa una y otra vez a la misma sociedad de auditoría durante décadas, el Reglamento introduce la rotación obligatoria de las sociedades de auditoría al cabo de un plazo máximo de seis años que, en determinadas circunstancias excepcionales, podrá ampliarse a ocho años. Cuando una entidad de interés público haya designado dos o más auditores legales o sociedades de auditoría, la duración máxima del encargo será de nueve años; excepcionalmente, podrá ampliarse a doce años. Estipula igualmente un período transitorio durante el cual la sociedad de auditoría no podrá volver a auditar a la misma entidad. Con el fin de garantizar una transición sin problemas, el auditor anterior estará obligado a entregar al nuevo auditor un expediente de traspaso con la información pertinente. 53 Por motivos justificados, el comité de auditoría, uno o varios accionistas, las autoridades competentes y las responsables de la supervisión de las EIP estarán facultados para demandar ante los tribunales nacionales el cese del auditor. Mientras que en los países europeos analizados se propone actualmente que los Comités de Auditoría recomienden al auditor legal, en Estados Unidos la norma responsabiliza directamente al Comité (ver cuadro 4.2) 78 Libro Verde: Política de auditoría: lecciones de la crisis. Comisión Europea. Bruselas, Libro Verde: Política de auditoría: lecciones de la crisis. Comisión Europea. Bruselas, Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

56 Cuadro 4.2 Estados Unidos 81 El Comité de Auditoría es directamente responsable de la designación, compensación y supervisión del trabajo de cualquier firma de auditoría que sea contratada con el propósito de preparar o emitir un informe de auditoría o trabajo relacionado. b) Prácticas actuales en compañías cotizadas En relación al nivel de participación que tiene el Comité de Auditoría en la selección, remuneración y evaluación de los auditores externos, el 75% de los responsables que han participado en este estudio manifiestan tener plena responsabilidad (en línea con la regulación en Estados Unidos), un 17% ejercen responsabilidad conjunta con el Consejo de Administración (en línea con la regulación en España) y el 8% presenta propuestas. 54 Gráfico 4.1 Qué nivel de participación tiene el Comité de Auditoría sobre la selección, remuneración y evaluación de los auditores externos? a- Plena responsabilidad b; 17% c; 8% a; 75% b- Responsabilidad conjunta con el Consejo de Administración c- Presenta propuestas d- No participa d; 0% c) Conclusiones La figura del auditor externo es clave para los Comités de Auditoría y el desarrollo de sus funciones. Por tanto, estos últimos deben tener una relación de confianza con aquél. En este sentido, tanto normativa europea como la estadounidense determinan la responsabilidad de los Comités de Auditoría en la designación del auditor externo, si bien en el caso de Estados Unidos, se hace al Comité de Auditoría directamente responsable de la decisión sobre la selección del mismo. En Europa, sin embargo, los Comités son responsables de proponer y/o recomendar al auditor. 81 SOX, Parlamento Estadounidense, 30 de julio de Sección 301.

57 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias A raíz del análisis de las respuestas de los miembros de Comités consultados en el presente estudio, se identifica una tendencia clara: la gran mayoría de ellos son plenamente responsables del nombramiento del auditor externo, lo cual significa que van más allá de la regulación europea y se sitúan en línea con la regulación estadounidense. Para ejercer dicha responsabilidad de forma eficaz, se han identificado Mejores Prácticas 82 aplicables a la hora de evaluar la selección del auditor externo: La independencia de la firma auditora y los mecanismos que emplea para garantizar la independencia. El conocimiento y experiencia en la industria de la compañía. Los conocimientos y experiencia del socio de auditoría y de los equipos de auditoría. La presencia internacional. La capacidad del socio de auditoría de comunicar de forma efectiva resultados y preocupaciones derivadas de la auditoría. La habilidad del equipo auditor para cumplir plazos. 55 Los procedimientos de calidad de la firma auditora. La reputación de la firma auditora. Razonabilidad de los honorarios, para cuya evaluación podrá utilizar la información de los planes de auditoría para entender el nivel de esfuerzo requerido, o la comparación de los honorarios con aquellos de otras compañías similares en tamaño y complejidad. En definitiva, la mayoría de Comités consultados se posicionan en línea con la regulación en Estados Unidos y son plenamente responsables de la selección y nombramiento del auditor externo. Sin embargo, la tendencia previsible (en Europa fundamentalmente) en cuanto a sus responsabilidades en este ámbito, estará marcada por las propuestas del Libro Verde sobre Política de Auditoría 83, evolucionado en la propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 84 y el número de ellas que sea finalmente aplicadas en la Unión Europea. 82 Audit Committee Effectiveneness - What Works Best, Estudio de PwC, 2011 An essential play to role for the Audit Committees, PwC Belgium Libro Verde: Política de auditoría: lecciones de la crisis. Comisión Europea. Bruselas, Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

58 II. Independencia y servicios distintos a los de auditoría a) Análisis de tendencias normativas, recomendaciones y buenas prácticas Las recomendaciones que emitió la Comisión Europea en lo referente a la selección de los auditores externos se complementan con las siguientes funciones recomendadas a los Comités de Auditoría 85 : En el caso del auditor externo contratado por la empresa, el Comité de Auditoría debe por lo menos: ( ) controlar la independencia y la objetividad del auditor externo, comprobando, en particular, que el gabinete de auditoría cumpla las directrices vigentes relativas a la rotación de sus socios, el nivel de los honorarios pagados por la empresa y las demás exigencias reglamentarias, 56 mantener en revisión la naturaleza y amplitud de los servicios que no sean de auditoría suministrados sobre la base, entre otras cosas, en la declaración del auditor externo de todos los honorarios pagados por la empresa y su grupo al gabinete de auditoría y su red, con el fin de prevenir los conflictos materiales de intereses. El Comité debe fijar y aplicar una política oficial que especifique, de conformidad con los principios y directrices contemplados en la Recomendación 2002/590/CE de la Comisión (1), los tipos de servicios que no son de auditoría que quedan a) excluidos, b) autorizados previa revisión por el Comité y c) autorizados sin consulta al Comité, ( ) En base a lo indicado, se propone que los Comités de Auditoría en los países europeos controlen la independencia y objetividad del auditor externo, y revisen la naturaleza y la amplitud de los servicios prestados que sean distintos a los de auditoría, con el objetivo de prevenir conflictos de interés. A continuación se detalla la manera en que los países europeos analizados han incorporado las recomendaciones de la Comisión en su normativa y recomendaciones con respecto a la supervisión de la independencia del auditor externo y de los servicios distintos a los de auditoría prestados por los mismos (ver cuadro 4.3): 85 Recomendación de la Comisión del 15 de febrero de 2005 (referenciada en el considerado 24 de la Directiva 2006/43/CE). ANEXO I- 4.2.

59 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Cuadro 4.3 España 86,87 Reino Unido 88,89 Francia 90,91 Recibir anualmente la confirmación de independencia de los auditores frente a la entidad o entidades vinculadas. Emitir un informe opinando sobre la independencia de los auditores de cuentas, previo a la emisión del informe de auditoría. Recibir anualmente información sobre los servicios adicionales prestados por los auditores a las entidades vinculadas. Comunicar a la CNMV el cambio de auditor, además en caso de existir, una relación de los desacuerdos con el auditor saliente. En caso de renuncia del auditor externo, examinar las circunstancias que la hubieran motivado. Asegurarse que el auditor cumple la normativa vigente sobre la prestación de otros servicios de auditoría. Revisar y monitorizar la independencia del auditor externo, según los requisitos regulatorios de Reino Unido, y la objetividad y eficacia del proceso de auditoría. Desarrollar e implementar la política sobre la prestación de servicios distintos a los de auditoría por parte del auditor externo. Recibir de los auditores externos la declaración de independencia anualmente. Recibir anualmente la cantidad de honorarios pagada al network de los auditores, por compañías controladas o por compañías que controlan a la entidad, para servicios no directamente relacionados con la auditoría de cuentas. Recibir anualmente información sobre los servicios prestados directamente relacionados con la auditoría de cuentas. Revisar con los auditores los riesgos que afectan a la independencia y las medidas de protección para atenuar esos riesgos. Revisar que el importe de los honorarios pagados al auditor externo y a su grupo no perjudique a la independencia de estos. Aprobar servicios accesorios o directamente complementarios a la auditoría de cuentas por los auditores externos, previamente a su prestación. (La auditoría de cuentas debe ser exclusiva de otra asignación, la firma debe renunciar a realizar cualquier trabajo de consultoría para la empresa que audita) Ley 24/1988 del Mercado de Valores. Boletín Oficial del Estado, 29 de julio de Apartado 4.5ª y 6ª. 87 CNMV informe del grupo especial de trabajo sobre Buen Gobierno de las sociedades cotizadas. Recomendación 50, 2º i), ii) iii). 88 The UK Corporate Governance Code, Section C: Accountability, C3 Audit Committee and Auditors- C.3.2, point Financial Reporting Council Guidance on Audit Committees (Smith Report) based on The UK Corporate Governance Code. Punto Código de Comercio Francés reformado por la Ordennance del 8 de diciembre de Articulo / Recomendaciones de la Asociación Francesa de Empresas Privada AFEP-MEDEF para compañías cotizadas. Capítulo Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

60 Cuadro 4.3 (cont.) 58 Italia 92,93 Alemania 94,95 Supervisar la independencia del auditor externo o de la firma de auditoría en concreto en lo que respecta a la prestación de servicios distintos de la auditoría de cuentas. La Junta de Auditores debe verificar la independencia de la firma de auditoría, verificando el cumplimiento de las disposiciones de la ley y la reglamentación que rige la materia de los mismos. Supervisar la independencia de los auditores externos. Recibir del auditor propuesto una declaración sobre si existen relaciones comerciales, financieras, personales o de otra índole entre el auditor, sus órganos y gerentes de auditoría por un lado y la empresa y sus órganos por otros, previamente a presentar una propuesta para la elección del auditor. La declaración deberá extenderse al alcance de los servicios prestados el año anterior, o aquellos que estuviesen contratados en el año anterior para el año siguiente. (Actividad asignada al Comité de Auditoría o al Consejo de Vigilancia). El Consejo de Vigilancia deberá acordar con el auditor externo, que el Presidente del Consejo de Vigilancia o el Presidente del Comité de Auditoría serán informados inmediatamente sobre cualquier factor de exclusión o conflicto de interés, siempre que éstos no puedan ser solucionados inmediatamente. Mientras que en Francia se establece la prohibición de otros servicios ajenos a la auditoría, en el resto de países analizados, la norma no hace referencia a esta exclusividad de los auditores de cara a otra asignación complementaria. La propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 96 que vio la luz el pasado año, establece, entre otras, las siguientes condiciones para la realización de la auditoría legal de las entidades de interés público: No se debe permitir a los antiguos auditores, a los socios clave de auditoría ni a sus empleados que asuman cargos directivos importantes en la entidad auditada, ni participar en el comité de auditoría de la misma, ni ser nombrados miembros no ejecutivos del órgano de administración o de supervisión de dicha entidad auditada, antes de que transcurra como mínimo un plazo de dos años desde la finalización del encargo de auditoría. 92 Decreto Legislativo 27 Enero 2010, n.39 Art. 19 Apartado 1,c y d. 93 Código de Gobierno Coportativo, Comitato per la Corporate Governance, Borsa Italiana S.p.A., marzo , artículo 8 C Aktiengesetz-Sección Deutscher Corporate Governance Kodex Apartados y Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities.

61 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Los honorarios pagados a la entidad auditada por la prestación de servicios relacionados con la auditoría de cuentas no deben sobrepasar el 10 % de los honorarios de auditoría pagados por dicha entidad. Además de esto, cuando los honorarios totales en concepto de auditoría y de otros servicios relacionados con la auditoría de cuentas alcancen un porcentaje significativo de los ingresos totales percibidos por un auditor, será preciso introducir las salvaguardas apropiadas. No se debe permitir en ningún caso que el auditor legal, la sociedad de auditoría o los miembros de la red de la sociedad de auditoría presten a las entidades que auditen determinados servicios ajenos a la auditoría que son, en esencia, incompatibles con la función de interés público independiente de la auditoría, si bien por lo que atañe a otros servicios que no son esencialmente incompatibles con los servicios de auditoría, el comité de auditoría o la autoridad competente estará facultada para valorar, en función de las circunstancias concretas, si pueden o no ser prestados por la entidad auditada. Esta prohibición no incluye, sin embargo, a los servicios relacionados con la auditoría de cuentas ( ). Además, establece que la Comisión deberá ser facultada para adaptar las listas de servicios autorizados y prohibidos a determinadas condiciones estipuladas, así como la necesidad de que el auditor confirme su independencia ante el Comité de Auditoría antes de aceptar o continuar un contrato. En Estados Unidos, la norma comenta la necesidad de una pre-aprobación de los servicios de no auditoría (y auditorías particulares), mediante la cual, la firma auditora no puede comprometerse a la realización de ninguno de los servicios establecidos por la regulación sin la aprobación previa del Comité de Auditoría (ver cuadro 4.4). 59 Cuadro 4.4 Estados Unidos 97,98 El Comité de Auditoría será directamente responsable por la designación, compensación y supervisión del trabajo de cualquier firma de auditoría que sea contratada con el propósito de preparar o emitir un informe de auditoría o trabajo relacionado. Recibir un informe del auditor independiente que describe todas las relaciones entre el auditor independiente y la sociedad cotizada con el fin de evaluar la independencia del auditor. La firma registrada de auditoría puede comprometerse en cualquier servicio de no-auditoría (y algunas auditorías específicas), solamente si la actividad es aprobada por adelantado por el Comité de Auditoría del emisor. 97 Manual para las Empresas Cotizadas, New York Stock Echange (NYSE),303A.07 Apartado b (iii). 98 SOX, Parlamento Estadounidense, 30 de julio de Secciones 301 y 202. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

62 b) Prácticas actuales en compañías cotizadas Se ha preguntado a los Comités de Auditoría sobre los criterios utilizados para evaluar o supervisar la evaluación de la independencia de los auditores externos. Los Comités emiten anualmente, con carácter previo al informe de auditoría de cuentas, un informe en el que se expresa una opinión sobre la independencia de los auditores de cuentas o sociedades de auditoría. Adicionalmente, para cualquier trabajo se solicita un informe de independencia al auditor, donde éste confirma que según su entender, los servicios cumplen con las correspondientes normas de independencia. Sólo una minoría de los Comités cuenta con un procedimiento de verificación previo, con objeto de detectar la existencia de posibles incompatibilidades para su realización conforme a la normativa de la SEC (Securities Exchange Comission) o ICAC (Instituto de Contabilidad y Auditoría de Cuentas). El 34% de los Comités de Auditoría consultados para la elaboración de este estudio participa en la aprobación de servicios distintos a los de auditoría e interviene desde el momento de solicitud de propuestas (antes de realizar la solicitud); el 33% es consultado una vez recibidas las propuestas (antes de la firma del contrato) y un 33% es informado periódicamente de los servicios de no auditoría prestados por la firma de auditoría. 60 Gráfico 4.2 Participa el Comité de Auditoría en la aprobación de la contratación servicios de no-auditoría a la firma de auditoría externa o es informado sobre estas contrataciones? En qué momento? d; 33% b; 33% a; 34% c; 0% a- Interviene desde el momento de solicitud de propuestas (antes de realizar la solicitud). b- Es consultado una vez recibidas las propuestas (antes de la firma del contrato). c- Es informado una vez que ha sido contratado el proveedor. Es informado periódicamente de los servicios de no auditoría prestados por la firma de auditoría c) Conclusiones La independencia de los auditores externos es el factor que asegura la objetividad de sus actuaciones y conclusiones. Tanto en Europa como en Estados Unidos, la normativa establece la responsabilidad de los Comités de Auditoría en relación a la revisión de la independencia de los auditores externos. Las entidades españolas consultadas emiten informes en los que se opina sobre la independencia de los mismos. Asimismo, solicitan a los auditores un informe de independencia.

63 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Analizando la regulación vigente, se observa también una tendencia normativa en cuanto a la recepción de información por parte del Comité de Auditoría sobre servicios prestados distintos a la auditoría, además de la información de los honorarios pagados. De esta manera, los Comités pueden contar con información sobre cualquier trabajo realizado que pueda afectar a la objetividad del informe de auditoría. En este sentido, en la mayoría de países del alcance del estudio, o bien es obligatorio o bien recomendable, que las compañías cotizadas desglosen los honorarios de sus auditores externos entre los de la auditoría estatutaria y otros considerados de no-auditoría. En general, los accionistas y otros grupos de interés (por ejemplo, analistas u otras firmas de consultoría) prestan una particular atención a este desglose. En definitiva, fruto de esta atención por parte de los grupos de interés, cada vez es más habitual que los Comités participen en la contratación de servicios de no-auditoría contratados a los auditores externos y/o realicen seguimiento de este tipo de proyectos y sus honorarios. La cada vez mayor implicación de los Comités de Auditoría, podría verse sustancialmente impactada por las reformas sobre independencia y selección del auditor externo en la propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 99. III. Procedimiento de auditoría 61 a) Análisis de tendencias normativas, recomendaciones y buenas prácticas En lo referente a las responsabilidades de los Comités de Auditoría en cuanto al proceso de auditoría, la Comisión Europea añadió las siguientes recomendaciones 100 : En el caso del auditor externo contratado por la empresa, el Comité de Auditoría debe por lo menos: ( ) controlar la eficacia del procedimiento de auditoría externa y verificar que la dirección tiene en cuenta las recomendaciones efectuadas en la carta de gestión del auditor externo, investigar los problemas que hayan dado origen a la dimisión del auditor externo y hacer recomendaciones sobre las actuaciones necesarias. Asimismo, la Directiva 2006/43/CE incluye la obligación del auditor legal de informar al Comité de Auditoría sobre los asuntos importantes que surjan de la auditoría legal, y en particular sobre las debilidades de control interno significativas. 99 Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities. 100 Recomendación de la Comisión del 15 de febrero de 2005 (referenciada en el considerado 24 de la Directiva 2006/43/CE). Anexo I Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

64 El siguiente cuadro detalla la manera en que los países europeos analizados han incorporado la regulación y recomendaciones europeas en la normativa y recomendaciones a las sociedades cotizadas de cada país: Cuadro 4.5 España 102,103 Discutir con los auditores de cuentas las debilidades significativas del sistema de control interno detectadas en el desarrollo de la auditoría. Recibir regularmente información sobre el plan de auditoría y los resultados de ejecución. En caso de la existencia de salvedades en el informe de auditoría, tanto el Presidente del Comité de Auditoría como los auditores explicaran con claridad a los accionistas el contenido y alcance de dichas reservas o salvedades. 62 Reino Unido 104 Francia 105,106 En ausencia de trabajo de Auditoría Interna, considerar el efecto de depender de las opiniones del auditor externo en la eficacia de las disposiciones de la organización en materia de control interno, y en la percepción de los inversores. Reunirse con los auditores externos e internos, al menos una vez al año, sin presencia de directores o gerentes, para discutir las irregularidades observadas. Ser informado por los auditores externos sobre las debilidades de control interno. Recibir una presentación de los auditores legales que incluya no solamente los resultados, sino también los métodos contables aplicados. Italia 107,108 Recibir un informe del auditor de cuentas sobre asuntos importantes que surjan de la auditoría legal, y en particular las deficiencias significativas detectadas en el sistema de control interno en relación con el proceso de información financiera. Alemania 109,110 Ser informado por el auditor externo sobre las debilidades del sistema de control interno relacionado con la contabilidad así como de los sistemas de Gestión de Riesgos. Reunirse con el auditor de cuentas a efectos de informar sobre los principales hallazgos/conclusiones de auditoría. (Actividad asignada al Comité de Auditoría o al Consejo de Vigilancia). 102 Ley 24/1988 del Mercado de Valores. Boletín Oficial del Estado, 29 de julio de Apartado 4.2ª. 103 CNMV informe del grupo especial de trabajo sobre Buen Gobierno de las sociedades cotizadas. Recomendaciones 50, b) y Financial Reporting Council Guidance on Audit Committees (Smith Report) based on The UK Corporate Governance Code. Puntos 2.9 y Código de Comercio Francés reformado por la Ordennance del 8 de diciembre de Articulo Recomendaciones de la Asociación Francesa de Empresas Privada AFEP-MEDEF para compañías cotizadas. Capítulo Decreto Legislativo 27 Enero 2010, n.39 Art. 19 Apartado Código de Gobierno Coportativo, Comitato per la Corporate Governance, Borsa Italiana S.p.A., diciembre 2011 artículo 8, P Aktiengesetz-Sección Deutscher Corporate Governance Kodex Apartado

65 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias La propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 111 que vio la luz en el 2011 establece el requerimiento de la ampliación del contenido del informe de auditoría a presentar por el auditor, así como la elaboración por parte del mismo de un informe más extenso para el Comité de Auditoría: Se debe ampliar el contenido del informe de auditoría difundido públicamente con una descripción de la metodología utilizada, indicando en particular las partidas del balance que han sido revisadas directamente y las que han sido verificadas a través de pruebas de los sistemas y pruebas de cumplimiento, los niveles de importancia relativa aplicados en la realización de la auditoría, las principales áreas que presentan riesgos de incorrecciones de importancia relativa en los estados financieros, si la auditoría ha sido diseñada para detectar fraudes, y, en el caso de emitir una opinión de auditoría desfavorable o con salvedades, o de denegar la opinión, los motivos que justificaron esta decisión. Deberá explicar asimismo la variación en el peso atribuido respectivamente a las pruebas sustantivas y de cumplimiento, en comparación con el ejercicio precedente. Por otra parte, el auditor deberá elaborar también un informe más extenso y pormenorizado para el Comité de Auditoría. Dicho informe incluirá un mayor nivel de detalle sobre la auditoría realizada, sobre la situación de la empresa en cuanto tal (en relación, por ejemplo, con la continuidad de sus operaciones) y sobre los hallazgos de la auditoría, junto con las explicaciones pertinentes. Este informe adicional servirá igualmente para presentar (y justificar) al Comité de Auditoría el trabajo realizado. Este informe más amplio se presentará al Comité de Auditoría y a la dirección de la entidad auditada, aunque no al público (dado que su contenido puede incluir secretos comerciales o posible información sensible relacionada con los precios). Sin embargo, el auditor podrá entregar dicho informe a la autoridad competente cuando esta lo solicite. 63 En el caso de Estados Unidos, se establece la necesidad de revisión de los informes sobre control interno elaborados por los auditores independientes, y de recibir información sobre las deficiencias de control interno, así como sobre las políticas contables utilizadas, incluyendo aquellas que son alternativas a los principios de contabilidad generalmente aceptados: 111 Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

66 Cuadro 4.6 Estados Unidos 112,113,114 Al menos anualmente, el Comité de Auditoría debe obtener y revisar un informe del auditor independiente que describe: la calidad de los procedimientos de control interno de la compañía. Se debe informar sobre las deficiencias en los sistemas internos de control y procedimientos y controles de comunicación de información. El auditor debe reportar al Comité de Auditoría sobre todas las políticas prácticas contables críticas utilizadas; todos los tratamientos de la información financiera alternativos a los principios de contabilidad generalmente aceptados que hayan sido discutidos con la gerencia del emisor, ramificaciones del uso de tales revelaciones y tratamientos alternativos, y el tratamiento preferido por el auditor; y otras comunicaciones escritas materiales entre el auditor y la gerencia, tales como cualquier carta de la gerencia o programa de diferencias no ajustadas. b) Prácticas actuales en compañías cotizadas 64 Los Comités consultados confirman que los auditores externos les presentan un informe de conclusiones de su trabajo, el cual es revisado para garantizar su adecuación a políticas contables de la compañía y las normas internacionales. Una minoría de Comités ha mencionado que se analizan los tipos de servicios del auditor, tiempos y requisitos de información, además de examinar la experiencia de los equipos de auditoría y, que el plan de auditoría aborde las principales áreas de riesgo. En la mayoría de las empresas que han participado en el estudio, los Comités de Auditoría discuten con el auditor externo sobre las alternativas de tratamiento contable, siempre o casi siempre (ver gráfico 4.3). 112 SOX, Parlamento Estadounidense, 30 de julio de Secciones 302 y Manual para las Empresas Cotizadas, New York Stock Echange (NYSE),303A.07 Apartado b (iii)

67 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Gráfico 4.3 El Comité de Auditoría discute con el auditor externo sobre alternativas al tratamiento contable de determinadas transacciones? c; 42% d; 8% a; 50% a- Siempre b- Casi siempre c- A veces d- Nunca b; 0% La frecuencia de estas reuniones varía entre las compañías analizadas, para algunas es una tarea anual y en otras se realiza trimestralmente. c) Conclusiones Las regulaciones aplicables en los países en el alcance del estudio presentan el mismo enfoque. En todos ellos, con mayor o menor detalle, se incluyen obligaciones y recomendaciones sobre la supervisión del trabajo de auditoría externa por parte del Comité de Auditoría. 65 En este contexto regulatorio, resulta aconsejable que el Comité de Auditoría mantenga un diálogo regular con el auditor externo. Las actividades desarrolladas durante el proceso de auditoría hacen que el auditor adquiera un conocimiento profundo de la organización, del ambiente de control, de las capacidades y riesgos de la misma. Esto, unido a la experiencia adquirida a través de actividades desarrolladas en otras compañías, permite a los auditores externos aportar valor a los Comités a la hora de desarrollar su responsabilidad supervisora del sistema de gestión de riesgos y control interno. En esta línea se sitúan la mayoría de Comités consultados, que afirman mantener reuniones periódicas con sus auditores externos. Del estudio realizado, se observa que todos ellos reciben los informes de conclusiones de los auditores externos para su revisión, prestando especial atención a las políticas contables. Así, la mayoría de los Comités discuten alternativas de tratamiento contable de la información con los auditores. Sin embargo, solamente una minoría de ellos analiza el plan de auditoría desde el punto de vista de los riesgos que aborda, y examina la experiencia de los equipos de auditoría. Es en este aspecto en el que mayor margen de mejora existe en la relación con los auditores externos. Los expertos en la materia y los propios auditores externos e internos 115 consideran aconsejable que el Comité de Auditoría conozca el alcance de los planes de auditoría, los riesgos que aborda, y que 115 Estudio PwC 2011 sobre el estado de la profesión de Auditoría Interna Luces, Cámara Acción. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

68 además esté informado sobre el progreso de la auditoría y sobre los resultados de la misma. Así mismo, se considera Mejor Práctica que el Comité tenga en cuenta los siguientes aspectos 116, entre otros, a la hora de evaluar la adecuación del alcance del trabajo de auditoría externa: Riesgos clave identificados y cobertura a través del plan de auditoría. Impacto de cambios y acontecimientos recientes relacionados con la compañía en la estrategia de auditoría. Definición de materialidad. Alcance de los trabajos a realizar en el área de tecnología de la información. Coordinación con la función de Auditoría Interna. Grado de utilización de trabajos de terceros y aseguramiento de la calidad. Cobertura de filiales. 66 En definitiva, tanto las regulaciones y/o recomendaciones aplicables como los Comités consultados son conscientes de la relevancia de la supervisión del trabajo de auditoría externa. Sin embargo, todavía existe margen de mejora en cuanto a la evaluación del plan de auditoría y el alcance de trabajo. Adicionalmente, las propuestas de regulación existentes influirán en mayor o menor medida cuando se transformen en regulación en firme. 116 Audit Committee Effectiveneness - What Works Best, Estudio de PwC, 2011.

69 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias CAPÍTULO 5 ASPECTOS CLAVE DE FUNCIONAMIENTO Temas tratados en este capítulo: Composición de los Comités de Auditoría Conocimiento y experiencia necesarios Asesoramiento externo Reuniones Evaluación de desempeño El funcionamiento de los Comités de Auditoría y su efectividad depende, entre otras cosas, de su composición y capacidad de gestión e interacción. Asimismo, está asociado a una serie de atributos que relacionan a cada uno de sus miembros y al Comité como órgano de gobierno. En este capítulo se tratan solamente algunos de ellos, como la independencia, los conocimientos necesarios, la planificación de reuniones, la opción de recurrir a asesores externos y la necesidad de implementar mecanismos de evaluación del desempeño. 67 I. Composición de los Comités de Auditoría a) Análisis de tendencias normativas y de recomendaciones El artículo 41, apartado 1 de la Directiva 2006/43/CE 117 establece: Cada entidad de interés público contará con un Comité de Auditoría. Los Estados miembros determinarán si los Comités de Auditoría estarán integrados por miembros no ejecutivos del órgano administrativo y/o miembros del organismo de vigilancia de la entidad auditada y/o miembros designados por la junta general de accionistas de la entidad auditada. Al menos uno de los miembros del Comité de Auditoría será independiente ( ) 117 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, artículo 41, apartado 1. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

70 La Directiva 2006/43/CE no define qué es independiente, pero generalmente se considera como aceptado que un miembro del Comité de Auditoría lo es si se le puede considerar libre de cualquier relación que afecte o pueda afectar a su objetividad o buen juicio. Por otra parte, la Comisión Europea ya se había manifestado anteriormente al respecto en la recomendación emitida en el año , donde enumera criterios mínimos de relaciones o circunstancias que se consideran con frecuencia pertinentes para ayudar al Consejo de Administración a determinar si un miembro no ejecutivo es o no independiente. En este sentido, la Unión Europea menciona que dichos criterios mínimos deben adaptarse a cada contexto nacional, admitiendo además que la valoración debe basarse más en el fondo que en la forma. Entre los criterios previstos por la mencionada recomendación encontramos el siguiente: h) no haber ocupado un puesto en el Consejo de Administración o de supervisión como administrador no ejecutivo o supervisor por más de tres mandatos (o durante más de doce años si la legislación nacional prevé mandatos ordinarios muy breves) ; 68 Este criterio ha sido recientemente recogido por la Orden Ministerial actualmente en curso para la modificación del Informe Anual de Gobierno Corporativo, cuyo borrador, en el artículo 8, apartado 4, establece que: no podrán ser clasificados en ningún caso como consejeros independientes quienes ( ) i) sean consejeros durante un período continuado superior a 12 años 119. La legislación de Estados Unidos es más estricta en cuanto al concepto de miembros independientes del Comité de Auditoría. Así, en su Manual para empresas cotizadas 120, la NYSE establece que ningún director puede ser considerado independiente a menos que el Consejo de Administración determine la inexistencia de relaciones materiales con la sociedad y se cumpla con una serie de criterios, los cuales no se alejan de los recomendados en la Unión Europea. Una vez analizado el concepto de miembro independiente, incluimos un cuadro comparativo con el número de ellos que la normativa de cada país dentro del alcance del presente estudio exige formar parte en los Comités de Auditoría: 118 Recomendación de la Comisión, 15 de febrero de 2005, Anexo II. 119 Proyecto de Orden Ministerial, Ministerio de Economía y Hacienda, 22 de septiembre de Test de Independencia, Manual para las Empresas Cotizadas, NYSE.

71 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Cuadro 5.1 Unión España 122 Reino Francia 124 Italia 125 Alemania 126 Estados Europea 121 Unido 123 Unidos 127 Uno Uno Tres Uno Mayoría Uno Todos Cabe destacar que los países europeos analizados están alineados con la exigencia de la Unión Europea e incluso incrementan los requisitos. En el caso de Estados Unidos, se solicita que la totalidad de miembros sean independientes, siendo los más estrictos en este ámbito. Comparativamente, las recomendaciones en los Códigos de Buen Gobierno para empresas cotizadas más relevantes de cada país siguen las mismas tendencias, siendo Estados Unidos más estricto que la Unión Europea como puede observarse en el cuadro 5.2. Cuadro 5.2 Unión España 129 Reino Francia 131 Italia 132 Alemania 133 Estados Europea 128 Unido 130 Unidos Mayoría Un tercio más Tres Dos tercios Mayoría Presidente Todos los el Presidente miembros La propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 135 del 2011 podría impactar en los requerimientos actuales a los estados miembros, ya que establece que: Con el fin de fortalecer la independencia y capacidad del comité de auditoría, este último debe estar formado por miembros no ejecutivos, de los cuales al menos uno deberá tener experiencia y conocimientos en materia de auditoría, y otro en materia de contabilidad y/o auditoría. 121 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, artículo 41, apartado Ley 24/1988 del Mercado de Valores. Boletín Oficial del Estado, 29 de julio de 1988, disposición adicional decimoctava, punto The UK Corporate Governance Code, Financial Reporting Council, 3 junio de 2010, punto C Ordonance 2008, Código de Comercio Francés, 8 de diciembre de 2008, artículo Testo Unico della Finanza, artículo 148. En Italia, los requisitos varían según el modelo de gobierno corporativo, si las compañías cuentan con un collegio sindicale, todos los auditores que lo integran deben cumplir con los requisitos de independencia. 126 Aktiengesetz (Ley del Mercado de Valores), VorstAG, 31 de julio de 2009, sección Security Exchange Act, 1934, sección 10 A. 128 Recomendación de la Comisión, 15 de febrero de 2005, Anexo I, punto CNMV, Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, recomendación Guidance Audit Committee, Financial Reporting Council, diciembre del 2010, punto Recomendaciones de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, 0ctubre de 2003, capítulo Código de Gobierno Coportativo, Comitato per la Corporate Governance, Borsa Italiana S.p.A., marzo 2006, artículo 4, P1 y C Deutscher Corporate Governance Kodex (DCGK), 18 de junio de 2009, apartado Manual para las Empresas Cotizadas, NYSE, 303 A Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

72 b) Prácticas actuales en compañías cotizadas Las compañías que han participado en este estudio cumplen todas con los criterios de independencia y han manifestado no tener previsto incrementar el número de miembros independientes en sus Comités de Auditoría. Gráfico 5.1 % de miembros independientes 100% 24% 70 Miembros independientes [75% - 100%) [50% - 75%) [25% - 50%) < 25% 15% 15% 15% 31% Como se observa en el gráfico 5.1, el porcentaje de miembros independientes varía entre las empresas incluidas en este estudio. Cabe destacar que en todos los casos el Presidente del Comité de Auditoría es independiente, dando cumplimiento a las recomendaciones de la CNMV. En el caso de empresas que deben cumplir con SOX, la totalidad de sus miembros del Comité son independientes, y en un 70% de los casos analizados, más de la mitad de los miembros lo son. Por otro lado, para analizar la independencia de sus miembros, las compañías no siguen un mismo patrón, algunas consideran las normas internacionales, otras se circunscriben al ámbito nacional y una minoría delega esta tarea a terceros especializados. c) Conclusiones Las normas de los países europeos en el alcance del estudio, están alineadas a las exigencias establecidas en la Directiva 43/2006 CE, aunque Reino Unido e Italia se acercan más a Estados Unidos, que es más exigente. Sin embargo, de salir adelante la propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 136 del 2011, a nivel europeo el requerimiento sería que los Comités de Auditoría estén formados exclusivamente por miembros no ejecutivos. 136 Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities.

73 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Los Comités consultados cumplen con las normas legales actuales y recomendaciones de la CNMV, aunque la Orden Ministerial 137 en curso al momento de emitir este informe, para la modificación del Informe Anual de Gobierno Corporativo, podría incrementar los requisitos actuales de independencia y crear situaciones de incumplimiento. Por consiguiente, tanto algunas de las regulaciones de los países analizados (fundamentalmente Estados Unidos, Italia y Reino Unido), como los Comités consultados, permiten vislumbrar la relevancia de los miembros independientes y la tendencia a que sean más de los estrictamente requeridos por la Unión Europea. En este sentido, la relevancia de las responsabilidades de los Comités de Auditoría y la necesidad de asegurar y mantener objetividad y escepticismo al desempeñar sus funciones, argumentan las exigencias en relación a la independencia de sus miembros. Sin mencionar criterios cuantitativos, en los Principios de Gobierno Corporativo de la Organización para la Cooperación y el Desarrollo Económico (OECD), destaca: El Consejo deberá tener la posibilidad de realizar juicios objetivos e independientes sobre cuestiones relativas a la sociedad. Los Consejos deberán considerar la posibilidad de designar un número suficiente de miembros no ejecutivos del Consejo, con capacidad para realizar juicios independientes sobre tareas en las que pueda existir un conflicto potencial de intereses. 71 Entre las citadas responsabilidades clave figuran, por ejemplo, la de garantizar la integridad de los sistemas de presentación de informes financieros y no financieros, el examen de las operaciones de partes vinculadas, el nombramiento de los miembros del Consejo y directivos principales, y la retribución a dichos miembros 138. Los diversos modelos de estructuras de propiedad y de gobierno en las empresas de los diferentes países, pueden modificar los requisitos en relación a la independencia de los miembros del Consejo. Sin embargo, la necesidad de miembros independientes debe analizarse en torno a la materia o responsabilidades específicas de cada órgano de gobierno y la posible generación de conflictos de interés, preservando los intereses de los accionistas. El Consejo también puede considerar la posibilidad de crear comités específicos para examinar cuestiones que impliquen un conflicto potencial de intereses. Estos comités deberán estar compuestos por un número mínimo de miembros no ejecutivos o exclusivamente por este tipo de miembros Proyecto de Orden Ministerial por la que se determina el contenido y estructura del informe anual de gobierno corporativo, el informe anual sobre remuneraciones, y otros instrumentos de información de las sociedades anónimas cotizadas, y de las cajas de ahorro y otras entidades que emitan valores admitidos a negociación en mercados oficiales de valores, Ministerio de Economía y Hacienda, 22 de septiembre de Principios de Gobierno Corporativo, OECD, marzo 2004, parte 1, capítulo IV, E. 139 Principios de Gobierno Corporativo, OECD, marzo 2004, parte 2, capítulo IV, E. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

74 En definitiva, las exigencias de independencia de los miembros de los Comités de Auditoría están fuertemente respaldadas por las normativas y recomendaciones de los países analizados y los Comités encuestados, así como por otras Instituciones consultadas. En este sentido, aunque los Comités participantes no han confirmado que vayan a incrementar el número de miembros independientes a corto plazo, sí han manifestado la relevancia de los mismos, en línea con las cada vez más estrictas exigencias normativas. II. Conocimiento y experiencia necesarios. a) Análisis de tendencias normativas, recomendaciones y buenas prácticas Sobre los requisitos de conocimientos necesarios, el artículo 41, apartado 1 de la Directiva 2006/43/CE 140, menciona: ( ) Al menos uno de los miembros del Comité de Auditoría será independiente y tendrá competencia en contabilidad, auditoría o en ambas. 72 La disposición normativa no ha definido qué se entiende por competencia en contabilidad, auditoría o en ambas ; cada país o cada compañía debería construir su criterio basado en aspectos como la complejidad y naturaleza de las actividades, regulaciones aplicables, circunstancias particulares de la compañía, etc. Las normas legales vigentes en los países europeos incluidos en este estudio, son coincidentes con la Directiva 2006/43 y sólo exigen que un miembro del Comité posea conocimientos contables, y de auditoría. En España 141, al igual que en Francia 142 y Alemania 143, se requieren estos conocimientos y experiencia al miembro independiente que debe integrar el Comité de Auditoría. En Reino Unido, se solicita que el Comité cuente con al menos un miembro con experiencia reciente y relevante en finanzas 144. La propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 145 del 2011 establece, a este respecto, que al menos uno de los miembros del Comité deberá tener experiencia y conocimientos en materia de auditoría y otro en materia de contabilidad y/o auditoría. Por otra parte, en Estados Unidos, desde la emisión de SOX, se ha desarrollado más la normativa en relación a los conocimientos de los miembros del Comité, quedando legalmente definido el término experto financiero : 140 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, artículo 41, apartado Ley 24/1988 del Mercado de Valores. Boletín Oficial del Estado, 29 de julio de 1988, disposición adicional decimoctava, punto Ordonance 2008, Código de Comercio Francés, 8 de diciembre de 2008, artículo Aktiengesetz (Ley del Mercado de Valores), VorstAG, 31 de julio de 2009, sección The UK Corporate Governance Code, Financial Reporting Concil, 3 junio de 2010, punto C Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities.

75 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Al definir el término experto financiero ( ), la Securities and Exchange Commission (SEC) considerará si la persona posee, mediante educación y experiencia como contador público o auditor o como director financiero corporativo, controller o director contable corporativo de un emisor, o desde una posición que implique el desempeño de funciones similares: (1) un entendimiento de los principios de contabilidad generalmente aceptados y de los estados financieros; (2) experiencia en: a) la preparación o auditoría de estados financieros de emisores generalmente comparables; y b) la aplicación de tales principios en vinculación con la contabilización de las estimaciones, provisiones y reservas; c) experiencia con controles internos y contables; d) entendimiento de las funciones del Comité de Auditoría. 146 Adicionalmente, para facilitar la implementación de las normas legales, la SEC ha emitido reglas 147 que explicitan el término experto financiero : ( ) una persona que cuenta con los siguientes atributos: (1) la comprensión de los principios de contabilidad generalmente aceptados y de los estados financieros o estados contables; 73 (2) la capacidad para evaluar la aplicación general de dichos principios en relación con la contabilización de las estimaciones, provisiones y reservas; (3) experiencia en la preparación, auditoría, análisis o evaluación de estados financieros que presenten una amplitud y nivel de complejidad de las cuestiones contables que sean comparables en amplitud y complejidad, a las cuestiones que razonablemente se puede esperar en los estados financieros del emisor, o experiencia activa de supervisión de una o más personas dedicadas a esas actividades; (4) la comprensión de los controles internos y procedimientos para la presentación de la información financiera, y (5) la comprensión de las funciones del Comité de Auditoría SOX modificación a la sección 10 A de la SEA (Security Exchange Act) de 1934, Sección 407, punto b). 147 Reglas para la implementación de las secciones 406 y 407 de SOX, Final rule , SEC, enero Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

76 Esta persona debe haber adquirido estos atributos a través de uno o más de los siguientes procesos: (1) la educación y la experiencia como director financiero principal, director de contabilidad, contralor, contador público o auditor u otras posiciones que impliquen el desempeño de funciones similares; (2) la experiencia supervisando a un director financiero principal, director de contabilidad, contralor, contador público, auditor o persona que desempeñe funciones similares; (3) la experiencia de supervisión o evaluación del desempeño de las empresas o contadores públicos con respecto a la preparación, la auditoría o evaluación de los estados financieros, o (4) otra experiencia relevante. Cabe desatacar que el Manual para empresas cotizadas de la NYSE, exige que cada miembro del comité de auditoría posea cultura financiera, según esta calificación sea interpretada por los órganos de gobierno de la sociedad en el ámbito de su negocio, o debe adquirir esta cultura financiera en un plazo razonable de tiempo después de su nombramiento como miembro del Comité de Auditoría Entre las recomendaciones emitidas en España por la CNMV, se incluye, entre otras, que la designación de los miembros, tenga presentes los conocimientos, aptitudes y experiencia de los Consejeros y los cometidos de cada Comisión 149, haciéndose referencia a que los miembros del Comité de Auditoría, y de forma especial su Presidente, se designen teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o gestión de riesgos 150. Asimismo, las recomendaciones del Código de Gobierno Corporativo de la Bolsa italiana 151, hace referencia a la consideración de la experiencia de los miembros del Comité de Gestión de Riesgos y Control Interno. En la misma línea el Código alemán refleja que el presidente del Comité de Auditoría deberá contar con conocimientos especializados y experiencia en la aplicación de principios contables y procesos de control interno Manual para las Empresas Cotizadas, NYSE, 303A.07 Audit Committee Additional Requirements. 149 CNMV, Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, recomendación CNMV, Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, recomendación Código de Gobierno Coportativo, Comitato per la Corporate Governance, Borsa Italiana S.p.A., marzo 2006, artículo 8, P Deutscher Corporate Governance Kodex (DCGK), 18 de junio de 2009, apartado

77 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias b) Prácticas actuales en compañías cotizadas Al consultar a los participantes sobre cuáles creían que serán las especialidades más necesarias en los Comités de Auditoría en el futuro, la mayoría de ellos ha identificado los siguientes ámbitos de expertise: Conocimientos financieros. Gestión de Riesgos y Control Interno. Auditoría Externa. c) Conclusiones La experiencia, habilidades y conocimientos del Comité son determinantes para su efectividad. Conocimientos técnicos robustos en materia de contabilidad, finanzas, control interno, gestión de riesgos y auditoría son básicos para el adecuado ejercicio de las funciones de los miembros de los Comités de Auditoría. Sin embargo, la formación técnica no es suficiente, siendo la experiencia también fundamental. 75 En los países europeos analizados, los cuerpos normativos coinciden con la Directiva de la Unión Europea, exigiendo contar con un solo miembro con conocimientos financieros y contables. Estados Unidos sigue siendo más exigente en este aspecto, solicitando que todos los miembros posean cierta cultura financiera. En Europa, de cara a incrementar la capacidad de los Comités de Auditoría, la propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria 153 del 2011 establece que al menos un miembro tenga conocimientos sobre auditoría, y otro sobre contabilidad y/o auditoría, proponiendo por tanto incrementar las exigencias actuales establecidas por la Directiva europea. Los Comités de Auditoría consultados consideran que los conocimientos financieros y de Gestión de Riesgos y Control Interno serán necesarios en el futuro. Esta afirmación está en línea con el creciente interés a nivel regulatorio 154 y en recientes encuestas a CEOs 155, por la Gestión de Riesgos y el Control Interno. 153 Proposal for a regulation of the European Parliament and of the Council on specific requirements regarding statutory audit of public-interest entities. 154 Para mayor detalle, ver capítulo 2 del presente estudio th Annual Global CEO Survey PwC 2011: Growth reimagined. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

78 A fin de posibilitar el adecuado ejercicio de las funciones de los miembros del Comité de Auditoría, a nivel de la Unión Europea se recomienda que la empresa ofrezca un programa de formación para los nuevos miembros del Comité de Auditoría y, posteriormente, un programa pertinente de formación continua. 156 En la misma línea, en Mejores Prácticas incluidas en otros estudios analizados 157, se recomienda que: independientemente de las exigencias normativas, se efectúe una evaluación franca del conocimiento financiero que poseen los miembros del Comité de Auditoría y en función de los resultados obtenidos se defina la formación e instrucciones complementarios que pueden ofrecerse para ayudarles a desempeñar adecuadamente sus funciones. todos los miembros del Comité se comprometan con sus funciones, y los que no sean expertos sean conscientes del valor que aportan al Comité brindando diferentes perspectivas y estén dispuestos a preguntar sobre los temas que no comprenden. 76 Como conclusión general, es destacable la relevancia que dan en general todas las normativas aplicables, y en concreto la de Estados Unidos, a los conocimientos financieros, así como la perspectiva de un necesario incremento en los conocimientos sobre Gestión de Riesgos y Control Interno, en línea con el creciente interés que en estos temas se está demostrando desde distintos ámbitos. III. Asesoramiento externo a) Análisis de tendencias normativas, recomendaciones y buenas prácticas Para cumplir con sus responsabilidades en determinadas materias, los Comités de Auditoría pueden necesitar del soporte de especialistas externos y es importante que posean la autoridad y presupuesto suficiente para contratarlos. Por lo general, las recomendaciones en los países europeos incluyen la opción de que el Comité de Auditoría cuente con el asesoramiento de especialistas externos independientes: 156 Recomendación de la Comisión, 15 de febrero de 2005, Anexo I, punto Audit Committee Effectiveneness - What Works Best, Estudio de PwC en colaboración con el IIA, julio 2011, capítulo 7.

79 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Cuadro 5.3 España 158 Reino Unido 159 Francia 160 Alemania 161 Aún cuando es esencial que sus miembros tengan conocimientos adecuados a las funciones que se les encomiendan, las Comisiones podrán servirse en ocasiones de expertos externos. Un supuesto típico de asesoramiento externo sería, por ejemplo, el uso por la Comisión de Nombramientos de una firma especializada de cazatalentos para identificar y seleccionar posibles candidatos a consejero. La junta Directiva debe poner fondos a disposición del Comité de Auditoría para que pueda seguir el consejo independiente de asesores legales, contables o de otro tipo cuando el Comité de Auditoría razonablemente lo crea necesario. Los Comités del Consejo podrán solicitar estudios técnicos externos relacionados a los asuntos de su competencia, a expensas de la corporación, previa información el presidente del Consejo de Administración o el propio Consejo de Administración, y sin perjuicio de informar al respecto al Consejo. Autoridad para contratar asesores. Cada Comité de Auditoría tendrá la autoridad para contratar consejeros independientes y otros asesores, en cuanto determine necesario para llevar a cabo sus obligaciones. 77 En Estados Unidos la contratación de asesores externos y consejeros independientes por parte del Comité de Auditoría es una facultad reconocida legalmente desde las modificaciones introducidas por SOX 162 (ver cuadro 5.4). Cuadro 5.4 Estados Unidos Unidos 163 Autoridad para contratar asesores. Cada Comité de Auditoría tendrá la autoridad para contratar consejeros independientes y otros asesores, en cuanto determine necesario para llevar a cabo sus obligaciones. 158 Recomendación de la Comisión Europea de 15 de febrero de Anexo I-punto Guidance Audit Committee, Financial Reporting Concil, diciembre del 2010, punto Recomendaciones de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, 0ctubre de 2003, punto Deutscher Corporate Governance Code Apartado Securities Exchange Act of 1934 SOX. Sección 301 SOX modif. a la sección 10 A de la SEA de Securities Exchange Act of 1934 SOX. Sección 301 SOX modif. a la sección 10 A de la SEA de Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

80 b) Prácticas en compañías cotizadas La mayoría de los Comités de Auditoría consultados para la elaboración de este estudio han mencionado que pueden disponer de recursos para la contratación de asesores externos en temas específicos. Gráfico 5.2 Tipo de asesoramiento contratado: a b c d e f 8% 17% 17% 25% 42% 42% a- Auditoría Interna b- SCIIF/SOX/Reporting Financiero c- Cumplimiento d- Fraude e- Gestión de Riesgos f- Calidad g- Continuidad de negocio 78 g 0% Los tipos de asesoramiento que destacan por ser los más frecuentemente contratados por los Comités, se relacionan con las siguientes categorías: Gestión de Riesgos SCIIF/SOX/Reporting Financiero Los especialistas en Auditoría Interna son también demandados, seguidos por los expertos en materia de Fraude, Cumplimiento y Calidad. Adicionalmente, algunos contratan informes periódicos de especialistas en determinadas materias e incluso en materia de fraude, se han solicitado investigaciones específicas de terceros originadas en denuncias recibidas por los canales de denuncia de la compañía. c) Conclusiones Aunque en los países de la Unión Europea, a diferencia de Estados Unidos, la facultad de contratar asesores externos cuando el Comité lo considere oportuno no posee carácter legal, ésta se refleja en las diversas recomendaciones vigentes de los países incluidos en este estudio.

81 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Analizando los resultados obtenidos sobre prácticas actuales de los Comités de Auditoría podemos concluir que la mayoría necesita recurrir al asesoramiento externo, y las especialidades demandadas están en línea con las exigencias normativas crecientes en materia de Gestión de Riesgos y Control Interno. En el documento de Principios de Gobierno Corporativo de la OECD, se reconoce la relevancia del asesoramiento externo, recomendando que : La contribución de los miembros del Consejo sin poder ejecutivo en la sociedad puede mejorarse ( ) proporcionándoles la posibilidad de recurrir al asesoramiento externo independiente a expensas de la sociedad. 164 En resumen, la visión, experiencia y conocimientos especializados de un externo aportan objetividad a la labor de los Comités de Auditoría. Así lo han manifestado los Comités consultados y en esta línea se establece la regulación aplicable. Destaca que en Estados Unidos la contratación de terceros sea una facultad legal, sin serlo todavía en Europa, aunque los Comités consultados confirman la tendencia a contar con ellos para complementar los recursos de sus compañías. IV. Reuniones a) Análisis de tendencias normativas, recomendaciones y buenas prácticas 79 En el ámbito de la Unión Europea, se recomienda: El Comité de Auditoría debe decidir si el director general o el presidente del consejo, el director financiero (o los cuadros responsables de finanzas, contabilidad y tesorería), el auditor interno y el auditor externo participan en sus reuniones, y de ser así, cuándo. El Comité debe estar autorizado para reunirse, si así lo desea, con cualquier persona pertinente sin la presencia de administradores ejecutivos o gerentes 165. Del análisis de las recomendaciones incluidas en los códigos de buen gobierno de los diferentes países analizados en este estudio, en cuanto a las reuniones del Comité de Auditoría, podemos extraer el siguiente cuadro comparativo: 164 Principios de Gobierno Corporativo, OECD, marzo 2004, parte 1, capítulo IV, E. 165 Recomendación de la Comisión Europea de 15 de febrero de Anexo I-punto Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

82 80 Unión Europea 167 España 168 Reino Unido 169 Francia 170 Alemania 171 Estados Unidos 172 El Comité de Auditoría decide quiénes y cuándo se reúnen. El Comité de Auditoría debe levantar actas de sus reuniones y remitir copia a todos los miembros del Consejo. Puede convocar a cualquier empleado o directivo de la sociedad individualmente. El presidente del Comité de Auditoría decide la frecuencia y duración de las reuniones. Se recomiendan al menos tres reuniones durante el año, coincidiendo con fechas de reporte de la información financiera y el ciclo de auditoría. Sólo el presidente del Comité y sus miembros podrán estar presentes. El Comité decidirá si un no-miembro debería asistir. Se espera que el auditor externo, así como el director financiero asistan con regularidad. El Comité debe disponer de tiempo suficiente para completar todas sus discusiones. Debe existir un intervalo adecuado entre sus reuniones y las del Consejo de Administración para que permita que cualquier trabajo derivado de las reuniones del Comité de Auditoría se ejecute y reporte al Consejo. El Comité deberá reunirse al menos una vez al año con los auditores externos e internos. Las reuniones rara vez son suficientes. Se espera que el presidente del Comité, y en menor medida los otros miembros, se mantengan en contacto continuo con las personas clave involucradas en el gobierno de la empresa El Comité de Auditoría debe reunirse con los auditores de cuentas y con los responsables de finanzas, contabilidad y tesorería. Cuando lo considere oportuno podrá reunirse sin la presencia de la gerencia de la compañía. Si un miembro del Consejo de Vigilancia participa en menos de la mitad de las reuniones del mencionado Consejo en un período fiscal, se debe dejar constancia en el informe al Consejo de Administración. Deberá reunirse por separado, de forma periódica, con la Gerencia, los auditores internos y auditores externos. 167 Recomendación de la Comisión, 15 de febrero de 2005, Anexo I, punto Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas, CNMV, recomendación 44 y Guidance Audit Committee, Financial Reporting Concil, diciembre del 2010, punto 2.6 al Recomendaciones de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, 0ctubre de 2003, capítulo Deutscher Corporate Governance Kodex (DCGK), 18 de junio de 2009, apartado NYSE, 303 A 07. b. iii. E.

83 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias En este aspecto, el código de buen gobierno de Reino Unido aporta mayor cantidad de líneas de actuación, recomendando un mínimo de tres reuniones del Comité y que al menos se reúna una vez al año con auditores internos y externos. b) Prácticas actuales en compañías cotizadas Al consultarles a los participantes de este estudio respecto de la cantidad de reuniones que ha efectuado el Comité de Auditoría con los responsables de Auditoría Interna durante el último año, el 46% respondieron que han mantenido 8 o más reuniones reuniones con el Director de Auditoría Interna, llegando en algunos casos a una frecuencia mensual. El 8% efectuó entre 6 y 7 reuniones y el 46% restante entre 3 y 6 reuniones anuales (ver gráfico 5.3). En la mayoría de los casos analizados en este estudio, los Comités consideran que el número de reuniones es razonable y les ha permitido desarrollar adecuadamente sus funciones. Gráfico 5.3 Número de reuniones mantenidas, en el último año, el Comité con el Director de Auditoría Interna 46% a- 8 ó más reuniones b- Entre 6 y 7 c- Entre 5 y 6 d- Entre 3 y % 23% 8% c) Conclusiones a b c d Las reuniones de trabajo de los Comités de Auditoria no son un tema legalmente regulado, aunque las recomendaciones vigentes en los diferentes países incluidos en este estudio las ponen en consideración. El Comité de Auditoría debe decidir si el director general o el presidente del consejo, el director financiero (o responsables de finanzas, contabilidad y tesorería), el auditor interno y el auditor externo participan en sus reuniones, y de ser así, cuándo. El Comité debe estar autorizado para reunirse, si así lo desea, con cualquier persona pertinente sin la presencia de administradores ejecutivos o gerentes. En cualquier caso, con el objeto de obtener mayor nivel de conocimiento sobre las actividades y aspectos clave del negocio de la compañía, los Comités de Auditoría deberían reunirse periódicamente con la Alta Dirección y los auditores externos e internos, aprovechando estos momentos para profundizar y revisar críticamente la información que se les provee y realizar preguntas eficaces. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

84 Independientemente del número de reuniones que se realicen, los auditores externos e internos, deben tener total acceso al Comité de Auditoría o a su Presidente, como también el derecho a solicitar la convocatoria a una reunión si fuera necesario. La necesidad de tener acceso al Comité de Auditoría por parte del auditor interno queda reflejada en la encuesta sobre la profesión que PwC realiza anualmente 173. La tendencia a una regulación cada vez mayor del acceso de todo tipo de expertos, queda reflejada en las conclusiones del GTCI de la CNMV, que, entre otras cosas, recomiendan a los Comités de Auditoría la documentación de un protocolo de comunicación de debilidades de control interno de forma directa al Comité o al Consejo de Administración. V. Evaluación de desempeño a) Análisis de tendencias normativas, recomendaciones y buenas prácticas En el ámbito de la Unión Europea, se ha recomendado valorar el rendimiento de los Comités de Auditoría: 82 El Consejo de Administración o de vigilancia debe proceder anualmente a una evaluación de su rendimiento. En ella figurará un examen de su composición, organización y funcionamiento como grupo, se evaluará la competencia y eficacia de cada uno de sus miembros y Comités y se considerará su rendimiento en función de los objetivos que se hubieran fijado 174 Algunos países han reflejado estas recomendaciones en sus códigos de buen gobierno, por ejemplo: Cuadro 5.5 Reino Unido 175,176 El Consejo de Administración debe realizar una evaluación anual formal y rigurosa de su propio desempeño, el de sus Comités y el de los directores individuales. Debe mostrar en el informe anual una declaración de cómo se ha realizado la evaluación del desempeño del Consejo, de sus Comités y sus consejeros. Debería ser accesible la información cuando la evaluación del desempeño se ha facilitado externamente, una declaración de que el facilitador no tiene ninguna otra conexión con la empresa. 173 Estudio PwC 2011 sobre el estado de la profesión de Auditoría Interna Luces, Cámara Acción. 174 Recomendación de la Comisión, 15 de febrero de 2005, Sección II, punto The UK Corporate Governance Code, Financial Reporting Concil, 3 de junio de 2010, 176 The UK Corporate Governance Code PAG. 19 y 20. Code Provisions B.6.1. y B.6.2.

85 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Francia 177 Alemania 178 Italia 179 Para una buena gestión empresarial, el Consejo de Administración debe evaluar su capacidad para satisfacer las expectativas de los accionistas teniendo una autoridad encargada de dirigir la empresa, revisando de vez en cuando sus miembros, organización y funcionamiento (lo que implica una revisión correspondiente de los Comités del Consejo de Administración). La evaluación tendrá como objetivos: evaluar la manera en la que opera el Comité, revisar que los temas importantes se preparan y discuten de manera adecuada, medir la contribución de cada director al trabajo del Comité a través de su participación en las discusiones. La evaluación preferiblemente debería ser anual; deberá haber una evaluación formal por lo menos una vez cada tres años; los accionistas deben ser informados cada año en el informe anual La remuneración de los miembros del Consejo de Vigilancia se especifica en la resolución de la Junta General o en los Estatutos Sociales. Tiene en cuenta las responsabilidades y el alcance de las tareas de los miembros del Consejo de Vigilancia, así como la situación económica y la actuación de la empresa. También hay que considerar el desempeño de los puestos de la Presidencia y Vice Presidencia en el Consejo de Vigilancia, así como el presidente y miembros de los Comités. Los miembros del Consejo de Vigilancia deberán recibir fijos, así como compensaciones relacionadas con el rendimiento. Las compensaciones relacionadas con el rendimiento también deben contener los componentes basados en el rendimiento a largo plazo de la empresa. El Consejo de Vigilancia examinará la eficacia de sus actividades sobre una base regular. El Consejo de Administración evaluará, por lo menos una vez al año, el tamaño, composición y funcionamiento del Consejo de Administración y sus Comités, caracterizando eventualmente las nuevas figuras profesionales cuya presencia en el consejo se consideraría apropiada. 83 b) Prácticas actuales en compañías cotizadas Respecto de la modalidad utilizada en la evaluación de desempeño de los Comités de Auditoría en empresas cotizadas analizadas, se ha observado que en el 39% de los casos éstos realizan autoevaluaciones, el 15% son evaluados internamente y un 15% de los casos participan externos independientes. Es destacable que en un 31% de los casos no se realiza ningún tipo de evaluación de desempeño. (ver gráfico 5.4). Por otra parte, algunos Comités combinan mecanismos de autoevaluación con evaluaciones de externos independientes. 177 Asociación Francesa de Empresas Privadas AFEP-MEDEF para compañías cotizadas. El informe anual deberá incluir una declaración sobre la actividad del Comité de Auditoría durante el año financiero transcurrido. Pág Pág , 9.2, DCGK= Deutscher Corporate Governance Code (German Corporate Governance Code) P , P Comitato per la Corporate Governance P 15 Apartado G. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

86 Gráfico 5.4 Cómo se realiza la evaluación del Comité de Auditoría? a; 39% d; 31% a- Autoevaluación c; 15% b; 15% b- Evaluación interna c- Evaluación de externo independiente d- No se realiza c) Conclusiones 84 En el ámbito de la Unión Europea se recomienda proceder anualmente a una evaluación del rendimiento de los Comités de Auditoría; no obstante, no en todos los países se establece explícitamente, ni siquiera como recomendación, la periodicidad necesaria. Así, en el caso de Alemania, el Código de Buen Gobierno 180 no establece una periodicidad concreta en cuanto a la evaluación de la eficiencia de los Comités de Auditoría, mientras que otros países como Francia, Reino Unido, España o Italia recomiendan que dicha evaluación se realice anualmente. La mayoría de los Comités consultados tiene implantados diversos mecanismos de evaluación, superando los requisitos normativos actuales. Algunos de ellos encargan dichas evaluaciones a expertos independientes. Entre las Mejores Prácticas identificadas 181 en este ámbito, se pueden mencionar las siguientes: El Comité de Auditoría debe realizar una evaluación periódica sobre su desempeño, efectividad y adecuación de sus planes de trabajo, actividades y reportes de información. Esta evaluación periódica puede identificar áreas en las que el Comité debe mejorar, y/o puede poner de relieve también sus habilidades. La evaluación del Comité de Auditoría puede generar la definición de un plan de desarrollo y perfeccionamiento de sus procesos y procedimientos, como también dar lugar a una mayor asignación de recursos para el ejercicio de sus funciones. El presidente del Comité de Auditoría debe asegurar que éste posee los conocimientos necesarios para desempeñar sus responsabilidades. 180 Según el Estudio de PwC Alemania Der Pru fungsausschuss. Best Practices einer effizienten Überwachung (Traducido: El comité de auditoria. Mejores Prácticas para una supervisión eficiente ). 181 European Confederation of Director s Associations Audit Committee Guidance for European Companies, septiembre 2011.

87 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Para la evaluación de su desempeño, el Comité de Auditoría debe considerar: - el nivel de satisfacción del Consejo de Administración con su desempeño; - la adecuación de las actividades del Comité con las exigencias nacionales e internacionales pertinentes y recomendaciones; - la comparación de las actividades del comité con las Mejores Prácticas adoptadas por otras organizaciones; - la alineación de las actividades del Comité a otras previamente establecidas como de éxito ; - la comparación de las actividades del Comité con las deficiencias detectadas previamente; y - la consecución de los objetivos establecidos para el período considerado. El Comité debe solicitar retroalimentación sobre su desempeño a la alta dirección, los auditores internos y externos y otras partes interesadas. En definitiva, los Comités consultados cumplen con creces la normativa aplicable e incluso van más allá, contando algunos de ellos con mecanismos de evaluación de sus actividades que incluyen la participación de terceros. En este sentido, las Mejores Prácticas identificadas en otros estudios analizados 182 sugieren que sean los Comités consultados con mecanismos más avanzados los que vayan a marcar la tendencia para el resto European Confederation of Director s Associations Audit Committee Guidance for European Companies, septiembre Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

88 ANEXOS Anexo A. Detalle metodológico del estudio Se ha elaborado un estudio sobre el impacto de la regulación existente, tanto en España como en otros países de referencia en los Comités de Auditoría, pretendiendo mostrar asimismo las tendencias marcadas por dicha normativa así como por otras recomendaciones contenidas en los Códigos de Buen Gobierno de cada país. 86 Los objetivos concretos del estudio son: Análisis comparativo de las prácticas con la normativa actual existente y las tendencias en materia de regulación. Presentar las prácticas más extendidas en cuanto al funcionamiento de los Comités de Auditoría, en base a las experiencias de una selección de empresas españolas consideradas líder en los respectivos sectores en los que desarrollan su actividad. Servir como documento de consulta a la hora de entender las tendencias y buenas prácticas de los Comités de Auditoría en empresas españolas.

89 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Anexo B. Guía de entrevistas a los Comités de Auditoría Durante las entrevistas realizadas a los presidentes de los Comités de Auditoría que participaron es este estudio, se ha utilizado el siguiente cuestionario. Tema: Reporting de información financiera 1. Cuáles son las actividades habituales de supervisión de la información financiera por parte del Comité? 2. Cómo supervisa el Comité de Auditoría el perímetro de consolidación? Con qué periodicidad? 3. Está satisfecho el Comité con la información recibida de la Dirección para entender el proceso de elaboración y emisión de información financiera y no financiera clave y los riesgos asociados? a) Completamente b) Moderadamente c). Parcialmente d) Mínimamente 4. Qué rol ha ejercido el Comité de Auditoría en el diagnóstico y mejora del Sistema de Control Interno de la información Financiera (SCIIF) en relación a las recomendaciones de la CNMV? 5. En línea con las recomendaciones del Manual de la New York Stock Exchange (NYSE), revisa y discute el Comité de Auditoría las publicaciones de prensa sobre los resultados de la sociedad, así como la información financiera y previsión de beneficios para los analistas y agencias de calificación? a) Siempre b) Casi siempre c) A veces d) Nunca 6. En su opinión, cree que las responsabilidades / obligaciones de los Comités de Auditoría en España van a incrementarse en el futuro? a) Sí, a corto plazo b) Sí, a medio/largo plazo c) Es posible d) No 7. En qué ámbitos de responsabilidad cree que se incrementarán? 87 Tema: Gestión de Riesgos y Control Interno 1. Cuáles son las actividades que realiza el Comité de Auditoría para la supervisión de la eficacia del Sistema de Gestión de Riesgos y Control Interno? Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

90 88 2. Con qué periodicidad recibe información de la Dirección sobre el Sistema de Gestión de Riesgos y Control Interno? a) Anualmente b) Semestralmente c) Trimestralmente d) Mensualmente 3. Cuál ha sido la evolución en los últimos años de la actividad de supervisión del Comité en relación al Sistema de Gestión de Riesgos y Control Interno de la compañía? a) Se ha incrementado significativamente b) Se ha incrementado de forma moderada c) Sigue en la misma línea d) Se ha reducido 4. En relación a su actividad de supervisión, sobre qué elementos del Sistema de Gestión de Riesgos y Control Interno trabaja el Comité con mayor frecuencia / detalle? (Ordenar de mayor a menor por tiempo dedicado en el Comité) Riesgos clave Definición de la tolerancia al riesgo Mecanismos de identificación de riesgos Metodología de evaluación de riegos Actividades de monitorización sobre riesgos clave Planes de respuesta / Actividades de control sobre riesgos clave Debilidades del Control Interno 5. En su opinión, cree que la relevancia otorgada por la Dirección de la compañía a la Gestión de Riesgos se ha incrementado en los últimos años? a) Se ha incrementado significativamente b) Se ha incrementado de forma moderada c) Sigue en la misma línea a) Se ha reducido 6. Cuáles son, en su opinión, los beneficios que está aportando la Gestión de Riesgos a la compañía? Está aportando los beneficios esperados? a) Completamente de acuerdo b) Moderadamente de acuerdo c) Moderadamente en desacuerdo d) Totalmente desacuerdo 7. Participa el Comité de Auditoría en la resolución de cualquier aspecto significativo que ha sido denunciado a través del canal de denuncias? a) Siempre b) Casi siempre c) A veces d) Nunca

91 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Tema: Auditoría Interna 1. Qué mecanismos utiliza el Comité de Auditoría para evaluar el desempeño de la función de Auditoría Interna y su independencia operativa? Considera dichos mecanismos adecuados y suficientes para dicha evaluación o existen posibilidades de mejora? 2. Qué nivel de participación tiene el Comité de Auditoría para evaluar el rendimiento y la remuneración del Director de Auditoría Interna? a) Plena responsabilidad b) Responsabilidad conjunta con el Consejo de Administración c) Proporciona recursos para la evaluación de la gestión d) No participa en la evaluación d) Otros: (especificar) e) No está seguro 3. Considera que la función de Auditoría Interna cuenta con el tamaño adecuado para la organización? Se utilizan recursos externos ante la falta de conocimiento o de recursos en áreas específicas? a) Siempre b) Casi siempre c) A veces d) Nunca 4. Cuántas reuniones ha mantenido, en el último año, el Comité con el Director de Auditoría Interna? Considera que debe incrementarse el número de reuniones? Qué temas se tratan habitualmente en dichas reuniones? 5. Considera que la función de Auditoría Interna aporta el máximo valor a la compañía? Cómo considera que la función de Auditoría Interna de la compañía podría optimizar el valor aportado? 6. Verifica el Comité que la que la Alta Dirección tiene en cuenta las conclusiones y recomendaciones de los informes de Auditoría Interna? a) Anualmente b) Semestralmente c) Trimestralmente d) Mensualmente De qué manera? 89 Tema: Auditoría externa 1. Qué nivel de participación tiene el Comité de Auditoría sobre la selección, remuneración y evaluación de los auditores externos? a) Plena responsabilidad b) Responsabilidad conjunta con el Consejo de Administración Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

92 90 c) Presenta propuestas d) No participa 2. Qué mecanismos y/o criterios utiliza para evaluar o supervisar la evaluación de la independencia de los auditores externos? 3. Revisa el alcance de la auditoría externa, entendiendo la materialidad establecida, la cobertura de los riesgos y cambios significativos en el plan de auditoría? 4. El Comité de Auditoría discute con el auditor externo sobre alternativas al tratamiento contable de determinadas transacciones? a) Siempre b) Casi siempre c) A veces d) Nunca 5. Cómo supervisa el Comité de Auditoría que la Dirección ha tenido en cuenta las recomendaciones de los auditores externos? 6. Participa el Comité de Auditoría en la aprobación de la contratación servicios de noauditoría a la firma de auditoría externa o es informado sobre estas contrataciones? En qué momento? a) Interviene desde el momento de solicitud de propuestas (antes de realizar la solicitud) b) Es consultado una vez recibidas las propuestas (antes de la firma del contrato) c) Es informado una vez que ha sido contratado el proveedor d) Es informado periódicamente de los servicios de no auditoría prestados por la firma de auditoría Tema: Aspectos clave de funcionamiento 1. Está previsto incrementar el porcentaje de miembros independientes en el próximo año?; en qué medida?; qué criterios se utilizan para analizar la independencia? 2. Cuál cree que va a ser el expertise más necesario en los Comités de Auditoría en el futuro? - ordenar/asignar número por relevancia. Financiero Gestión de Riesgos Control interno Auditoría Externa Auditoría Interna Otros 3. Cómo se realiza la evaluación del Comité de Auditoría? 4. Puede disponer el Comité de recursos para la contratación de asesores externos en temas específicos? Sí No En caso afirmativo, qué tipo de asesoramiento se contrata? Auditoría Interna

93 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias SCIIF/SOX/Reporting Financiero Cumplimiento Fraude Gestión de Riesgos Continuidad de negocio Calidad Otros: (especifique) 91 Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

94 Anexo C. Bibliografía y fuentes Para efectuar este estudio hemos revisado, entre otras, las siguientes normas y recomendaciones: Regulaciones actualmente aplicables de distintos países consideradas Buenas Prácticas: 92 Unión Europea, Directiva 2004/109/CE del Parlamento Europeo y del Consejo, 15 de diciembre de Unión Europea, Directiva 2006/43/CE del Parlamento Europeo y del Consejo, 17 de mayo de Unión Europea, Directiva 2006/46/CE del Parlamento Europeo y del Consejo, 14 de junio de Unión Europea, Propuesta de regulación sobre los requerimientos específicos de auditoría estatutaria. España, Ley 24/1988 del Mercado de Valores. Boletín Oficial del Estado, 29 de julio de España, Proyecto de Orden Ministerial por la que se determina el contenido y estructura del informe anual de gobierno corporativo, el informe anual sobre remuneraciones, y otros instrumentos de información de las sociedades anónimas cotizadas, y de las cajas de ahorro y otras entidades que emitan valores admitidos a negociación en mercados oficiales de valores, Ministerio de Economía y Hacienda, 22 de septiembre de España, Proyecto de Circular de la CNMV, por la que se modifica el IAGCde las sociedades anónimas cotizadas, de las Cajas de Ahorro y del resto de entidades que emiten valores que se negocien en mercados oficiales de valores, Reino Unido, Companies Act 2006, Gobierno de Reino Unido, 1 de octubre de Francia, Ordonance 2008, Código de Comercio Francés, 8 de diciembre de Alemania, Aktiengesetz (Ley del Mercado de Valores), VorstAG, 31 de julio de Alemania, Handelsgesetzbuch (Código de Comercio Alemán), 1 de noviembre de Alemania, Bilanzrechtsmodiernisierungsgesetz (Modernización de la Ley de Contabilidad Alemana), Parlamente Alemán, 26 de marzo de Estados Unidos, Ley Sarbanes Oxley, Parlamento Estadounidense, 30 de julio de Estados Unidos, Securities Exchange Act, Securities and Exchange Commission (SEC), 6 de junio de Italia, Testo Unico della Finanza. Italia, Decreto Legislativo 27 Enero 2010, n.39. Recomendaciones: Unión Europea, Recomendación de la Comisión, 15 de febrero de Unión Europea, Libro Verde: La normativa de gobierno corporativo de la UE, Bruselas, 5 de abril de España, CNMV, Informe del grupo especial de trabajo sobre Buen Gobierno de las Sociedades Cotizadas.

95 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Estudios: España, CNMV, Informe de Control Interno sobre la información financiera en las entidades cotizadas, junio Reino Unido, The UK Corporate Governance Code, 3 junio de Reino Unido, The Listing rules Reino Unido, Guidance Audit Committee, Financial Reporting Concil, diciembre del Francia, Recomendaciones de la Asociación Francesa de Empresas Privadas AFEP-MEDEF, Octubre de Alemania, Deutscher Corporate Governance Kodex (DCGK), 18 de junio de 2009 Estados Unidos, Manual para las Empresas Cotizadas, NYSE. Estados Unidos, Reglas para la implementación de las secciones 406 y 407 de SOX, SEC. Italia, Código de Gobierno Coporativo, Comitato per la Corporate Governance, Borsa Italiana S.p.A., marzo Principios de Gobierno Corporativo, Organización para la Cooperación y el Desarrollo Económico, marzo 2004 Audit Committee Effectiveneness - What Works Best, Estudio de PwC, julio Confronting Corruption, The business case for an affective anti-corruption programe, Estudio de PwC, de enero de Annual Corporate Directors Survey, PwC, Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

96 Anexo D. Relación de empresas participantes Abengoa Abertis Banco Sabadell Bankinter Enagás Endesa FCC Ferrovial Gas Natural Iberdrola Indra Repsol YPF Telecinco 94

97 Comités de Auditoría. Contexto Regulatorio, Buenas Prácticas y Tendencias Anexo E. Autores del informe Ferrán Rodríguez Arias Socio PwC Governance Risk and Compliance Licenciado en Ciencias Económicas y Empresariales. Universidad Autónoma de Barcelona. PDD por el IESE. Miembro del Instituto Censor Jurado de Cuentas. Miembro del ROAC. Miembro del Centro de Gobierno Corporativo. Ferrán es experto en Análisis de Riesgos, Gobierno Corporativo y su experiencia cubre tanto las áreas de sistemas de información a la Dirección y Consejo de Administración, el Análisis Financiero así como Auditoría Interna. Ha dirigido proyectos de implantación y mejora de sistemas de Gestión de Riesgos y Control Interno. Ramón Abella Rubio Socio PwC Governance Risk and Compliance 95 Licenciado en Ciencias Económicas y Empresariales. Universidad Complutense de Madrid. Executive MBA. Instituto Empresa. Máster en tributación y Fiscalidad. CETE-Universidad Complutense de Madrid. Miembro del Instituto de Auditores Internos. Ramón es experto en el análisis de riesgos y Control Interno, siendo especialista en las metodologías de Entreprise Risk Management y Control Interno promulgadas en los informes COSO I y COSO II, formando parte del equipo internacional encargado de la adaptación de las mismas. Con la colaboración de: Joaquín Guerola Gonzálvez Gerente PwC Governance Risk and Compliance Licenciado en Dirección y Administración de Empresas y Derecho. Universidad Pontificia de Comillas. Executive MBA. ESADE. Máster en Dirección de Empresas Familiares. Instituto Empresa. Investigaciones y publicaciones del Centro de Gobierno Corporativo año 2012

98 Joaquín es experto en Gobierno Corporativo, Gestión de Riesgos, Control Interno y Auditoría Interna. Ha participado en la implantación, evaluación y mejora de sistemas de Gestión de Riesgos y Control Interno, siendo el responsable en España de coordinar la red global de PwC de Auditoría Interna y Gestión de Riesgos. Ana Cendón Cubero Gerente PwC Governance Risk and Compliance Licenciada en Dirección y Administración de Empresas. Universidad de Valladolid. Máster en Sostenibilidad y RSC. Universidad Jaume I, UNED. CIA (Certificado de Excelencia), CISA. Ana cuenta experiencia en los campos de Gestión de Proyectos, Auditoría de Procesos, Gestión de Riesgos, Control Interno y Auditoría Interna. Ha formado parte del equipo de PwC Alemania, participando en auditorías y mejoras de procesos, control interno y auditorías informáticas. Previamente a PwC, ha trabajado para Siemens AG (Alemania) en gestión y control de proyectos internacionales. 96 Raquel Valencia Ramírez Supervisora PwC Governance Risk and Compliance Licenciada en Administración. Universidad Nacional de Mar del Plata de Argentina. Contador Público. Universidad Nacional de Mar del Plata de Argentina. Máster en Management y Gestión de Cambio. Universidad de Alcalá. Raquel cuenta con experiencia en Gestión de Riesgos Tecnológicos y de Negocio, Control Interno y Auditoría Interna. Ha participado en mejoras de procesos, gestión de riesgos y control interno en empresas con diferentes sistemas integrados de gestión.

99 ARTES GRÁFICAS desde 1918

100 Reconocimientos FINANCIAL TIMES, 25 de enero de 2010 MBA Ranking, 3ª posición en Europa y 6ª posición mundial FINANCIAL TIMES, 25 de octubre de 2010 Executive MBA Ranking, 7ª posición mundial THE ECONOMIST, septiembre de 2010 MBA Ranking, 22ª posición mundial AMÉRICA ECONOMÍA, junio 2010 MBA Ranking, 3ª posición mundial María de Molina, 12-5ª planta Madrid Tel.: (34) [email protected] ARTES GRÁFICAS desde 1918