SCIIF

22 noviembre, 2021 | Daniel Alvarez

¿Debería actualizarse el marco SCIIF en España?

Hace 11 años que la CNMV publicó la Guía sobre Control Interno sobre la Información Financiera en las Entidades Cotizadas, que arrojó luz acerca de cómo las cotizadas deben diseñar e implementar sus sistemas de control interno sobre la información financiera (SCIIF), y la comunicación de estos ante la CNMV y sus inversores.

Pasado este tiempo, la pregunta a realizarse es si el mismo ha cumplido con sus objetivos y si se beneficiaría de una actualización.

Sin ser dueño de la verdad, basado en mi experiencia y de haber dedicado algunas tardes a leer distintos Informes Anuales de Gobierno Corporativo, apartado F, me atrevo a plantear que, si bien oportunamente cumplió un modesto objetivo de estandarización, ya ha pasado un tiempo más que prudencial para plantear la evolución de este modelo.

La propia guía original ejemplifica como el sistema más estructurado y complejo, al marco recomendado y evolucionado de la Ley Sarbanes Oxley. Sin ánimo de mitificar la eficacia de este u otros marcos, creo que nuestro marco para las cotizadas en España tiene margen para ser más eficaz en la consecución del propósito original. Recuerdo para los escépticos, que desde la publicación de la Guía hemos tenido sonados casos de fraude contable como Pescanova, Banco Popular y Bankia en el mercado continuo, y Gowex en el MAB.

A continuación, planteo algunos de los ámbitos de mejora que considero podrían implementarse para mejorar el cumplimiento de sus objetivos iniciales.

Periodicidad en la supervisión y evaluación:

La guía de 2010 plantea la posibilidad de realizar una supervisión completa de los procesos y localizaciones en alcance del SCIIF cada dos o tres años. Aquí planteo una pregunta teórica: ¿Revisar los controles implementados sobre reconocimiento de ingresos cada tres años es suficiente para afirmar que el sistema de control interno está presente y funcionando? Cómo inversor en esa empresa cotizada; ¿Ese nivel de aseguramiento es suficiente?

Creo que la periodicidad de supervisión actual empleada mayoritariamente, y que cabe en el marco de la Guía original puede y debe reforzarse.  Sin llegar al extremo de revisar todos los procesos/filiales en alcance, todos los años, cómo es mandatorio en SOX, podríamos aumentar el aseguramiento sobre riesgos críticos para la información financiera, sin duplicar o triplicar el esfuerzo actual:

Un posible enfoque sería el siguiente y debe basarse en un riguroso análisis de materialidad y riesgos, que debería rehacerse anualmente.

  • Controles a Nivel Entidad deben revisarse anualmente en todas las localizaciones.
  • Controles transaccionales en ciclos y procesos críticos, como Consolidación, Cierre, Venta a cobro, Compra a Pago, Juicios y Estimaciones, transacciones no rutinarias, y otros según la casuística de cada organización deberían revisarse anualmente en las localizaciones o unidades de negocio significativos.
  • El resto de los controles transaccionales, revisados en dos, tres o cuatro años. Este enfoque podría compensar parcialmente la inversión adicional en la revisión anual de los procesos críticos.

Controles generales de la tecnología de la información:

Si bien la guía hace referencia a los ITGCs como parte del SCIIF en su punto 17 (Apartado II, sección “Actividades de Control”), mi experiencia me hace dudar de que los ITGC tengan la importancia en los SCIIF que deberían tener, tanto por su nivel de documentación como proceso propio, como por la rigurosidad de su testeo.

Una opción muy común adoptado por muchas cotizadas es limitarse a recibir el informe de los auditores externos en su proceso de evaluación del ambiente de control de IT.  El objetivo de estas revisiones por parte del auditor externo es comprender y evaluar el entorno general de sistemas, y concluir en qué medida su estrategia de auditoría va a confiar o no en los sistemas de la cotizada, por lo que difícilmente cubran los objetivos requeridos para la evaluación de cualquier SCIIF.

En este aspecto, opino que la Guía sobre el SCIIF para cotizadas en España debería ser mucho más explícita y no dejar lugar a dudas acerca de la necesidad de la documentación y evaluación de ITGC por parte de los equipos de auditoría interna o un tercero experto con el objetivo específico de realizar una revisión de los ITGC dentro de las matrices de riesgos y controles definidos del SCIIF para los ITGCs.

Visibilizar la conclusión sobre el SCIIF:

La Guía plantea que se indiquen, si se han detectado incidencias, si se han resuelto, como así también indica que resulta relevante que la entidad confirme que los eventuales efectos de las debilidades detectadas han sido considerados en la preparación de la información financiera. Entiendo que este tipo de conclusiones en el apartado F del IAGC, debería tener más protagonismo. Mi opinión es que quizás, como primer punto del apartado F, podría haber una certificación del Consejero Delegado, validada por el Comité de Auditoría, respondiendo sencillamente a lo siguiente:

  • El SCIIF ¿es efectivo? SI/NO.
  • ¿Existen deficiencias materiales en el SCIIF? SI/NO.
  • Si la respuesta fuera SI, describir las mismas e identificar el impacto en los estados financieros.

Informe del auditor externo:

Actualmente la Guía limita el enfoque de revisión del auditor externo a un informe de procedimientos acordados o la cotizada debe explicar la razón por la cual no ha existido esta revisión. Por otro lado, considera como un modo alternativo válido cuando existan informes para cumplir con normativas más exigentes como la SOX norteamericana.

Unificar la generación de este tipo de informe en esta segunda modalidad, seguramente sea difícil de digerir por la comunidad de negocios en general, pero quizás el modelo del SOX japonés podría indicar el camino a una mejora. A diferencia del SOX norteamericano, el JSox realiza una evaluación del control interno de la información financiera sobre la evaluación que realiza la cotizada (indirect reporting), mientras que el SOX norteamericano realiza una evaluación independiente del SCIIF (direct reporting). Es un enfoque que difiere poco en el nivel de aseguramiento obtenido, pero con considerables ahorros en recursos.

Por otro lado, ambos marcos, a los efectos de buscar eficiencias, plantean auditorias integradas de estados financieros y su control interno, algo complejo de lograr en el esquema actual de informe de procedimientos acordados.

Cómo síntesis, creo que los tres primeros puntos que comento ya son parte de una reflexión que debería hacerse en los foros adecuados, mientras que el restante es necesario para terminar de apuntalar una evaluación del SCIIF que entendemos aún está con margen de mejora hacia las mejores prácticas.

Espero que este artículo sea de interés y en breve poder escribir sobre otras mejores prácticas relativas a control interno para la información financiera:

  • El rol de auditoría interna para mantener a raya los costos de las auditorías externas.
  • La importancia de los ITGC en cualquier SCIIF y como ser eficientes en su revisión.
  • Cómo lograr tener matrices eficientes y efectivas.
  • Importancia y técnicas de revisión de IPEs (Information provided by the Entity)
  • Plantillas de MS Excel y los ITGC.

 

Daniel Álvarez

Senior Manager | GRC Solutions

Control Solutions 360

Entradas recientes

Continuidad negocio

2 noviembre, 2021 | Luis Frias

Planes de Continuidad de Negocio | 00

Canales denuncia

10 mayo, 2021 | José Enrique Diaz Menaya

Los canales de denuncia

¿Quieres saber más?Contacta con nosotros