Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 IDEA INSTITUTO PARA EL DESARROLLO EMPRESARIAL DE LA ARGENTINA Moreno 1850 3º, (C1094ABB) Buenos Aires. Tel: 5861-4300 - Fax: 5861-4399 E-mail: info@ideamail.com.ar / Internet: www.ideared.org DOCUMENTO DE TRABAJO Workshop sobre COMITE DE AUDITORIA Compartiendo experiencia para su implementación concreta Viernes 30 de abril de 2004. De 8:30 a 12:30 hs. Contenidos desarrollados: Comité de Auditoría: Composición y reuniones. Secretario. Miembros suplentes. Votaciones. Quórum. Temario. Tareas del Comité de Auditoría. Supervisión del sistema de control interno y del sistema administrativo contable, de la fiabilidad de la información financiera y otros hechos significativos. Supervisión de la aplicación de las políticas en materia de información sobre la gestión de riesgos. Emitir opinión fundada respecto de operaciones con partes relacionadas. Informar sobre operaciones en las cuales exista conflicto de intereses con los integrantes de los órganos sociales o accionistas controlantes. Relaciones con auditor interno: Revisión de planes y evaluación de desempeño y opinión sobre los mismos. Relaciones con auditor externo. Verificar cumplimiento de las normas de conducta que resulten aplicables. Apertura de la actividad: Rubén Puentedura. Director Ejecutivo de IDEA Panel de coordinación: Carlos Alemañy. Director Corporativo de Auditoría de Tenaris S. A. Director de la División Auditoría Interna de IDEA Liliana Cuda. Manager Financial Complaince Global Audit. Tenaris S. A. Jorge Mantiñán. División Auditoría Interna de IDEA. Panel de profesionales de firmas especializadas: Calciati, Guillermo. Socio. KPMG. Doller, Claudio. Socio. BDO. Fernández Funes, Carlos. Socio. Ernst & Young. Pace , Carlos. Socio . PriceWaterhouseCoopers. Ventrice, Oscar. Socio. Deloitte. 1 mailto:info@ideamail.com.ar Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 Rubén Puentedura En nombre de IDEA deseo darles la bienvenida a ustedes y a nuestros panelistas por colaborar en esta actividad, que desde nuestro punto de vista es el comienzo de un camino. Lógicamente, está reconociendo como punto de referencia que dentro de un mes tendremos la fecha de cumplimiento de las disposiciones legales para el establecimiento de los comités de auditoría en empresas que cotizan en la bolsa. En IDEA éste es un tema que merece profundo interés en dos líneas de acción. Por un lado, nuestra División Auditoría Interna, presidida por Carlos Alemañy, que tiene un rol de avanzada muy activo en este campo, y por otra parte, IDEA en conjunto con FUNDECE, La Fundación para la Excelencia en la Calidad, conformaron el IAGO, Instituto Argentino para el Gobierno de las Organizaciones, cuyo foco fundamental es el buen gobierno o “Corporate Governance” -como ustedes quieran llamarle- no sólo de las empresas sino, más genéricamente, de las organizaciones. Personalmente, pienso que éste es, como digo, el inicio de un camino, porque creo firmemente que, a lo largo de la puesta en práctica del comité de auditoría con estos nuevos requisitos, vamos a ir definitivamente intercambiando experiencias y aprendizajes. Entiendo que hay dos conceptos que no podemos dejar fuera de la mesa. Uno es: cuál es la visión de la empresa, de la organización respecto a ese comité de auditoría. ¿Va a ser el cumplimiento de un requisito legal, o va a ser un arma poderosa en la gestión y en agregar valor a través de la empresa? En segundo lugar, está el tema de marco. ¿va a jugar esto en un contexto en que Argentina, nuevamente, se inserta en las economías mundiales y, en consecuencia, le interesa, y muchísimo, tener paridad de conceptos y de prácticas con el sistema financiero internacional?, ¿o sigue encerrada? Lógicamente, en un contexto más estrecho dentro mismo de la empresa, todos estos temas juegan en profunda relación con el concepto de cuál es el rol y el grado de independencia del directorio propiamente dicho. Así que estos son temas que, lógicamente, irán explorando ustedes y se irán desarrollando en el tiempo. Por eso creo que, en nuestra División Auditoría Interna, vamos a tener mucho interés en seguir intercambiando experiencias concretas sobre cómo se están aplicando estos conceptos. Como coordinador de esta actividad tenemos al Dr. Carlos Alemañy, Contador Público Nacional, Certified Fraud Examiner y Director de la División de Auditoría Interna de IDEA. Carlos es el Chief Audit Executive de TENARIS y tiene responsabilidad por ende, sobre toda las auditorías que se realizan en las operaciones de América, Estados Unidos, Europa y Asia. Ha participado activamente en el desarrollo del Comité Auditoria en distintas empresas del Grupo, en Méjico, Italia y Argentina, así como también del “Statutory Board of Auditors” de MKK en Japón. Por su liderazgo comprometido ha sido el ejecutivo responsable de desarrollar e implementar en todo el mundo el código de conducta vigente en TENARIS, logrando que el valor de la ética y transparencia en las acciones sea el fundamento en todo el ámbito corporativo. Personalmente admiro y respeto el trabajo que hace Carlos en TENARIS, dando un rol muy proactivo a toda la integración de los conceptos de conducta, transparencia y buen gobierno. Contamos además con un panel excelente de expertos y creo que están ustedes preparados para una muy provechosa mañana. Muchas gracias Carlos Alemañy Comenzamos mencionando cuáles son los objetivos que nos planteamos para esta actividad. Todos nosotros en la División de Auditoría Interna estamos imbuidos de las regulaciones que establecen, para las compañías que cotizan sus papeles en la Bolsa de Comercio, la obligación de constituir el Comité de Auditoría antes de fin de mayo. 2 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 Ante esta situación decidimos realizar esta actividad sobre el tema de Comité de Auditoría con un enfoque orientado a definir qué hacer y en qué tiempo. Los contenidos generales de las nuevas regulaciones los suponemos suficientemente conocidos por todos los asistentes. Por ello nos proponemos focalizar este workshop sobre la idea de cómo llevar a la práctica las regulaciones existentes. A ese efecto, y para compartir esas experiencias de implementación, hemos invitado a varios expertos en el tema. Ellos son el Dr. Carlos Pace, socio de PriceWaterhouseCoopers; el Dr. Claudio Doller, socio de BDO; el Dr. Carlos Fernández Funes, socio de Ernst & Young; el Dr. Guillermo Calciati, socio de KPMG y el Dr. Oscar Ventrice, socio del Deloitte. También me acompañarán durante el evento la Dra. Liliana Cuda, Gerente de Auditoria Contable y Compliance de TENARIS y el Dr. Jorge Mantiñán, miembro de la División Auditoría Interna de IDEA. Comenzando el desarrollo del tema que nos ocupa, quisiera hacer una breve introducción diciendo que luego de los conocidos fraudes de Enron y WorldCom y otros escándalos financieros en Estados Unidos, fue sancionada, en julio de 2002, la Ley Sarbanes-Oxley. Esta Ley plantea un profundo cambio en las prácticas de corporate governance en las organizaciones. Uno de estos cambios fundamentales es el rol y las responsabilidades que pone en cabeza del Comité de Auditoría. El primer efecto que hubo en las bolsas de valores en Estados Unidos fue que las empresas, especialmente europeas y japonesas, no reaccionaron positivamente ante estas regulaciones, ejercitando una fuerte oposición a algunas de sus disposiciones. Consecuentemente, la primera gran decisión que se tomó fue separar las empresas americanas de las que, no siéndolo, estaban cotizando en la Security and Exchange Comisión (SEC) y empezar a regularlas con ciertas diferenciaciones según fueran empresas locales o las así llamadas “foreign issuers”, en la terminología de laley. Posteriormente, y motivados por los mismos problemas observados en EE UU, tanto en Europa como en Japón, se comenzó a aplicar legislación propia relacionada con muchos de los conceptos desarrollados por la ley americana. La legislación japonesa, por ejemplo, hace aproximadamente un año y medio cambió su código de comercio y ahora contempla, aunque en carácter opcional por el momento, la figura del Comité de Auditoria. Anteriormente, sólo se legislaba sobre un board de auditores estatutarios formado por tres personas. En la Argentina, el decreto 677/01 “de Transparencia de la Oferta Pública” y luego las reglamentaciones de la Comisión Nacional de Valores (CNV) y el decreto 1020 introdujeron esta temática, colocándonos en una situación similar a la observada a nivel internacional. Nosotros pensamos que todas estas experiencias, prácticas y regulaciones llegan aquí a la Argentina y no lo hacen como un mero formalismo. Creemos que éste es un cambio estructural que esta acá y que se va a quedar. Es decir, la tendencia internacional la vemos como absolutamente irreversible en esta materia. Liliana Cuda Daremos una rápida revisión a algunos conceptos relacionados con la legislación, el funcionamiento y las reuniones del Comité de Auditoría. Los miembros del Comité de Auditoría deben ser designados por el Directorio de entre sus miembros que reúnan las características de directores independientes o no-independientes en las proporciones y número oportunamente decidido por la empresa y comunicado a la CNV. Para que un director sea considerado independiente no debe tener relación de dependencia con la compañía, no debe prestar ningún tipo de servicios ni percibir remuneraciones u honorarios, ni ser miembro tampoco de un Comité de Auditoría o de un Directorio de algunas de las empresas que tienen el control de la compañía donde el comité va a ser establecido. 3 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 Otros aspectos que también requiere la legislación y algunos de los cuales ya debieron presentarse ante la CNV en mayo del año pasado están relacionados con la necesidad de que el Comité de Auditoría cuente con un charter donde se definan los lineamientos que van a regir su funcionamiento. Se le debe asignar a estos comités un presupuesto que fije el monto que podrá utilizar en el ejercicio de sus funciones, que incluye la atribución de contratar asesores para hacer efectivos determinados aspectos de su gestión. Otro requerimiento es el de contar con un plan de capacitación. Los miembros del Comité de Auditoría deben ser directores “versados” en temas empresariales, financieros o contables. Esto muestra una diferencia con algunas otros legislaciones donde se han establecido claramente cuáles son los requisitos y qué tipo de experiencias se les requieren. Aquí en la Argentina sólo se les requiere genéricamente que posean conocimientos en las áreas de competencia mencionadas. El plan de capacitación que debe desarrollar el Comité de Auditoría básicamente se refiere a aspectos de índole legal que rigen su funcionamiento, aspectos de control interno ya que es una de las tareas que debe supervisar y aspectos específicos de la operatoria de la compañía. Los lineamientos de este plan de capacitación las compañías debieron presentarlos a la CNV en mayo del año 2003. También se le requiere al Comité de Auditoría el desarrollo de un plan de actuación donde se indiquen las principales tareas o actividades que va a desarrollar para cumplir con sus objetivos. En lo que hace al funcionamiento en sí del Comité de Auditoría, existen algunos aspectos que es conveniente considerar al momento de la redacción del reglamento correspondiente. Uno de ellos está relacionado con la figura del Secretario del Comité. Y en este caso se presentan diversas alternativas. El Comité de Auditoria puede contar con un secretario específico, instruido para desarrollar esas tareas, o bien puede valerse de la figura del Secretario del Directorio. Ambas alternativas son válidas. Lo que es necesario prever es si el secretario va a formar parte de la estructura del Comité de Auditoría, ya que en caso afirmativo, deberá preverse esta situación dentro del presupuesto correspondiente. Un segundo aspecto a considerar es la designación de miembros suplentes dentro del Comité de Auditoria. En algunos casos está prevista la posibilidad que ante ausencia de algún miembro, éste pueda delegar en otro miembro la participación específica en la reunión en cuestión. Otras compañías en cambio designan previamente miembros suplentes para actuar en estas circunstancias. Otro aspecto a tener en cuenta es el de las votaciones. Al estar constituido el comité con al menos tres miembros y poder obtener el quórum por mayoría de miembros, podría ocurrir que se obtuviera el quórum con dos miembros. Es aconsejable que el reglamento provea soluciones para casos de empate en las votaciones. Una alternativa a considerar sería el otorgamiento de un voto distintivo al presidente. Por último un tema que consideramos de utilidad para el funcionamiento del Comité de Auditoria es la incorporación dentro de su agenda permanente de un punto que actúe de checklist de normas aplicable al Comité, de manera de asegurar a sus miembros que cualquier modificación legal en las regulaciones o normas que resulten aplicable y que puedan afectar su funcionamiento, son tenidas en cuenta en forma oportuna. Algunas compañías que ya tienen constituido su Comité de Auditoria por requerimiento de normas internacionales, están colocando este checklist al inicio de las agendas como una metodología habitual en cada una de las reuniones. En todos estos temas desarrollados, no hay una única receta o una única fórmula. Cada compañía deberá ir previendo soluciones prácticas en función de sus estructuras y de la operatoria específica de estos comités. Carlos Alemañy 4 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 Pasaremos revista ahora a las tareas propias del Comité y una tarea de gran complejidad es la supervisión del sistema del control interno que debe realizar el Comité de Auditoría. El sistema de control interno incluye el sistema administrativo interno contable que asegure la fiabilidad de la información de los estados financieros. Acá simplemente quisiera acotar una diferencia significativa que hay con la SEC. Este organismo establece que cada una de las sociedades cotizantes debe definir un modelo de control y sugiere el modelo COSO. Pero admite otros tipos de modelos como puede ser el Cadbury o el Coco Report. De todas maneras, lo primero que dice es: la sociedad debe medir contra un modelo de control reconocido. El modelo COSO como ustedes saben desde el punto de vista de control interno abarca los temas de eficacia y eficiencia, fiabilidad de los estados financieros y cumplimiento con las leyes y los reglamentos. Luego la SEC avanza y en el requerimiento de certificación de la sección 404 de la ley Sarbanes Oxley, establece que la sociedad debe declarar y firmar sobre el sistema de control interno de los estados financieros. Es decir, las compañías que cotizan en la SEC se limitan a la certificación del sistema de control interno de los estados financieros, y además hay una definición expresa sobre qué se entiende por sistema de control interno de los estados financieros. En la Argentina, contrariamente, el Decreto 677 no pide que la sociedad se contraponga o se mida con un modelo de control previamente definido. Ahora los especialistas nos dirán si nuestra legislación, al mencionar sólo de manera genérica al control interno no solo se está refiriendo a los controles relacionados con la preparación y emisión de información financiera y contable sino también al sistema de control interno que cubre los aspectos de compliance con las leyes y las regulaciones, y la eficacia y eficienciade las operaciones. Carlos Fernández Funes Cuando uno ve la forma en que las regulaciones se fueron modificando en el ultimo año y medio en Estados Unidos, nos damos cuenta que éste es un proceso complejo y evolutivo donde todos estamos aprendiendo, incluso los órganos reguladores. Nuestro Decreto 677/01 que en definitiva dispara la existencia del Comité de Auditoria, en su Articulo 10 tiene previsto que las entidades autorreguladas, es decir las bolsas, definan este marco de referencia. Ocurre que hasta este punto no hemos avanzado en la cuestión. Con relación al alcance de ese marco de referencia es muy probable que terminemos adoptando en la Argentina un modelo muy parecido a este informe COSO. Los americanos tienen una tendencia al uso abusivo de los acronismos. COSO quiere decir “Committee of Sponsoring Organizations”, y es una organización del senado americano que en los años 91/92, hizo una definición de este marco de referencia para clarificar de qué estamos hablando cuando nos referimos al sistema de control interno. Este no es el único modelo, hay un modelo COCO (derivado de “Criteria of Control”) en Canadá, el “Turnbull Report” en Gran Bretaña, todos ellos con conceptos muy parecidos. Lo que sí es necesario es que haya una pauta referencial. Esto es más o menos lo mismo que cuando los auditores opinan sobre el estado financiero lo hacen en base a principios de contabilidad generalmente aceptados. Entonces lo que se pretende acá es que este marco de referencia sea universalmente divulgado y conocido para que todos sepamos de qué estamos hablando cuando nos referimos al sistema de control interno. Una cuestión importante se vincula con quién es el dueño del sistema de control interno. La verdad creo que cualquiera que esté cerca de las normas y los usos y costumbres empresarios, sabe perfectamente que la responsabilidad del control interno es del management. Pero esa es también una definición muy general, es del management, de quién? Nosotros conocemos muchas empresas que piensan que el control interno es responsabilidad del Departamento de Auditoria Interna. Ahora alguno puede pensar que es responsabilidad del Comité de auditoría. Yo creo 5 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 claramente que tenemos que reflexionar sobre la idea de que ésta responsabilidad primaria que tiene el management sobre el sistema de control interno es indelegable. Lo que está sumando la nueva reglamentación son otros responsables. Y por eso es importante pensar que cuando hablamos del management no nos estamos refiriendo exclusivamente al área de auditoria interna o al área de finanzas. El sistema de control interno es responsabilidad también de todas las áreas operativas de la compañía, de las áreas de logística y de apoyo. Un vendedor, por ejemplo, puede decirnos: "Yo estoy acá para vender, no para controlar". Cuando uno le pide que se asegure que lo que vendemos lo facturamos, que lo facturado lo podamos cobrar, estamos en realidad sugiriendo que no hay un entendimiento claro de cuáles son las responsabilidades en ese sentido. Yo les aseguro que es un tema bastante más complejo que lo que uno suele aceptar, porque hasta este punto los temas de control interno son de interés y preocupación del área de finanzas, o del área de auditoria interna, o del área de organización y métodos, pero la gran diferencia está ahora en buscar un enfoque en donde el dueño del proceso sea también el dueño del control. Entonces en el área comercial el establecimiento de los objetivos de control, la identificación de los riesgos relacionados y las actividades de control que se vinculen con esos riesgos, son responsabilidad del gerente del área , y así por supuesto todo eso baja en cascada a los distintos responsables de las capas inferiores. Cada proceso tiene una serie de subprocesos, de actividades, etc. En Estados Unidos han estado trabajando fuerte y creo que inevitablemente vamos a tener que hacer a lo largo de las charlas alguna referencia a la ley Sarbanes-Oxley, porque nos está llevando un año y medio de ventaja y donde les garantizo que el poder de policía que está ejerciendo la SEC es realmente altísimo. Es de esperar que una actitud equivalente adopte la Comisión Nacional de Valores, lo que me parece que es la clave de éxito de este proceso. No vemos aún un gran nivel de conciencia de que la introducción de buenas prácticas de gobierno va a generar mayor valor a nuestras corporaciones y consecuentemente un impacto directo en el valor de la acción. Volviendo al tema de control interno, no es tan fácil entender la definición y mucho menos el proceso de implementación y el esfuerzo que requiere en términos de asignación de recursos. Una definición que impone COSO sobre el sistema de control interno lo muestra como el sistema o grupo de procedimientos y políticas diseñado y puesto en ejecución por el directorio y la gerencia de una compañía con el objetivo de brindar una seguridad razonable, no total sino razonable, con relación al cumplimiento de 3 objetivos de negocios o de los objetivos de negocios en 3 vertientes. El primero es todo lo referido a compliance, es decir necesariamente un objetivo central es cumplir con todo lo referente a leyes y regulaciones, externas e internas. La segunda cuestión se vincula con la efectividad y eficiencia en las operaciones, aspecto no siempre adecuadamente previsto en el diseño y utilización de los sistemas de control interno de las empresas. La tercer vertiente se vincula con todo lo referido a la confiabilidad del sistema de información financiera. Que es donde está haciendo foco toda la nueva normativa. Que no desprecia las dos anteriores, pero claramente centraliza el tema en la responsabilidad que tenemos en la corporación todos los jugadores con relación a lograr mayor confiabilidad en la información financiera. Si ustedes toman los colapsos económicos y los escándalos de los últimos años, todos en mayor o en menor medida se refieren o vinculan con temas de poca información o información distorsionada. Veamos ahora el rol de los auditores externos. Una diferencia que tenemos en la nueva normativa con la que está vigente en Estados Unidos es que el auditor externo, hasta acá, no tiene responsabilidad para opinar sobre el sistema de control interno, más allá de las evaluaciones que normalmente realizamos sobre ciertos aspectos de control interno para determinar la naturaleza, el alcance y la oportunidad de los procedimientos de auditoría a aplicar para validar la información contable. Esto concretamente podría significar que exista un sistema de control interno desastroso pero sin embargo tener un dictamen limpio del auditor externo sobre los estados financieros. Eso puede generar gran confusión y la verdad creo que es el cambio más 6 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 trascendente que se está haciendo en la normativa americana, que no está planteado todavía en la normativa de la resolución 400 de la CNV ni en el decreto 677. El auditor allí tiene que hacer un doble dictamen, un dictamen referido a la eficiencia y efectividad con que está operando el sistema de control interno, que es lo novedoso, y el dictamen clásico. Ahora yo les anticipo, y en esto por supuesto todavía no hay antecedentes ya que no han aparecido aún los primeros informes que requiere la sección 404 de la ley Sarbanes-Oxley, que no sé cómo va a hacer el auditor externo para calificar el sistema de control interno y emitir al mismo tiempo un dictamen limpio sobre los estados financieros. En materia de responsabilidades, la referida ley americana las ubica en las figuras del CEO y del CFO con relación a la forma que está operando el sistema de control interno, estableciendo penalidades muy pesadas en caso de incumplimiento. Penalidades que van hasta 15 años de prisión, y multas de hasta 10 o 15 millones de dólares.En nuestro medio, yo diría que hasta aquí nos estamos moviendo en un escenario que no luce como demasiado riesgoso, pero lo que quiero plantear es que, tanto el management cuanto los auditores externos, cuanto el comité de auditoria ahora en función de nuevas atribuciones y responsabilidades, vamos a asumir riesgos cada vez mayores, entonces un poco la reflexión de este punto es, si los riesgos los tenemos, ¿por qué no hacer las cosas como corresponde? Y como mensaje final por lo que implica la envergadura del tema de la reformulación del sistema de control interno, cuanto antes se aborden, creo que vamos a lograr mejores resultados y más baratos. Porque si la CNV, como debería ser esperado, hace uso del poder de policía que tiene asignado, yo creo que las empresas –que naturalmente carecen internamente de los recursos que la nueva situación requiere- tendrán que salir a contratar consultores, o buscar fórmulas para morigerar los riesgos y sino piensen ustedes en las enseñanzas de nuestra propia experiencia en la Argentina. Nosotros hablamos de los colapsos internacionales, pero acá también hemos tenido crisis graves en distintas oportunidades y que abarcaron todo tipo de empresas. Guillermo Calciati Entre los requerimientos que el decreto de transparencia de la oferta pública impone al Comité de Auditoria, se incluye la supervisión del sistema de control interno y del sistema administrativo contable, de la fiabilidad de ese sistema y de la información y otros hechos significativos que requieren ser presentados a las autoridades de control. En ese aspecto, cuando tenemos que definir este sistema administrativo contable, ante el silencio normativo nuevamente tenemos que caer en la comparación respecto a lo que se hace desde el punto de vista regulatorio en Estados Unidos. Y allí básicamente a lo que se refiere la normativa americana es al sistema que es utilizado por las compañías para capturar, procesar y resumir la información administrativo contable que termina siendo dirigida hacia el mercado de capitales. Obsérvese que en esta definición no solo se menciona información contable, información de la contabilidad, sino también hay otro tipo de información que no necesariamente es contable. Hay ciertos requerimientos de revelación que tienen tanto la normativa americana como la de nuestra CNV sobre aspectos no exactamente contables, que también deben ser puestos a disposición del mercado. Y en ese sentido, los miembros del comité de auditoria deberán ejercitar la supervisión sobre este sistema que la compañía debería de tener en vigencia para asegura que toda la información, contable y no contable, sea revelada al mercado de capitales en tiempo y en forma. Desde el punto de vista contable, los requerimientos son claramente la emisión de una memoria anual y los estados contables anuales con la información complementaria con todas sus notas. Se requieren además los estados financieros trimestrales. Pero también hay requerimientos de informar determinados hechos significativos que ocurren en la compañía, nuevas emisiones de capital o de deuda, la necesidad de incluir información en prospectos. En estos prospectos no sólo 7 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 está la información financiera, sino que también hay información de otro tipo, lo mismo ocurre con los comunicados de prensa, todo eso es lo que uno puede interpretar que está en el objetivo de este requerimiento, supervisar la fiabilidad de la información que se hace pública. Claramente hay una relación muy fuerte entre la fiabilidad de este sistema que produce esta información y la calidad del sistema de control interno. Parte de esta fiabilidad sobre el sistema de captura, procesamiento y compilación de la información, tiene que basarse en un sistema de control interno que asegure que esa información está adecuadamente capturada, adecuadamente procesada, adecuadamente resumida y presentada. ¿Quiénes serían los responsables de este sistema? La normativa local, una vez más, no es precisa en este punto. Por comparación tenemos que decir que, si el control interno es responsabilidad primaria de la gerencia, nuevamente este sistema administrativo contable que asegure la fiabilidad de esta información también es responsabilidad primaria de la gerencia. Cuando hablamos de la gerencia, en Estados Unidos es mucho mas claro, porque tenemos una clara diferenciación entre lo que es el rol del directorio y el rol del CEO y la línea gerencial. En nuestra legislación esa diferencia no es tan clara: el directorio tiene asignada muchas veces funciones ejecutivas, y en ocasiones todo el management de la compañía lo tiene el directorio, entonces tendríamos aquí un problema de roles, dado que caería sobre el Comité de Auditoria la doble (e incompatible) responsabilidad de fijar (en cuanto integrantes del directorio) este mismo sistema de control interno que a su vez también debe supervisar como parte de las responsabilidades del Comité. Claramente el Comité de Auditoria tendría que estar separado de toda instancia de gestión sobre el sistema de control interno, ya que su rol principal es supervisarlo. Entonces desde mi perspectiva por lo menos este rol le corresponde a las personas que llevan adelante la operación, sea de el presidente del directorio, o un gerente general. Esa es la persona que tendría que tener la responsabilidad primaria sobre este sistema de información. ¿Cuál sería el rol del comité? El rol del comité sería asegurarse que este sistema sea efectivo, sea capaz de capturar toda la información, procesarla y presentarla en tiempo y forma. Aparece también aquí la figura del auditor interno y del auditor externo y cual serían sus roles respecto de este sistema. La figura del auditor interno es una figura que uno debería asociarla como perteneciente al sistema de control interno. Parte de su rol es asegurar que este sistema de control interno esté funcionando de acuerdo a como fue diseñado. Y el rol del auditor externo, es básicamente emitir una opinión que, en la Argentina y por ahora, se limita a la razonabilidad de la información que la compañía presenta. Yo no descarto que en el futuro debamos certificar u opinar ademas sobre la razonabilidad o efectividad del control interno. Pero al presente el auditor externo sólo efectúa evaluaciones sobre el sistema de control interno para emitir su opinión, sobre la razonabilidad de la información contable. Al momento de formular conclusiones respecto de este sistema de control interno, el Comité de Auditoría seguramente utilizará la información que brinde el auditor externo, que ha revisado y evaluado la fiabilidad de este sistema para producir por lo menos estados contables. Tendría que consultar además al auditor interno, que también ha revisado este sistema como parte de su trabajo, y tendrá también que preguntarle a la gerencia que es responsable primario del diseño y funcionamiento del sistema, todo ello entre otros aspectos a considerar al momento de formarse opiniones respecto a este sistema de información. Para asegurarse que esta información que se presenta al público sea confiable el Comité de Auditoría debería requerir de la Gerencia que tenga políticas y procedimientos que implementen este sistema, que identifiquen y designen un responsable de conocer la normativa regulatoria. Esto podría ser la figura de un oficial de cumplimiento, un compliance officer, encargado de asegurarle a la gerencia la integridad de normativa aplicable, fechas recurrentes de cumplimiento y el catálogo de posibles eventos que, si suceden, deben ser hechos públicos en 24, 48 horas, el 8 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 tiempo que la regulación requiera. Que coordine, difunda y entrene a los responsables de área sobre naturaleza y oportunidad de la información operativa requerida. En lugar de tener esta figuraunipersonal del compliance officer, existe la alternativa del “Disclosure Committee” presente en la normativa americana. Ya no es solo una función unipersonal, sino colegiada formada con distintos representantes de la compañía donde claramente la figura del compliance officer podría estar, pero también tendría que estar la figura de ese representante que tiene contacto con los inversionistas, claramente podría estar el CFO, podrá estar el representante de cada área operativa, donde este comité es el responsable de identificar y requerir a todos los sectores (mediante checklists, etc) la información que tiene que ser hecha pública en tiempo y forma y de asegurar que toda esa información sea capturada, enviada a ellos, analizada por ellos, revisada por ellos y que ellos decidan y realizan la comunicación de la misma a las autoridades de contralor. Si este comité existiera, y estas políticas existieran, seria también parte del rol del auditor interno asegurar que esto, como parte del sistema de control interno y, más específicamente, del sistema de emisión de información confiable y oportuna, esté funcionamiento adecuadamente. Con todo este esquema en juego, el Comité de Auditoria tendría este procedimiento aplicable, tendría la revisión del auditor interno sobre este procedimiento, tendría conversaciones con la gerencia sobre este procedimiento, y con el auditor externo sobre el resultado de sus revisiones y así tendríamos a un Comité de Auditoria con suficiente evidencia para poder concluir con esta responsabilidad sobre la emisión de información al mercado. Lo mismo sucedería con la evaluación del sistema de control interno en general, como tampoco está claro qué criterio va a utilizarse para decir que un control interno es efectivo o no, y eso el Comité de Auditoria, si no es reglamentado desde la CNV, tendrá que auto elegir un criterio contra el que la compañía pueda compararse y poder emitir su conclusión de que la compañía tiene o no un control interno efectivo. Y distintas técnicas de evaluación podrán ser usadas, pero todas estas técnicas de evaluación las va a tener que hacer la gerencia, a través de auto evaluaciones, o algunos otro mecanismo para generar la propia evaluación del control interno. Tendrá que también basarse en el trabajo de la auditoria interna como un cuerpo importante para supervisar el funcionamiento de este control interno, y también basarse en el trabajo del auditor externo donde también revisa el control interno como parte de su misión importante que es dictaminar sobre los estados financieros. Con respecto a la exteriorización de este trabajo del Comité de Auditoría, el requerimiento es que se emita un informe anual donde declare lo actuado. Hasta ahora no hay modelos todavía disponibles para que este Comité tenga y utilice a esos efectos, pero claramente va a tener que hacer referencia en este informe a qué evaluaciones ha hecho sobre el control interno, cómo lo ha supervisado, cómo ha supervisado la emisión de información financiera y no financiera en tiempo y forma. Para eso tendrá que declarar todo el trabajo que ha hecho y básicamente lo que va a tener que hacer es suministrar información de que usó el sistema de evaluación gerencial, usó el sistema de revisión y alcance incluidos en el plan de auditoría interna y también la información que haya sido suministrada por el auditor externo. Carlos Fernandez Funes Quiero agregar dos puntos. Uno referido a la responsabilidad del Comité de Auditoría de emitir un informe anual. Acá creo que hay un vacío importantísimo, que es el informe que debería preparar el management. Incluso, dentro de las normas que estaban en evaluación en la CNV estaba previsto una certificación del CEO, máximo responsable de la compañía con relación a estos puntos. Es que no parece demasiado entendible que la responsabilidad del “reporting” la tenga el Comité de Auditoría y no la tenga el management, que es en realidad el responsable primario. 9 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 La segunda cuestión se vincula con el tema de la documentación y en tal sentido les aclaro que procedimiento no documentado equivale a procedimiento no existente. Cuando hablamos del control interno esto tiene que ser abordado de una forma sistémica, metodológica, no se puede pensar que nos vamos a manejar exclusivamente con los manuales de política y procedimientos que tenemos vigentes en este momento en la compañía. El proceso de documentación es vital a los efectos de poder hacer una evaluación posterior de la efectividad con que esta operando el sistema. Pero lo que ha cambiado ahora es la forma documentar, porque al cambiar el foco y centralizarnos en las cuestiones de riesgos y controles asociados, la forma en que documento tiene que ser distinta. Por supuesto creo que todos nosotros hemos visto alguna vez un manual de procedimientos, un manual de funciones y responsabilidades, pero en general se refieren a cuestiones descriptivas acerca de cómo desarrollar la tarea. Ahora la documentación tiene que ser abordada de la misma manera que lo hacemos con la evaluación, esto es no con el clásico enfoque departamental que se utilizaba en el pasado, sino con un sistema de abordaje por procesos, es decir, un sistema de workflow. Si nos estamos refiriendo, por ejemplo, al ciclo de procurement, estaremos documentando el flujo de actividades asociadas a ese ciclo, a medida que atraviesan en forma transversal los distintos departamentos funcionales. Con esto lo que digo es la documentación tiene que contener los objetivos de control específicos para cada ciclo, subciclo, y adicionalmente una identificación de cuáles son los riesgos asociados, que es la contracara del objetivo de control. Es decir, el riesgo radica en que no se cumpla el objetivo. Inmediatamente después tenemos que abordar todo lo referente a las actividades de control para mitigarlo. Insisto en que el tema de documentación es importantísimo. ¿Por qué? Porque después viene el proceso de evaluación. Cuando nosotros estamos evaluando el control interno pueden haber deficiencias de diseño o de operación. Es decir, la deficiencia de diseño son aquellas cosas mal hechas, consecuentemente, no necesito efectuar tests de cumplimiento que no harán más que confirmar el mal diseño. Pero sí puede ocurrir que algo que está bien diseñado esté operando mal en la práctica. Entonces, si nosotros no tenemos una adecuada documentación, si no tenemos una buena comparación con lo que se llama “mejores prácticas”, es muy difícil llegar al punto final, que es la conclusión sobre la efectividad de ese proceso o de ese punto de control dentro del proceso. Conclusión que insisto, hoy por hoy le cabe exclusivamente al Comité de Auditoría pero a mí me parece que rápidamente se va a extender como me parece indispensable, a los ejecutivos principales de la compañía. Carlos Alemañy Pasemos ahora a otro tema también muy importante, que es la supervisión que tiene que realizar el Comité de Auditoría sobre la aplicación de políticas en materia de información sobre riesgos. Probablemente los procesos de manejo de riesgos no están muy desarrollados en nuestras empresas. No es frecuente en nuestro medio encontrar la figura del Chief Risk Officer. Tampoco son frecuentes los sistemas integrados de evaluación de riesgos. Lo que sí es más o menos común es que los riesgos más importantes en cada uno de los procesos de negocio son conocidos por cada uno de los responsables que manejan esos procesos, quienes tratan de tenerlos razonablemente acotados. Como se dijo recientemente, la gran novedad ahora es que todo esto lo tenemos que tener documentado, entonces hay que pensar cómo documentar en forma sistemática todo el proceso del manejo de la gestión de riesgos. Probablemente, las empresas bancarias están mucho más avanzadas que las empresas industriales en esta materia. Los especialistasnos ilustrarán sobre estos aspectos. Claudio Doller Nos vamos a centrar en describir cómo un esquema de medición y administración de riesgos puede ayudar a la función de Comité de Auditoría. Tanto en la Superintendencia a nivel de bancos 10 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 como la CNV en Argentina, plantean esquemas de supervisión mixta. El sistema de supervisión mixta significa que se van a apoyar en parte de la tarea que haga el Comité de Auditoria con el soporte de la auditoría interna, la auditoría externa y el management. Ahora, apoyarse significa que están contando que determinadas cosas se van hacer de acuerdo a las reglas del arte. Si eso no se hace de esa manera las superintendencias en general, toman acciones más fuertes y más concretas. Respecto del tema de metodologías para medir el riesgo, yo puedo aportar la experiencia de haber integrado el Comité de Auditoría de un banco porque en Argentina los bancos hicieron punta en esto en el último lustro de la década pasada. Siguiendo las recomendaciones del Comité de Basilea, los bancos llevan la delantera en lo que es la medición de riesgos, acicateados por el riesgo crediticio y de descalce financiero, propios de la operatoria bancaria. Básicamente, un esquema de medición de riesgo tiene que ver con distintos tipos de riesgos, y con la probabilidad e impacto de esos riesgos. Nosotros entendemos que estas herramientas de medición de riesgo son justamente las herramientas unificadoras que le permiten al Comité de Auditoría asegurarse que no hayan aspectos materiales fuera de su alcance o que no hayan quedado sin ser adecuadamente documentados. En sentido contrario, nos parece que sin un esquema global de administración de riesgos se le hará muy complicado al Comité de Auditoria documentar ordenadamente su actuación. En lo que es estándar, básicamente los tres o cuatro estándares que existen a nivel mundial versan sobre lo mismo, y la realidad es que cuando se evalúan probabilidad se debe observar cuántas veces el riesgo en cuestión se materializó derivándose de allí las probabilidades de ocurrencia futura. Y cuanto al impacto, se trata de medir el quebranto o perjuicio en términos financieros, de imagen, etc en caso que el riesgo se verificara en la realidad. De eso sale un “rate”, que nos dirá si ese riesgo puede ser un riesgo alto, puede ser un riesgo medio o un riesgo bajo. Entiendo que los Comités de Auditoría en EE UU, que siguen los lineamientos de la nueva normativa, tienden a promover en las empresas medidas tendientes a minimizar riesgos de negocio. Pero debemos decir que un sistema de administración de riesgo no necesariamente requiere minimizar los riesgos, sino administrarlos de determinada forma, porque en general la minimización de riesgos viene aparejada con menor rentabilidad para las compañías. Lo que pretenden las superintendencias y los organismos de control que exista un equilibrio entre el riesgo que se asume y la rentabilidad que se espera por parte del management o por parte de los accionistas. Los grandes casos de quiebras tuvieron que ver, justamente, con desbalanceos en este tema. Creo que lo que se pretende es que haya un esquema que posibilite que todos estos riesgos estén administrados y controlados satistactoriamente, no necesariamente minimizados. ¿En qué se pueden basar nuestros comités de auditoría en materia de administración de riesgos? Ciertamente no debería ejercer la tarea “desde cero”, es decir sin ninguna base previa. Y ello es así porque las empresas tienen o debieran tener tres actores importantes que hacen su propia medición de riesgos. Uno es el propio management, otro es Auditoría Interna y otro es Auditoría Externa. El Comité de Auditoría tiene que basarse en los riesgos que miden cada uno de estos actores. Algo que me parece importante es que, en la función del Comité de Auditoría, lo que no se hizo en determinado momento del año, sea con motivo de los balances trimestrales, o de los cierres anuales, en la planificación de la auditoria externa, en la planificación de la auditoría interna, lo que no se hace en el momento oportuno y no se valida de inmediato, no se puede hacer más. Porque después se genera un proceso continuo con actores que tienen distintos objetivos a los del Comité de Auditoría pero de los cuales el Comité de Auditoría necesita nutrirse de información y tareas de soporte. 11 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 Les decía que, de los riesgos medidos por auditoría interna, auditoría externa y el management, el Comité de Auditoria tiene que opinar y nutrirse. Pero después, probablemente, esto sea en el 70 u 80% de los riesgos que existen en una compañía para la función del Comité de Auditoría. Hay otros riesgos que tienen que ver exclusivamente con la función del Comité de Auditoría. Por ejemplo, qué firma de auditoría externa elegirá la compañía? Conoce el Comité adecuadamente a las firmas que operan en ese mercado profesional? Qué recursos requiere la auditoría interna para cumplir adecuadamente su función? El plan de la auditoría interna incluye todos los procesos y controles críticos de la compañía? Todos estos interrogantes y algunos más presuponen riesgos que el comité debe administrar y documentar formalmente. Respecto del tipo de riesgos, existe una tendencia a centrarnos en los llamados riesgos operativos que tienen que ver con los procesos administrativos. Pero yo les quiero puntualizar que existen prácticas, sobretodo en las compañías multinacionales, de identificar y medir riesgos por ejemplo en el área de RR.HH. donde se cuestiona si se ha identificado al personal clave de la empresa, si existe una matriz de reemplazo, etc. Son riesgos que el Comité de Auditoría no debería dejar de tener en cuenta si la compañía los está aplicando o no. Es cierto que en muchas de las compañías argentinas, estas hoy no son prácticas comunes. Lo que el Comité de Auditoría, debería marcar es si se están administrando riesgos como los ejemplificados, y si no es así, debería documentarlo adecuadamente, pues de lo contrario claramente incurriría en un incumplimiento de su función y ésta es una novedad importante que trae la implementación de Comités de Auditoría. Otro de los temas que me parece importante, desde el punto de vista de metodología de riesgo es que no necesariamente una compañía tiene que minimizar o eliminar el riesgo. ¿Para qué está el Comité de Auditoría? Para que el riesgo sea administrado. Administrar riesgo puede ser por ejemplo, como hacen las compañias de seguro, transferirlo via el reaseguro en otra aseguradora. El Comité de Auditoría también habrá cumplido su función si, observando y puntualizando la existencia de un determinado riesgo, la empresa toma la decisión de asumirlo en su estado actual sin tomar acción alguna para mitigarlo. Es decir, si la compañia asume que quiere tener un cierto nivel de riesgo en determinado proceso donde ese mayor riesgo implica mayor rentabilidad, lo que puede hacer el Comité de Auditoría en tanto no incumpla normas regulatorias, es acompañarlo, monitorear su desarrollo futuro y, por sobre todas las cosas, documentar todo lo actuado. Vuelvo sobre el esquema de supervisión mixta, que les mencioné al principio. Acá en la Argentina, observamos la experiencia de las empresas que cotizan monedas o granos a término, que ya desde hace un año y medio tienen que presentar informes a la CNV sobre sus esquemas de administración de riesgos. Estos son informes que los hace un estudio de auditoría externa y que se hacen en forma de periodicidad anual. El organismo de contralor, más que informarse sobre los riesgos que se habían detectado, busca evaluar de qué manera cada uno de los actores estaban administrando esos riesgos, con qué metodología, con qué profundidad. Si se observa una empresa donde todos los riesgos son rojos obviamente elloestá mostrando, o bien una altísima rentabilidad o graves problemas de operación a futuro. En general todas las empresas se encuentran entre el amarillo y el verde en el tema de riesgos, o sea se espera que sean riesgos medios a riesgos mínimos. Ahora, lo que se mide, y por eso es que quiero decirles que éste es un proceso continuo y que las superintendencias los van viendo a través de los años, qué se hizo con estos riesgos. Porque los riesgos que estaban en rojo van pasando a amarillo y verde en general. Y surgen nuevos riesgos porque la dinámica del negocio tiene que ver con eso. Para las compañías no asumir riesgos equivale a no operar. El riesgo está implícito en el negocio. Lo que creo que es una herramienta a nuestro juicio fundamental y unificadora de la función del Comité de Auditoría es de qué manera documenta y administra esa medición de riesgo por parte de cada sector. 12 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 Finalmente, les menciono que en las implementaciones de esquemas de riesgos a nivel global, se procuran esquemas de “Self Assessment”, donde cada área de la organización, y no un consultor o auditor externo, sea el que mida el riesgo. Al hablar de cada área, pienso en quién otorga créditos, quién registra contablemente, y muchas veces tienen partidas pendientes de imputación en forma continua, quién concilia un banco, o sea, que cada área a través de su responsable sea el que en cada uno de los procesos que generan riesgos desde el punto de vista de los estados financieros y del punto de vista de continuidad operativa de la compañía emita su evaluación de riesgo y que de alguna manera esa evaluación de riesgo vaya en forma piramidal subiendo por la cadena del management hasta el Comité de Auditoría. Nosotros no recomendamos que sea un agente externo a la organización el que mida el riesgo de cada uno de los sectores. Creo que el mejor ejercicio en esto es que sea la propia empresa que lo haga y si algún organismo de control así lo requiera, sea un externo el que emita una opinión sobre la razonabilidad o efectividad del sistema. Carlos Pace Quería complementar la exposición anterior, comentando que el rol del Comité de Auditoria es supervisar y no gestionar riesgos. Obviamente es claro que si la administración de riesgos que hace la sociedad está claramente definida, claramente documentada y controlada, el trabajo del Comité de Auditoría es mucho más fácil. Si, como generalmente ocurre hoy en las empresas, los procesos están dispersos en las distintas áreas de la organización, esa función de unir estos controles individuales va a ser mucho más complicada. En este proceso de control de los riesgos hay distintas etapas y creo que el avance en cada una de estas etapas es muy diferente en las compañías hoy. La primera etapa, no hay duda, es hacer un mapeo de los riesgos, es decir, tomar conciencia de cuáles son los riesgos que tiene la sociedad. Aquí no hay duda que, por nuestra experiencia, la gerencia conoce los riesgos. Sabe a qué riesgos está expuesta la empresa. El gap que existe con la normativa actual es que normalmente ese mapa “informal” no está documentado. No hay un instrumento único que consolide los riesgos que tiene la compañía. Creo que aquí el tema del desvío con la norma es un problema de documentación. ¿Por qué? Porque realmente hay percepción y clara identificación de los riesgos, tanto de negocio como operativos. La segunda etapa es ya documentar lo que sería una matriz de riesgo. Esa matriz de riesgo, qué es lo que tiene? Tiene el riesgo identificado, tiene la descripción, el impacto que puede tener, alto, medio o bajo, la probabilidad de ocurrencia, cuál es el control mitigante que existe en la compañía para minimizar ese riesgo y cuál es el riesgo residual. Esta matriz de riesgo, normalmente no existe desde el punto de vista de una información consolidada. En los casos en que estamos viendo empresas que lo están generando, la actividad que tienen es, primero instrumentar ciertos procedimientos que hoy están implícitos en la administración pero que no existe una clara documentación de quién es el responsable o cómo se debe hacer ese control. Este es uno de los aspectos que está surgiendo en el caso de empezar a generar esta matriz de riesgo. El paso siguiente de este procedimiento de manejo de control de riesgo es que si queremos tener un control estático o dinámico. Si nos quedamos en la matriz de riesgo vamos a tener fotos a distintos momentos. Cómo evaluamos el manejo que se hace de los riesgos en cada instancia. Si tenemos que pasar a una instancia dinámica, y hay algunas sociedades que están empezando a armar sets de indicadores de alerta que puedan darle elementos a quien tiene la función de supervisar, de ir a verificar y monitorear aspectos que se pueden estar debilitando, procedimientos o riesgos que no se están controlando adecuadamente. Creo que ese es el paso que hoy no vemos que se esté dando y que sería una herramienta muy útil para el Comité de Auditoría. Si el Comité de Auditoría tiene un claro mapeo de los riesgos, una clara matriz de riesgos y controles y un set de indicadores de alerta que de alguna forma me puede indicar que 13 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 ese riesgo está creciendo en el nivel de exposición o de pasar de ser un riesgo potencial a un riesgo real, su función de supervisión será mucho más fácil. Como conclusión, creo que cuánto más informal y descentralizado sea el control de riesgos, mayor dificultad va a tener el Comité de Auditoría para controlarlo y mayor va a ser el riesgo que está asumiendo. En el momento que tenga que demostrar cómo hizo para supervisar ese control de riesgo que hace la sociedad, va a ser difícil que lo pueda hacer. Si nos ponemos en el otro extremo, con un control de riesgos centralizado, claramente documentado, el trabajo del Comité de Auditoría se hace mucho más fácil y va a ser mucho más fácil demostrar qué es lo que hizo para controlar cómo la sociedad maneja los riesgos. Carlos Alemañy Pasamos ahora a otro tema que es la supervisión que debe ejercer el Comité de Auditoría sobre todo aquello que se refiere a las transacciones con partes relacionadas, y emitir una opinión respecto a las mismas. Es el decreto de “transparencia” 677/01 que establece esta obligación y el decreto 1020, el que define qué es una transacción relevante, diciendo que son aquellas que superan el 1% del patrimonio neto y son superiores a los 300 mil pesos. Algunas empresas ya están trabajando sobre esto, algunas están estableciendo procedimientos claros, están estableciendo pequeñas oficinas o una unidad que registre este tipo de transacciones y también se están definiendo procedimientos que deben regular todas estas transacciones. En el caso de corporaciones grandes, un punto clave lo constituyen los procedimientos de comunicación que aseguren que todos los sectores relevantes de la organización estén informados de qué deben reportar para su evaluación. También sobre este punto recogeremos ahora la opinión del panel de especialistas. Oscar Ventrice Dentro de las responsabilidades del Comité de Auditoría sobre asuntos específicos a informar se incluyen aquellas relativas a las operaciones con partes relacionadas y a la existencia real o presunta de conflictos de intereses en la sociedad. El marco regulatorio de estas reglamentaciones lo configuran el decreto 677 del 2001, las normas complementarias de la CNV, 400 y 401 y últimamente la Resolución Técnica N° 21 de la Federación Argentina del Consejo Profesional de Ciencias Económicas. El artículo 15 del decreto 677 dice que el Comité debe emitir opinión fundada respecto de las operaciones con partes relacionadas en los casos establecidos en este decreto. Por su parte, el art. 73 especifica qué es una parte relacionada. También indica este decretoque el Comité de Auditoría debe emitir opinión fundada cuando considere que existe conflicto de intereses en algunas operaciones realizadas por la sociedad. La resolución 400 en su art. 16, indica que el Comité debe dar a publicidad este tipo de operaciones que mencionaba anteriormente y también estipula que para aquellos casos que existan operaciones que son reiterativas, el Comité puede dar opinión de tipo genérico pero limitada a una vigencia no mayor a un año o a la iniciación de un nuevo ejercicio económico. ¿Qué se considera una parte relacionada para la Resolución Técnica 21 de la Federación? Una parte está relacionada con otra si una de ellas puede ejercer control. En este caso puede ser control accionario o puede ejercer influencias significativas sobre la otra parte cuando esta otra tome decisiones operativas o financieras. Ligado con esto podemos definir qué es una operación o 14 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 una transacción con parte relacionada. Sería toda transacción de la cual haya una transferencia de recursos y obligaciones, sea a título gratuito u oneroso entre partes relacionadas. En el caso de la oferta pública, el art. 73 del decreto 677, estipula claramente qué son las personas relacionadas. Y dice que son los directores de la sociedad, los síndicos, los gerentes generales o especiales en los cuales se cumple el Art. 270 de la Ley de Sociedades Comerciales, los miembros del Consejo de Vigilancia, las personas que tengan control efectivo sobre la sociedad, y esto se define con el 35% de la tenencia accionaría (en algunos casos podría ser menos si su tenencia accionaria le permite nombrar uno o más directores), o por un convenio con otros accionistas que le permite ejercer ese control. También dice que otra sociedad bajo control común del mismo controlante sería una parte relacionada. Los ascendientes, los descendientes, los cónyuges y los hermanos de las personas físicas, en los dos primeros casos que mencioné anteriormente, y las sociedades en las que cualquiera de las 4 personas físicas o jurídicas mencionadas anteriormente, posean directa o indirectamente participaciones significativas. Este es uno de los puntos más importantes, porque para determinar exactamente quién es una persona relacionada será muy fácil con un director, será muy fácil con el Síndico, con el Comité de Vigilancia, pero cuando entramos en los ascendientes o los descendientes en diversos grados de consanguinidad o afinidad el tema se nos complica. La Resolución Técnica 21 agregar un matiz (en la forma de requerimientos de exposición contable) al incluir también a los concubinos y a los hijos de los concubinos, avanzando un poco más allá de lo que está mencionando el decreto 677. Cuál es el monto relevante por encima del cual el Comité de Auditoría deberían emitir la opinión. En este caso, la Resolución habla del 1% del patrimonio social sobre el último balance aprobado de la sociedad siempre que este acto o contrato supere los 300 mil pesos. En cuanto al procedimiento a seguir, el directorio ante la presencia de una transacción con parte relacionada debería solicitar el pronunciamiento, la opinión al Comité de Auditoría sobre si la operación se está realizando dentro de las condiciones habituales o de mercado. El Comité de Auditoría tiene cinco días para expedirse o emitir su opinión. La sociedad también podría cumplir este procedimiento contratando a dos especialistas, o dos valuadores o peritos valuadores que den su opinión sobre la transacción a la que se refiere la operación. Luego que se obtiene el informe del Comité de Auditoría o de los dos peritos independientes contratados en su caso, esto debe ser informado a la CNV como hecho relevante, según lo definido en el artículo 5 del decreto 677. Hay un caso que es probable que pueda suceder, es que esta operación tenga relación con algún operador del extranjero, quien debería poner a disposición de la sociedad toda la documentación que presentó en su caso a algún organismo regulador del extranjero. Siguiendo con la tramitación de la parte de la operación relacionada, cuando se vote en el directorio, en el Acta de Directorio debe quedar el voto de cada uno de los directores. Si las condiciones de la operación no han sido calificadas como de condiciones normales de mercado debe ser sometida a la previa aprobación de la Asamblea. ¿Cómo se deben exponer estas operaciones? La sociedad debería incluir una nota, el Comité de Auditoría debería verificar que la nota exista y que detalle adecuadamente la naturaleza de la operación, con quién se efectuó la operación y los montos relacionados. Desarrollaremos a continuación el tema del conflicto de intereses. También está tratado en el decreto 677 (artículo 15, en su inciso d), que dice que el Comité de Auditoría debe informar todas aquellas operaciones donde existan conflictos de intereses entre las partes o con accionistas 15 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 controlantes o cuando se crea que hubo un conflicto de interés en la operación que se ha realizado. Esto debe ser informado inmediatamente de conocido o dentro de los plazos que indica la resolución respectiva. ¿Cuáles son los casos de conflicto de interés? Yo creo que el incumplimiento de la Ley de Sociedades en algunos de los artículos que voy a mencionar seguidamente conformarían un conflicto de interés. Con esto quiero decir que hay cosas que ya estaban escritas hace muchos años y ahora lo único que se hace es darle más formalidad, más responsabilidad a un órgano de la sociedad para que firme y dé su opinión sobre estas transacciones. El artículo 261 de la Ley de Sociedades Comerciales dice que se prohíbe al director contratar con la sociedad salvo que se efectúe en las condicione del mercado. Para esto, si no se reúne las condiciones de mercado, la operación debe ser sometida a aprobación del directorio y luego darse cuenta a la asamblea. Nótese que hasta antes del decreto 677, si la asamblea de accionistas no aprobaba la operación, tendría problemas el directorio porque la misma sería nula y sería responsable por la operación si ella trajo alguna consecuencia económica a la sociedad. Otro artículo de la mencionada ley que trata sobre conflicto de intereses es el 272 que es el que dice que cuando un director tiene interés contrario a una operación que va a tratar el directorio debe comunicarlo al directorio, a los síndicos y abstenerse de deliberar en esa reunión. Por último, el artículo 273 establece que el director no puede competir directa o indirectamente con la sociedad en una o más operaciones, excepto que lo autorice la asamblea. En todos estos casos, el Comité de Auditoría debe investigar todas las operaciones que se le refieren como que hubo o puede haber conflictos de intereses y dar a publicidad sus opiniones, tanto en el caso que se compruebe el conflicto de intereses como inclusive si considera que hay dudas sobre la existencia del mismo. Carlos Pace Veamos cómo se están organizando las empresas para cumplir con estas nuevas responsabilidades cuando se opera o busca operar con partes vinculadas. Lo que se agrega ahora es un órgano como el Comité de Auditoría que tiene que bregar por su cumplimiento. Dependiendo de la magnitud del tipo de transacción, cantidad de transacciones societarias que tenga, las empresas están reaccionando de diferentes formas. Suponiendo un caso extremo, en que estas transacciones son complejas y de gran volumen, se están organizando áreas que tienen la responsabilidad de velar por este cumplimiento. Estas áreas están definiendo claramente dos objetivos. Uno es velar por la integridad de las transacciones, es decir que tiene que tener procedimientos que aseguren que todas las transacciones con partes relacionadas les sea informada a esta área. El otro objetivo que se le plantea es realizarun análisis de la documentación que respalda la decisión de cada transacción. Y acá entramos en un tema que es más objetivo. Qué tipo de información tenemos que requerir para poder concluir que es una transacción que se hizo entre partes independientes. Si la transacción es de un producto que tiene una cotización clara en el mercado y transparente, es muy fácil. Teniendo distintas cotizaciones se obtiene esa conclusión rápidamente. Tratemos de ver cómo se pueden analizar los casos más complejos. Y acá creo que es importante definir claramente cuáles son los criterios de decisión. Si el criterio de decisión pasa por un aspecto de calidad, pasa por un aspecto de precio, o por un aspecto de capacidad, entrega o generación del volumen requerido, ese va a ser el centro del análisis comparativo con otras alternativas. Sería importante definir primero cuál es el criterio de selección de una u otra alternativa. Una vez que ese criterio esté definido, la propia área que decidió esa transacción es la que tiene que justificar por qué las condiciones que se están contratando son como entre partes 16 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 independientes. Esta nueva área lo que va a hacer es validar esa información con las otras alternativas que existían y será la encargada de elevar al Comité de Auditoría los casos en donde éste necesite intervenir y aprobar. Es deseable que todo este proceso esté gobernado por un procedimiento adecuadamente comunicado a toda la organización, de modo que todos los sectores se familiaricen con la noción de “partes relacionadas” y puedan identificar claramente, cuando están en presencia de una operación de este tipo, si es una operación relevante y sepan qué tramite darle dentro de la empresa. Si la información no fluye y no llega a esta nueva área especializada en el tema, obviamente se van a perder en el camino transacciones que deberían ser controladas por el Comité de Auditoría. Dos aspectos complementarios pero importantes de puntualizar son: el control sobre los vencimientos de los contratos y sobre sus extensiones o modificaciones. El área especializada en “partes relacionadas” tiene que tener un seguimiento de la duración de los contratos y estar alerta a su vencimiento y renovación así como a sus modificaciones y sus extensiones. Obviamente uno puede cambiar la condición evaluada en su momento a través de modificaciones posteriores, o extensión de períodos que hacen que una operación que no era relevante, si sumamos las extensiones, sí lo sea. Es aplicable también aquí el comentario que hice antes para el control de riesgos. Cuanto mejor sea el control que haga la sociedad sobre estas transacciones, tanto más fácil va a ser el trabajo y menor la responsabilidad del Comité de Auditoría. Carlos Alemañy Vamos a abordar el tema de la supervisión que el Comité de Auditoria tiene que hacer sobre la auditoria externa e interna. Respecto de la auditoria interna yo quiero adelantar que en mi opinión su rol dentro de las organizaciones cambia total y absolutamente con respecto al pasado. ¿Por qué? Por que la auditoria interna ahora tiene nuevas responsabilidades y, por ejemplo, todo lo que está relacionado con el sistema de control interno de los estados contables que en el pasado era un campo prácticamente exclusivo de los auditores externos, ahora todas las áreas de auditoria interna, entiendo yo, deberían ocuparse fuertemente de este tema y creo que además están en una posición ideal para hacerlo por el conocimiento de la sociedad y por el conocimiento de los sistemas que ellos aplican. Otro tema es el área de compliance. Donde no lo tenga, la auditoría interna tendrá que desarrollar un área de auditoría de compliance, que reasegure que todas estas prescripciones, reglamentaciones que tenemos que cumplir, realmente se estén cumpliendo. Otro tema que también juega para el nuevo rol de la auditoria interna es el de un control self assessment, o sea, un auto evaluación de controles y ahí creo que también la auditoría interna tiene un rol fundamental como facilitador de esos procesos. Quisiera formular ciertas aclaraciones sobre el tema de las responsabilidades. Se dijo repetidamente que los sistemas de control interno eran responsabilidad del management y, en mi opinión, lo que hace la auditoria interna es reasegurar el sistema, es decir, quien debe realmente garantizar que el sistema de control interno esté funcionando es el management. Y quien lo reasegura es la auditoria interna, y la auditoria externa que lo evalúa. Por último, otro rol que también me parece muy importante que la auditoria interna desarrolle es todo lo relacionado con fraudes. El tema fraudes en el pasado, era algo quizá lejano a los auditores, o quizás en algunas corporaciones grandes estaba en el área de seguridad, pero yo realmente creo que la auditoria interna está en una posición excepcional para asumir este rol 17 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 referido en todo aquello que hace a los sistemas y a lo que hace al ámbito administrativo y dentro del perímetro de la empresa. Obviamente lo que está, o lo que haya que hacer fuera del perímetro de la empresa es un tema de seguridad, pero el área de fraudes en particular, me parece que es también una disciplina donde los auditores internos debemos desarrollarnos fuertemente. En cuanto a la relación con el auditor externo, los nuevos requerimientos de la profesión crean más y más condiciones para realizar un trabajo en conjunto, un trabajo coordinado, en donde en muchos casos el auditor externo se va a basar en el trabajo del auditor interno. Claudio Doller Comité de Auditoría y Auditoría Interna. Para iniciar el tema me parece interesante puntualizar sobre qué aspectos del trabajo del auditor interno el Comité de Auditoria podría ir ejerciendo una supervisión ordenada, que le permita ir de lo general a lo particular para poder evaluar el desempeño del auditor interno y, si el auditor interno está trabajando adecuadamente, para poder basarse en su función para cumplir con los propios objetivos que tiene planteado el Comité de Auditoría. Una primer área a supervisar es la matriz de riesgo de la auditoria interna. Esta matriz implica para la auditoría interna haber evaluado los distintos procesos de negocio, definido cuáles son los más riesgosos o más significativos desde el punto de vista del negocio y centrar las funciones del control de auditoria interna sobre estos procesos. Obviamente que si auditoria interna hace este análisis, el Comité de Auditoria debería supervisarlo y, por qué no, nutrirse de este análisis con el cual puede coincidir o no. Este proceso de revisión y cuestionamiento puede ser muy enriquecedor tanto para el Comité como para la auditoría interna. En una matriz de riesgo muchas veces no solo son importantes los saldos más grandes en el balance, las transacciones más significativas, o donde haya mayor probabilidad de fraudes, o aspectos de nuestros procesos que nos diferencian con la competencia. También deben merecer mucha atención desde la perspectiva del análisis del riesgo aquellas áreas donde hay mucha rotación de personal, áreas donde no hay gente experta desarrollando los trabajos, suelen ser áreas que quizá para el negocio no serían normalmente riesgosas, pero que se tornan riesgosas por la falta de aptitud de la gente que está ejerciendo esas funciones dentro de la compañía. Entonces existiendo la matriz de riesgo, debería alinearse con ella el plan de auditoria interna. Este plan de auditoria interna obviamente debería destinar mayor cantidad de recursos a aquellas áreas que aparezcan como más riesgosas en el propio. Ahí vuelve el tema de la interacción entre el Comité de Auditoría y la auditoria interna, en el sentido que el Comité puede basarse y confiar en los controles de la auditoria interna, y decidir agregarlesotras áreas de revisión o bien pedirle a auditoria interna que agregue a su plan otros controles o modifique la extensión de los ya incluidos en él. Esto implica que en los papeles de trabajo de documentación de tareas del Comité, debe estar la matriz de riesgo, el plan de auditoria, las modificaciones que se hayan acordado sobre matriz y/o plan y también las observaciones que surgen a partir de las revisiones concretas realizadas por la auditoria interna. Existe en lo mencionado un rasgo diferenciador respecto al enfoque de la auditoría externa, que vale la pena puntualizar. Puede ocurrir que ajustes contables no significativos desde el punto de vista patrimonial, donde auditoria externa coincida con el management, para la auditoria interna y para el Comité de Auditoria sí sean muy importantes, porque atrás de temas inmateriales suelen esconderse muchas veces posibilidades futuras de fraudes o debilidades de control de muy alto impacto. Entonces es distinta la forma en la cual esto debe ser evaluado y, obviamente, documentado por el Comité de Auditoría. 18 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 Como tercer punto, después de abordar los temas de matriz de riesgo y de plan de auditoría, el Comité tiene que opinar sobre los recursos de la auditoría interna. Nosotros observamos crecientemente en la mayoría de las compañías que, así como hoy las firmas de auditoria externa al cotizar sus servicios le envían la propuesta, muchas veces indirectamente, al Comité de Auditoría, también la auditoria interna empieza a ser comprendida de otra manera por parte del Comité cuando pide mayores recursos para realizar determinados procedimientos. Puede pasar que la compañía destine los recursos o no lo haga. Lo anterior es aplicable también a los presupuestos del propio Comité de Auditoría. Aquí también hay que dejar documentado si la compañía está asumiendo determinados riegos. Creo que el éxito de los comités de auditoría depende del rigor y la claridad con la cual se exponga cuál es la tarea que viene a cumplir el Comité de Auditoría, y si el management o quien maneja el presupuesto entiende que no es necesario destinar recursos adicionales, esto es algo con lo cual el Comité de Auditoria debería tratar de no convivir, pero si tiene que aceptarlo, lo mínimo que tiene que hacer es documentarlo. Dentro de las buenas prácticas en el funcionamiento del Comité de Auditoría, figura una composición del mismo con perfiles equilibrados: un director que conozca mucho el negocio, un director que conozca mucho de temas financieros y un director que conozca mucho de los temas contables, auditoria interna, etc. Por ejemplo, quien más conoce el negocio probablemente sea el que mejor pueda entender la estrategia que está siguiendo la compañía y qué política de riesgo se está definiendo y aplicando. El comité debería tener la habilidad de poner frente a las líneas de la compañía a aquel integrante del comité que mayor actitud tenga para entender a la otra parte, y después sí hacer un análisis de riesgo global. Esto no quita que la actitud para entendernos hace que todo tenga que confluir, como decíamos antes, a un esquema global de medición de riesgos. Viene finalmente la evaluación de desempeño del plan de auditoría interna. En general se cumplen, o no se cumplen porque la auditoria interna, creo que en el 95% de las compañías que nosotros conocemos así ocurre, suelen destinar una parte de sus recursos a temas que son imprevisibles y que suelen pasar durante el año: investigación de fraudes, nuevos negocios que inicia la compañía, etc. Entonces ahí, en la evaluación del plan, es importante que el Comité opine si se cumplió, o no se cumplió, y en este caso evaluar las razones, qué hizo auditoria interna para suplir esas cosas que no cumplió, si las hará en los primeros ciclos del año entrante, si determinó que el riesgo de los nuevos negocios era mucho mayor entonces decidió que algún ciclo de los planificados no se audite, etc. Sobre todo esto, el Comité de Auditoría debería evaluar, opinar y, una vez más, dejar documentado, aún cuando lo haya documentado la auditoria interna. Se están dando las condiciones para generar una oportunidad para auditoria interna en el área de diseño de los controles. No diseñarlos, porque eso es tarea del management, pero sí opinar respecto de si esos controles que el management diseñó para los procesos de negocios son suficientes o no para los objetivos del control de la compañía. Hay muchas compañías donde nosotros vemos que auditoria interna quizás no participa en opinar sobre si los controles que se están diseñando son los adecuados para la compañía, y lo que finalmente ocurre tanto al management como al directorio, como le va a ocurrir en el futuro al Comité de Auditoría, es que se arriba a una situación con una auditoria interna opinando que los controles no son los suficientes, y un management diciendo, bueno, estos son los controles que yo diseñé, en el futuro podrá ser que diseñe otros. Yo creo que la mejor función que puede tener auditoria interna es participar en la etapa de diseño, opinando si esos controles son suficientes. Muchas veces se discute si esto hace que el proceso de auditoria interna quede de alguna manera condicionado a opinar. De ninguna manera, porque una cosa es que yo opine si los controles son suficientes o no, y otra cosa es que después revise si esos controles operan adecuadamente. Tiene mucho más valor agregado para la compañía, el hecho que yo opine sobre 19 Workshop sobre COMITE DE AUDITORIA Viernes 30 de abril de 2004 el funcionamiento de controles, sobre los que anteriormente había opinado si eran suficientes. Esto produce un mayor alineamiento del management con la auditoria interna Carlos Alemañy Como complemento de la presentación anterior, menciono un área crítica para el cumplimiento de los objetivos empresarios: el área de sistemas. Una auditoria interna que no tenga profesionales especializados en auditoria informática, está en serios problemas. Y allí, efectivamente, el diseño de los controles cuando los sistemas se van desarrollando es importante que cuente a la auditoria con una participación muy fuerte. Carlos Fernández Funes Comité de Auditoría y Auditoría Externa: como si fuesen pocas las responsabilidades que hemos anunciado hasta acá que le competen al Comité de Auditoria, también tiene que supervisar la gestión del auditor externo. La primera reflexión se vincula con los skills que tienen que tener miembros de comités de auditoria como para poder evaluar la función del auditor externo. En la norma, lo que está previsto es que los miembros del Comité tienen que estar versados en temas empresariales, financieros o contables. La verdad es que es muy difícil adquirir un nivel de experiencia suficiente como para poder estar en condiciones de hacer una supervisión efectiva sobre la gestión del auditor. También está previsto que si estos conocimientos no son poseídos por los miembros del Comité en el momento de ser designados, tiene que haber un plan de capacitación que les brinde la posibilidad de estar en condiciones en algún momento de ejercer esta responsabilidad. En este sentido, me parece que la circunstancia que le va a dar mayor tranquilidad al miembro del Comité con relación a la forma que está operando el auditor externo, es el sistema de autorregulación que se está imponiendo el propio auditor. El tiempo que se está dedicando a toda la función de risk management interno es altísimo. No sé qué grado de presión ejercerá esto en las tarifas y el honorario de los auditores externos, pero es muchísimo el tiempo que le estamos dedicando a esta cuestión. El punto es, cómo se logra una preparación para poder cumplir con esta tarea de supervisión. Evidentemente estamos hablando de un proceso que lleva tiempo y que hay que empezarlo cuanto antes. Con relación
Compartir