Retos y Expectativas de Futuro para la Auditoría Interna de las … · 2015-01-28 · biando el...

Retos y Expectativas de Futuro para la Auditoría Interna de lasEntidades de Crédito

O B S E R V A T O R I O S E C T O R I A L

LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA

MIEMBROS DE LA COMISIÓN TÉCNICA

COORDINACIÓN: Mónica Albadalejo., CIA, CRMA. NOVO BANCO.

Raúl Ara. PWC.

Joaquín Arribas. UNIÓN DE CRÉDITOS INMOBILIARIOS

Juan Carlos Chávez, CRMA. BBVA.

Antonio de Frutos. BBVA.

Enric Domenech, CRMA. BDO.

Jaime García, CIA. TRIODOS BANK.

Eloy Martín. BANCO SABADELL.

Ernesto Martínez, CIA, CRMA. GRUPO SANTANDER.

Rosa Nárdiz, CIA. BANKINTER.

José Ventura Olmedo. GRUPO SANTANDER.

Montserrat Puy. CAIXABANK.

José Luis Rey. PWC.

José Luis Solís, CRMA. EY.

Eduardo Villalobos, CIA. CAJAMAR.

Diciembre 2014

Retos y Expectativas de Futuro para la Auditoría Interna de lasEntidades de Crédito

O B S E R V A T O R I O S E C T O R I A L


3

O B S E R VATO R I O S E C TO R I A L

Toda economía moderna requiere que el sector bancario sea solvente y eficaz. La crisis fi-nanciera global que ha golpeado con dureza nuestro país lo ha puesto una vez más demanifiesto. Las entidades con un gobierno de riesgos suficiente y un ambiente de controladecuado han tenido que hacer frente a grandes dificultades. Aquéllas cuyo foco no esta-ba situado en el control y la gestión de los riesgos, simplemente han desaparecido o hansido intervenidas con un enorme coste para la economía y las finanzas públicas.

Tal y como decía Cicerón, la historia es maestra de la vida. Por ello, todos estos aconteci-mientos deben, y están siendo, motivo de honda reflexión para todas las áreas y funcio-nes relacionadas con el gobierno corporativo y el control. Esta reflexión es también apli-cable a Auditoría Interna ya que es una función clave en este sector. Todas las entidadesdeben contar con una Auditoría Interna sólida y eficaz que apoye al buen gobierno de lasentidades, dentro del marco de las tres líneas de defensa.

Esta Comisión, en la que he tenido el honor de participar y a quien agradezco enorme-mente su colaboración con nuestro Instituto, ha aportado su experiencia y su profunda vi-sión del sector para identificar los cambios más relevantes en los modelos de negocio yen la regulación. Tras analizar estos cambios y la realidad de las Direcciones de AuditoríaInterna, se han sintetizado los retos y expectativas que debemos afrontar y solucionar.

Por mi parte solo quisiera destacar qué visión de futuro emerge de este estudio:

· Auditoría Interna será una función de altura: con la autoridad suficiente para opinarcon objetividad y para impulsar proactivamente las mejoras necesarias en el sistema decontrol y gestión de riesgos.

· Auditoría Interna tendrá objetivos más ambiciosos: buscará alinearse con la estrategiade la entidad y realizar informes de mayor relevancia e impacto.

· Auditoría Interna estará más integrada con el resto de la organización: será más coope-rativa con las otras líneas de defensa y realizará un seguimiento más próximo de la rea-lidad de su entidad (negocios, proyectos, operaciones especiales, etc.).

· Auditoría Interna necesitará más talento y recursos: profesionales con experiencia y co-nocimiento especializado de riesgos y negocio. A su vez, la tecnología será un factorclave para transformar la función y conseguir mayor eficiencia.

Alcanzar estas metas supone un reto de gran dificultad, pero crucial para la profesión, elsector y nuestro país. Esperamos que este estudio contribuya a que se debatan y abordencon éxito.

Ernesto Martínez

Presidente del Instituto de Auditores Internos de España

5


Índice

PRÓLOGO

RESUMEN EJECUTIVO

NUEVOS MODELOS DE NEGOCIO BANCARIO

CAMBIOS EN LA REGULACIÓN Y SUPERVISIÓN

Reforma del sector bancario europeo. Nuevo marco regulatorio ................. 16

Adaptación al Mecanismo de Supervisión Único de la Auditoría Interna .... 25

Normativa específica pra la Función de Auditoría Interna ............................... 28

ANÁLISIS DE TENDENCIAS, EXPECTATIVAS E IMPACTOS

Recursos humanos ...................................................................................................... 31

Estructura organizacional ......................................................................................... 35

Enfoque, alcance y organización de las revisiones ............................................. 40

Medios y recursos técnicos ....................................................................................... 45

ASEGURAMIENTO Y COMBINED ASSURANCE

ANEXO · TABLA DE TENDENCIAS

06

07

10

16

31

47

50

6


Nuestra profesión,formando parte delmodelo de las treslíneas de defensa, seerige como uno de lospilares de buengobierno de lasentidades de crédito.

Consciente de la importancia del sector ban-cario para la economía, así como de la rele-vancia que tiene la función de Auditoría Inter-na para el buen funcionamiento de las entida-des de crédito, el Instituto de Auditores Inter-nos de España se ha planteado la necesidadde identificar cuáles son los principales retos alos que deberá enfrentarse nuestra profesiónpara continuar siendo en el futuro una piezaclave del buen gobierno de dicho sector.

Con este objetivo surge este nuevo documen-to de LA FÁBRICA DE PENSAMIENTO, fruto deconversaciones sobre las próximas tendenciasentre entidades de crédito y consultoras exter-nas, así como de las opiniones de los Directo-res de Auditoría Interna del sector, opinionesestas últimas recogidas mediante una encues-ta enviada por el Instituto a las principales en-tidades de crédito del país.

Cada vez más nuestra profesión es percibidapor los reguladores, supervisores, inversores yresto de stakeholders como una pieza clavepara proteger el valor de las organizaciones.En el sector bancario, formando parte del mo-delo de las tres líneas de defensa generalmen-te implantado –y refrendado por COSO en sureciente actualización– se erige como uno delos pilares de buen gobierno de las entidadesde crédito.

Auditoría Interna, lejos de conformarse con loque tiene, debe ser consciente de la necesidadde seguir evolucionando para conseguir que

los actores económicos nos sigan viendo, cadavez más, como elemento fundamental en lasorganizaciones. Para lograrlo, es obligadoacompañar a las entidades de crédito en suevolución continua, inmersas como están encambios de toda índole.

Sólo si somos conscientes de cómo está cam-biando el entorno financiero, será posible queidentifiquemos los retos del futuro para Audi-toría Interna y pongamos el foco en alcanzartodos los requerimientos relevantes.

Las principales causas de los cambios que seavecinan en las entidades de crédito puedendividirse en dos grandes bloques:

Cambios en el modelo de negocio

Afectan a la relación con los clientes, la pree-minencia de los canales alternativos de distri-bución sobre las oficinas tradicionales, cam-bios tecnológicos o mayores requerimientosde formación técnica en los empleados, porejemplo.

Cambios regulatorios en el ámbito in-ternacional

Diseñados para reducir el efecto de posiblesquiebras bancarias y crear un sistema finan-ciero más seguro, sólido y transparente quedevuelva la confianza en la integridad del sis-tema y que proteja al consumidor. Estos cam-bios tienen un impacto enorme en la gestión

Prólogo

7


Resumen Ejecutivo

diaria de las entidades financieras en general,así como en la función de Auditoría Interna enparticular. Sin olvidar los cambios previstos enla supervisión de las entidades (MecanismoÚnico de Supervisión en Europa).

Los primeros capítulos de esta publicacióndescriben los aspectos más relevantes relacio-nados con ambos bloques.

Una vez analizados estos cambios, el docu-mento identifica las tendencias, expectativas eimpactos concretos que, como consecuencia,esperamos se produzcan en la función de Au-ditoría Interna. Estas tendencias suponen re-tos a los que tendrá que enfrentarse nuestraprofesión en el corto y medio plazo.

La última parte del documento complementalos retos identificados, incidiendo sobre la im-portancia creciente que tendrá para AuditoríaInterna la relación con otras funciones de ase-guramiento y con la segunda línea de defen-sa, lo que constituye una oportunidad adicio-nal de incrementar el valor añadido aportadoa las entidades.

Consideramos que los puntos tratados gozande plena actualidad y por ello merece la penareflexionar sobre la manera en que nos afec-tan. Esperamos que el análisis realizado poresta Comisión Técnica sirva de ayuda al res-pecto.

La misión principal de Auditoría Interna es lade proteger y contribuir a incrementar el valoren las organizaciones, lo que se consigue me-diante el desarrollo de sus tareas de asegura-miento y asesoramiento. Esta labor es tan re-levante que no puede entenderse el buen fun-cionamiento futuro del sector bancario sin unafunción fuerte de Auditoría Interna en las enti-dades, como pieza clave del buen gobiernodentro de un modelo que potencie la interre-lación entre las tres líneas de defensa, me-diante la colaboración y comunicación trans-parente entre las tres líneas.

La crisis financiera ha traído cambios muy re-levantes que están afectando notablemente alas entidades de crédito, impactando en losmodelos de negocio e incrementando los re-

quisitos de cumplimiento normativo que sur-gen de nuevas regulaciones o esquemas desupervisión. Las entidades han de entenderque el entorno financiero ha cambiado, sigueen evolución y tienen que adaptarse a esta si-tuación. Por su parte, Auditoría Interna ha deanticiparse a estos cambios, e ir adecuando sualcance y objetivos tanto estructural comofuncionalmente.

El objetivo de este documento no pretende serel establecimiento de unas normas, sino mos-trar las tendencias que se están produciendoen el sector. Debe entenderse como una herra-mienta de reflexión para las Direcciones deAuditoría Interna. De la actitud proactiva de lafunción dependerá el mantenimiento del com-promiso de calidad y eficacia de nuestro tra-

No puede entenderse elbuen funcionamientofuturo del sectorbancario sin unafunción fuerte deAuditoría Interna en lasentidades, como piezaclave de buen gobierno.

8


La función, ORGANIZATIVAMENTE ESTRUC-TURADA bajo la dependencia del Consejo ode una Comisión de Auditoría1 que estarámás involucrada en la función, en su evalua-ción y seguimiento, tendrá una mayor exposi-ción en la entidad. Cada vez se le requerirámás información, así como una mayor partici-pación en los órganos de gobierno interno yuna mayor involucración en los procesos es-tratégicos de la entidad.

Esta mayor demanda de información interna,unida a los posibles requerimientos que se es-peran con la implantación del MecanismoÚnico de Supervisión (MUS) y otros regulado-res, debería tener su reflejo en la planificaciónde horas de trabajo dedicadas al reporting y,con el tiempo, al incremento de los recursosdedicados a esta función.

bajo y el posicionamiento clave en el apoyo a

la organización en este entorno.

En RECURSOS HUMANOS las tendencias

previstas apuntan hacia auditorías de equipos

integrados, una mayor especialización y for-

mación de los recursos y una mejor coordina-

ción con la segunda línea de defensa y audi-

tores de cuentas.

Cada vez es más deseable que los recursos

cuenten con experiencia suficiente, como ma-

nera de alcanzar un seniority comparable a la

dirección ejecutiva de aquellas actividades

que son responsables de auditar y con capaci-

dad para cuestionar no sólo el cumplimiento

de los procedimientos, sino también su diseño

e incluso la toma de decisiones.

SECTOR BANCARIO · TENDENCIAS PARA LAS DIRECCIONES DE AUDITORÍA INTERNA

Recursoshumanos

Estructuraorganizativa

Enfoque y alcance de

las revisiones

Recursostécnicos

· Auditorías de equipos integrados.· Mayor especialización, formación y experiencia.· Mejor coordinación con segunda línea de defensa.

· Dependencia del Consejo o Comisión de Auditoría.· Mayor involucración en procesos estratégicos.

· Revisiones a distancia.· Evaluación de marcos de governance.· Enfoques más novedosos.

· Mayor tratamiento masivo de datos.· Evolución de las herramientas informáticas.

POSI

CIO

NAM

IEN

TO C

LAVE

DE

AUDI

TORÍ

A IN

TERN

A

j g

Mayor involucración en procesos estratégicos.

Enfoques más novedosos.

Evolución de las herramientas informáticas.

1. La Norma 1110 de las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (emitida por The Institute of Internal Auditors, IIA) estable-ce que el Director de Auditoría Interna debe responder ante un nivel jerárquico tal dentro de la organización que permita a la actividad de Auditoría Internacumplir con sus responsabilidades. Según la Interpretación que el propio IIA hace de la norma, la independencia se alcanza de forma efectiva cuando depen-de funcionalmente del Consejo.

9

Respecto al ENFOQUE Y ALCANCE DE LAS

REVISIONES, se acentuará la tendencia, ya

iniciada, a potenciar las revisiones a distancia,

extendiéndose a áreas distintas de la red co-

mercial. La auditoría continua servirá para ali-

mentar dinámicamente la evaluación riesgos,

reevaluándose los planes anuales varias veces

al año.

La búsqueda de nuevas vías para aportar un

mayor valor añadido llevará a afrontar nuevos

enfoques en las revisiones, incrementando los

trabajos de asesoramiento, evaluando los mar-

cos de governance y control de las entidades y

adoptando enfoques más novedosos.

Para ello es fundamental contar con unos RE-

CURSOS TÉCNICOS ADECUADOS. Auditoría

Interna se apoyará cada vez más en un exa-

men del funcionamiento de controles automá-

ticos y un mayor tratamiento masivo de datos,

para lo que será necesaria la evolución de las

herramientas informáticas que permita dichas

capacidades.

Auditoría Interna tiene por delante grandes

oportunidades de incrementar el valor que

aporta a las entidades de crédito y, por si las

oportunidades expuestas hasta ahora no fue-

ran suficientes, en el horizonte se plantean

posibilidades adicionales relacionadas con las

otras funciones de aseguramiento. El esquema

de las tres líneas de defensa requiere de un

trabajo adicional que garantice la eficaz y efi-

ciente actuación de cada una de ellas.

Para ello se requiere contar con una metodo-

logía de trabajo que promueva el trabajo cola-

borativo entre las tres líneas con un lenguaje

común que permita generar un reporting com-

parable de la actividad de las distintas líneas y

contar con un esquema de comunicación queprime la transparencia.

La función de Auditoría Interna puede liderarla puesta en práctica de este esquema de tra-bajo, aportando valor con su conocimientotransversal de los procesos y su visión globalde la entidad.

El análisis realizado por el equipo redactor deeste documento revela que el éxito de la fun-ción en los próximos años depende de:

a) La habilidad de los auditores internos paraencontrar el equilibrio entre las distintasnecesidades de sus stakeholders, donde elregulador tendrá un papel mucho máspreponderante del que ha tenido hastahoy.

b) La incorporación de las nuevas tecnolo-gías en su campo de actuación utilizándo-las para maximizar la eficiencia, profundi-dad y eficacia de sus revisiones.

c) La conformación de una alianza estratégi-ca con la segunda línea de defensa quepermita incrementar la cobertura de lasactividades de aseguramiento y el conse-cuente incremento en el reporting a unaComisión de Auditoría que cada vez de-mandará más y mejor información sobreel control de las entidades de crédito.

d) La capacidad de incorporar en su campode actuación otros aspectos de la activi-dad de las entidades, como la gestión es-tratégica, la estructura de governance y lacultura de gestión de riesgos

Y todo ello en un entorno caracterizado poruna elevada presión sobre los recursos queobligará a asegurar la distribución eficiente delos mismos.


Auditoría Interna tienepor delante grandesoportunidades deincrementar el valorque aporta a lasentidades de crédito yademás se planteanposibilidadesadicionalesrelacionadas con lasotras funciones deaseguramiento.

Un modelo de negociodescribe, define ydocumenta la forma enque una organizacióncrea, distribuye ycaptura valor para susclientes.

10


Un modelo de negocio describe, define y do-cumenta la forma en que una organizacióncrea, distribuye y captura valor para sus clien-tes, un segmento del mercado o el resto desus stakeholders. En esta definición subyacenmás conceptos y hechos que la mera cuentade resultados (por ejemplo segmentos declientes, proposición de valor, canales, rela-ción con los clientes, esquema de ingresos, re-cursos, actividades, socios, estructura de cos-tes, etc.).

Desde mucho antes de la crisis financiera sevenía hablando de manera recurrente de losnuevos modelos de negocio bancario. Actual-mente nos hemos dado cuenta de que el en-

torno en el que vivíamos puede cambiar y dehecho ha cambiado. Las entidades de créditosupervivientes necesariamente han de enten-der este nuevo entorno para definir nuevosmodelos de gestión y de relación con el clien-te, pensando seriamente en lograr eficiencia yrentabilidad en unas condiciones económicasbastante más complejas.

El proceso de informatización, la era digital, elacceso a internet, etc., unido a la necesidadde crecer en un entorno de disminución de in-gresos y márgenes (frágil recuperación econó-mica, bajos tipos de interés, etc), e incremen-tos de requerimientos de capital y provisioneshacen necesario un cambio que, junto al sa-neamiento de los balances y al adecuado tra-tamiento de la morosidad, ha de trasladarseal modelo de negocio de las entidades de cré-dito.

Los cambios que se están produciendo hacenreferencia principalmente a los siguientes as-pectos, sin que el orden que se indica signifi-que mayor o menor importancia:· El regulador y el supervisor.· La eficiencia y la consolidación bancaria.· El cliente.· La formación del cliente.· Los canales de distribución.· La tecnología.· La formación del personal.

Los cambios en el modelo de negocio obliga-rán a que Auditoría Interna responda con un

Nuevos Modelos de Negocio Bancario

Reguladores

EJES DE LOS NUEVOS MODELOS DE NEGOCIO BANCARIO

Supervisores

Foco en el cliente

Formación financiera delcliente

Canales dedistribución(incluyendo

on line)

Eficiencia yconsolidaciónbancaria

Tecnología

Formación del personal

CANALES NORMATIVA

MEDIOS CLIENTES

11

enfoque anticipativo como manera de asegu-rar el éxito de la función, aportando valor pa-ra accionistas y resto de stakeholders y pro-porcionando así un servicio que sea percibidocomo positivo para la organización.

El objeto de este capítulo es explicar cómoafectan todos estos cambios a nuestra profe-sión. Empezaremos por explicar con mayordetalle los factores señalados con anteriori-dad.

El regulador y el supervisor

“La actual crisis financiera puede alterar ladefinición del modelo bancario óptimo, tantoa medio plazo (por el propio efecto de la cri-sis) como a largo plazo (como resultado detransformaciones más profundas del modelode negocio). En un horizonte difícil de preci-sar, los cambios en la regulación financieracomo consecuencia de la crisis incidirán tam-bién, sin duda, sobre la actividad bancaria.”2

Mediante el incremento de los requerimientosel regulador quiere evitar incurrir nuevamenteen los errores que nos han llevado a la situa-ción en la que actualmente se encuentra elsector bancario, acentuando así su participa-ción en la definición del modelo de negociofuturo.

Ejemplos de estas regulaciones serían BasileaIII (con sus mayores requerimientos de capi-tal, en cuanto a niveles y calidad del mismo),Dodd-Frank (que implica una profunda refor-ma financiera en Estados Unidos), o MiFID(que constituye el modelo para proteger al in-versor y al cliente de sí mismos y de la enti-

dad financiera, amén de introducir los con-

ceptos de transparencia y buena relación con

el cliente), entre otros. Esta y otras regulacio-

nes serán objeto de análisis posterior a lo lar-

go del presente documento.

En los análisis semestrales sobre los riesgos

de las entidades financieras europeas, (Risk

Assessment of the European Banking System,

Julio 2013, Enero 2014, Junio 2014) que rea-

liza la European Banking Authority – EBA (el

regulador bancario europeo) se indican aque-

llos riesgos a los que las entidades de crédito

están expuestas. A modo de ejemplo:

· Las incertidumbres y presiones para cam-

biar la forma de hacer banca.

· Las incertidumbres sobre el nivel de solidez

de los sistemas de gestión de la banca.

· El deterioro de los controles de los bancos.

· Los impactos de los productos financieros

incorrectamente comercializados.

· Cambios en los modelos de negocio que

exigen cambios en los balances.

· El riesgo del entorno, que define la EBA co-

mo alto, y que incluye:

- El nivel de los cambios regulatorios.

- La urgencia de los calendarios de los

cambios regulatorios.

- La falta de claridad de los cambios regu-

latorios.

- Las implicaciones de estos cambios sobre

el desarrollo de los negocios bancarios.

- La continuada falta de confianza de la

solidez de la banca.

Los cambios en elmodelo de negocioobligarán a queAuditoría Internaresponda con unenfoque anticipativocomo manera deasegurar el éxito de lafunción.


2. Algunas implicaciones de la crisis financiera sobre la banca minorista española. 2008. Santiago Fernández de Lis y Al-fonso García Mora. Revista “Estabilidad Financiera” nº 15. Banco de España.

12

- La falta de uniformidad de los cambios

regulatorios entre las distintas jurisdic-

ciones.

- Distintas regulaciones sobre cómo hacer

coincidir los activos y los pasivos.

- Retrasos en la introducción de la unión

bancaria a nivel europeo.

Estos riesgos introducen ciertos conceptos a

aplicar en los modelos futuros de hacer ban-

ca, que los gestores han de tener en cuenta.

Por otro lado, un factor clave a considerar se-

rá el nuevo Mecanismo Único de Supervisión,

que traerá cambios fundamentales (por ejem-

plo aportando un enfoque más dinámico en

lo referido a capital y también con un modelo

de supervisión que se espera sea más intrusi-

vo). Dada su importancia, la adaptación de

las entidades –y especialmente de la función

de Auditoría Interna– al nuevo modelo super-

visor también será objeto de análisis posterior

en este documento.

Los aspectos comentados han sido puestos

de manifiesto en recientes encuestas llevadas

a cabo sobre banca local e internacional por

PwC y EY en 2013 y 2014 respectivamente.

La eficiencia y la consolidación bancaria

El concepto de eficiencia subyace en la totali-

dad de los aspectos de negocio de las socie-

dades y entidades de crédito. La reducción de

costes y la mejora de la eficiencia seguirán

siendo un área clave para estas entidades es-

pañolas del futuro, consolidando y mejorandolos logros alcanzados en los últimos años.

En este sentido, las entidades de crédito es-pañolas todavía ven oportunidades significati-vas de reducción de costes en las áreas tradi-cionales: la red de oficinas, los servicios cen-trales y los procesos de TI y Comunicaciones.

En lo referido a la red de oficinas es ciertoque desde el inicio de la crisis en España seha reducido un 26%3, pero previsiblementeseguirá reduciéndose. En primer lugar porqueseguimos siendo el país europeo con mayorratio de sucursales/habitante y, en segundolugar, porque en los últimos años se ha incre-mentado de manera acelerada el uso de ca-nales alternativos (internet y móviles), siendocada vez menos necesaria la oficina tradicio-nal.

En este contexto, como forma de enfrentarsea los importantes cambios que se están pro-duciendo en el entorno financiero, muchas or-ganizaciones pueden optar también (volunta-riamente o por indicación supervisora) por es-trategias diferentes de permanecer en el mer-cado. Una de ellas es la integración con otrasentidades en procesos de fusión, ampliandola masa crítica de negocio con la que desarro-llar nuevos servicios o productos, obteniendoreducción de costes adicionales y llegando asegmentos de clientes y mercados vedados enmomentos anteriores, viéndose forzados a al-canzar mayores cotas de eficiencia y competi-tividad.

De hecho EY, en su European Banking Baro-meter 1H14 del primer semestre de 2014, po-

Las entidades decrédito españolastodavía venoportunidadessignificativas dereducción de costes enlas áreas tradicionales:la red de oficinas, losservicios centrales y losprocesos de TI yComunicaciones.


3. De acuerdo con el Boletín Estadístico de Banco de España de marzo de 2014, al cierre de 2007 había un total de45.500 oficinas en España, frente a 33.713 a finales de 2013.

13

ne de manifiesto que a pesar de la lenta velo-cidad de la presente reestructuración banca-ria, el 65% de las entidades consultadas es-peran procesos de consolidación significativosdentro de los próximos tres años.

La tendencia previsible sería, por tanto, quelos procesos de consolidación bancaria conti-núen en el futuro, pero desarrollándose en unámbito europeo más que nacional.

Esta continuación en los procesos de consoli-dación bancaria será relevante para la funciónde Auditoría Interna. Por un lado, están lostrabajos de Due Dilligence que tendrán queabordarse con anterioridad a cada operacióncorporativa. Por otro lado, una vez fusionadaslas entidades correspondientes, podemos en-contrarnos con que la entidad final aúna dis-tintas culturas de control de riesgos, distintossistemas informáticos, distintos productos,etc. lo que puede dificultar en los primerosaños las revisiones a realizar.

Foco en el cliente

“Las entidades financieras deberán apostarpor modelos de negocio que sitúen al cliente,y no al producto, en el centro de la organiza-ción.” 4

En el pasado el sector financiero ha prioriza-do el producto en detrimento de la relacióncon el cliente. En la nueva forma de hacerbanca, el cliente debe situarse en el centro deatención (banca relacional). Será muy impor-tante entender sus necesidades, cuáles son

los mejores canales de relación, personaliza-ción en el trato, tecnologías de relación nove-dosas, entendimiento del valor que cadacliente posee, identificación de la sostenibili-dad y responsabilidad corporativa como con-ductores de relación, valor aportado en las re-des sociales, etc.

“Los cambios regulatorios han puesto sobrela mesa la necesidad de gestionar un modelode negocio financiero mucho más flexible a lahora de tratar con los clientes; multifuncional,para mantener diferentes tipos de contactocon los usuarios; y diversificado, para ofrecermuchos más activos al público.” 5

En este sentido, los estudios de CRM (Custo-mer Relationship Management) deberántransformarse, dando sentido real a todos es-tos cambios.

En esta nueva forma de relacionarse con elcliente, la tecnología se muestra como un ele-mento de valor a tener en cuenta en la defini-ción de este modelo: “los grandes bancos queofrecen todos los servicios corren el riesgo deser sobrepasados por competidores orienta-dos a las tecnologías digitales. Focalizando suestrategia en dar un mejor servicio al cliente,estos competidores emergentes operan y seadaptan más rápido, creando nuevas herra-mientas y servicios que rápidamente se con-vierten en el estándar de la industria.” 6

En definitiva, la proposición de valor pasa deestar basada en el producto a basarse en elcliente y en el adecuado servicio. La tendencia


En el pasado, el sectorfinanciero ha priorizadoel producto endetrimento de larelación con el cliente.En la nueva forma dehacer banca, el clientedebe situarse en elcentro de atención.

4. La banca ‘retail’ en 2020, ¿Evolución o revolución? 2014. PwC.

5. El aula del accionista. Caixabank.

6. Accenture 2013 US Retail Banking Survey. Traducción realizada por el equipo redactor.

14

futura será prestar atención a la experienciadel cliente, como se hace en otras industrias,lo que lleva necesariamente a enfatizar la im-portancia de la prestación del servicio.

En cuanto al asesoramiento, deberá limitarsepara poder hacerlo adecuadamente y paraello será necesario que los estudios CRM en-cuentren maneras de realizar ofertas cada vezmás individualizadas.

Sensibilidad financiera del cliente yformación del personal bancario

La Fundación de Estudios Financieros7 ha pu-blicado recientemente un estudio en el que seaborda y enfatiza el tema de la educación fi-nanciera.

Antonio Romero, Inés García-Pintos y NereaVázquez indican8:

“Desde el estallido de la crisis, la educaciónfinanciera se ha reconocido como una capaci-dad vital clave y un elemento decisivo para laestabilidad y el desarrollo económico y finan-ciero. Como ha destacado la Agencia Cana-diense para los Usuarios Financieros (FCAC,por sus siglas en inglés), unos bajos nivelesde alfabetización financiera suponen una ba-rrera al crecimiento económico. Desde otraperspectiva, muchos análisis han señalado elpapel que los bajos niveles de educación fi-nanciera han jugado en la amplificación delimpacto de la crisis, como el documento detrabajo de la Comisión Europea de marzo de2011 sobre la revisión de sus iniciativas en elámbito de la educación financiera. Con inde-pendencia de la perspectiva desde la que se

haya analizado el fenómeno, todos los estu-dios coinciden en la necesidad inaplazablede impulsar la educación financiera. (El des-tacado es del equipo redactor).

La mejora de la formación financiera delcliente está llegando y es más que recomen-dable desde cualquier punto de vista, inclusopara la defensa de las actividades de la pro-pia entidad de crédito.

Está claro que para la gestión adecuada deunos clientes cada vez más formados, en en-tornos de total transparencia y protección almismo, es absolutamente necesario que elpersonal que lo atiende esté al mismo de ni-vel de formación y entendimiento de los pro-ductos y servicios que se venden o prestan.No hace falta que entremos a analizar lasmalas prácticas de venta que recientementehemos sufrido en el sector financiero españolni sus consecuencias desastrosas en cuanto apérdida de confianza en el sistema.

¿Está el personal de las entidades financieraspreparado para afrontar este entorno?

Sin duda será necesaria una adecuación delas habilidades y conocimientos de las planti-llas al nuevo modelo de negocio posterior a lacrisis, que se verá seriamente afectado por laregulación. Los canales de distribución de ser-vicios se modificarán y el nuevo modelo deaproximación al cliente, mediante un conoci-miento del mismo y sus necesidades serán elnuevo eje en el enfoque cliente-servicio. Estosignificará que las entidades crediticias espa-ñolas tienen por delante el reto de llevar a ca-bo un proceso importante de gestión del

Para la gestiónadecuada de unosclientes cada vez másformados, en entornosde total transparencia yprotección, esabsolutamentenecesario que elpersonal bancario estéal mismo de nivel deformación yentendimiento de losproductos y serviciosque se venden oprestan.


7. Documento número 52 Nuevos desafíos del sector financiero: Recuperando la confianza y mejorando la cultura finan-ciera, capítulo VII. 2014. Fundación de Estudios Financieros.

8. Idem.

15

cambio para llevar a cabo este proceso deadecuación.

Ambas ideas, la de la formación del cliente yla del empleado que le atiende están íntima-mente unidas. En nuestra opinión, son parale-las en el tiempo y una pieza clave en la recu-peración de la confianza perdida en el siste-ma.

Finalmente, y como corolario de estos párra-fos, reproducir lo que indican Santiago Fer-nández y Alfonso García en su estudio del im-pacto de la crisis, “... el cambio en la pirámi-de poblacional durante los últimos años y, so-bre todo, las tendencias futuras requeriránuna mayor especialización, no solo en la con-figuración de productos y servicios, sino tam-bién en la gestión de los clientes.” 9

Los canales de distribución

Los canales son la herramienta a través de laque la entidad de crédito se comunica con susclientes, sus segmentos de mercado o sus sta-keholders para entregar una propuesta de va-lor.

Comunicación, distribución y canales de venta

son los nexos con los clientes. Los canales son

puntos de contacto que juegan un rol impor-

tante en la experiencia del cliente. Por tanto,

un análisis detallado del cliente-canal, inte-

gración de canales, eficiencia de llegada al

cliente, rentabilidades por canal, etc. servirá

para entender cuáles de los canales tradicio-

nales sobrevivirán y cómo la tecnología y el

uso de la misma por el cliente cambiarán los

modelos de relación con ellos.

En este sentido cabe destacar el estudio reali-

zado por Accenture sobre la banca comercial

en Estados Unidos, que pone de manifiesto

que, según el 70% de los clientes, las entida-

des financieras deberían invertir en canales a

distancia relacionados con las nuevas tecno-

logías.

En definitiva, la estrategia de relación con el

cliente pasa por el uso integrado de todos los

canales y el reconocimiento de que el banco

debe proporcionar al cliente aquel canal que

más se adecúe a sus necesidades.

La estrategia derelación con el clientepasa por el usointegrado de todos loscanales y elreconocimiento de queel banco debeproporcionar al clienteel canal que más seadecúe a susnecesidades.


9. Algunas implicaciones de la crisis financiera sobre la banca minorista española. 2008. Santiago Fernández de Lis y Al-fonso García Mora. Revista “Estabilidad Financiera” nº 15. Banco de España.

¿Dónde piensan los consumidores que deben invertir los bancos?

43%Banca on line

Sucursal

Cajeros

Banca móvil

Call centers

Redes sociales

38%

21%

20%

12%

7% Digital Tradicional

Fuente: Accenture 2013 US Retail Banking Survey

16

La tecnología

Entender la importancia de la tecnología eneste nuevo paradigma del negocio bancario(entendida ésta como el soporte adecuadopara el uso intensivo de la información, elempleo del conocimiento obtenido de la ex-plotación de la misma, el acceso a/por inter-net, etc., basado en esquemas ágiles y senci-llos de gestión) es algo imprescindible en losmomentos actuales.

Las encuestas al respecto no dejan lugar adudas, aproximadamente el 40% de los pre-supuestos de inversión en IT de las entidadesde mayor tamaño, tienen especial foco enáreas relacionadas con la mejora de la expe-riencia del cliente, la identificación de la mejorforma de interactuar con los clientes y al me-

nor coste posible, y la consecución de una re-lación ágil y eficiente. Por otro lado, el con-cepto de seguridad se vuelve uno de los ele-mentos conductores de significación relacio-nado con la tecnología (Fuente: Accenture.2013).

Como se ha mencionado anteriormente, en elpasado la tecnología estaba focalizada en laeficiencia y en el futuro deberá focalizarse enla relación con el cliente. Esto provocará quela seguridad informática cobre cada vez ma-yor relevancia, por el mayor uso de los cana-les a distancia. En el European Banking Baro-meter 1H14 del primer semestre de 2014 deEY se aprecia que el concepto de ciberseguri-dad/seguridad de datos salta al puesto núme-ro 3 de la agenda de interés de las entidadesbancarias europeas.

El concepto deciberseguridad/seguridad de datossalta al puesto número3 de la agenda deinterés de las entidadesbancarias europeas.


En este capítulo vamos a describir, en primerlugar, los principales cambios regulatorios queestán afectando al sector bancario en generaly, a continuación, haremos referencia al nue-

vo Mecanismo Único de Supervisión. Finaliza-remos con una breve exposición de las nor-mativas globales que afectan directamente ala Función de Auditoría Interna.

Cambios en la Regulación y en la Supervisión

REFORMA DEL SECTOR BANCARIO EUROPEO-NUEVO MARCO REGULATORIO

Desde el inicio de la crisis financiera, la UniónEuropea ha revisado sus políticas relacionadascon la regulación y la supervisión bancariascon la finalidad de reducir en el futuro el im-

pacto de posibles quiebras bancarias y crearun sistema financiero más seguro, sólido ytransparente que vele por las necesidades delos ciudadanos, de la economía y del mercado.

17


Informe Liikanen

Con el fin de evaluar si era necesaria una re-forma estructural del sector bancario, en fe-brero de 2012 la Comisión Europea encargóun informe –Informe Liikanen– a un grupo deexpertos presidido por Erkki Liikanen, gober-nador del Banco de Finlandia. En su elabora-ción colaboraron un gran número de directi-vos, clientes e inversores de diferentes entida-des bancarias, así como académicos expertosen el sector bancario.

Como resultado de la evaluación se concluyóque el modelo de negocio bancario no habíafuncionado adecuadamente durante la crisis.El estudio reveló una excesiva toma de riesgospor parte de las entidades y una excesiva de-pendencia de la financiación a corto plazo.Asimismo, constató que esta asunción de ries-gos no estuvo ligada a una adecuada protec-ción del capital, y los fuertes vínculos existen-

tes entre las entidades de crédito crearon al-tos niveles de riesgo sistémico.

Con objeto de incrementar y complementar elconjunto de reformas, la Unión Europea, elComité de Supervisión Bancaria de Basilea ylos gobiernos de distintos países establecieronen el informe una serie de propuestas:

· Separación de las actividades de bancatradicional de otras actividades comercia-les que conlleven mayor riesgo.

· Planes de contingencia: El informe enfatizóla necesidad de desarrollar y mantener unplan de contingencia efectivo y realista paralas entidades de crédito.

· Definición de las reservas necesarias paraasumir pérdidas: El informe reveló la nece-sidad de que los bancos constituyan una ca-pa de provisiones para reservas (bailinabledebt) lo suficientemente grande. Dicha pro-

INFORMELIIKANEN

REFORMAS DEL SECTOR BANCARIO

BASILEA III

NORMATIVA EMIR

LEY DODD FRANK

COMERCIALIZACIÓN

RETRIBUCIONES

Normas sobre requisitos de capital.Normas sobre rescate y resolución de entidades bancarias.Separación de la banca tradicional y el Proprietary Trading.Reformas estructurales bancos de mayores dimensiones.

Convergencia regulatoria a nivel mundial.Uniformidad en la definición de capital y mayor calidad

del mismo.Requerimientos de liquidez y apalancamiento.

Otorgar mayor transparencia a los mercados OTC.

Devolver la confianza a los inversores y proteger a los consumidores

MiFID. Protección al cliente.

Importancia del riesgo de conducta (FCA en UK)

18


visión (o una cantidad equivalente de fon-dos propios) debe mantenerse fuera del sis-tema bancario/actividad bancaria y dismi-nuirá el incentivo a asumir riesgos.

· Revisión de los requisitos de capital deactivos comerciales y préstamos hipote-carios: El informe propuso aplicar pondera-ciones de riesgo más sólidas en la determi-nación del capital mínimo estándar y untratamiento más coherente del riesgo.

· Mayor control y supervisión de los ban-cos: En este sentido, el estudio propusouna serie de medidas para endurecer loscontroles en las entidades bancarias:

- Gobernanza y mecanismos de control:prestar mayor atención a los mecanismosde gobernanza y control de todos losbancos, sobre todo a los Consejos de Ad-ministración de aquellos bancos de ma-yor tamaño y complejidad.

- Gestión de riesgos: fortalecer el mecanis-mo de control dentro de los bancos y es-tablecer una cultura de riesgos en todoslos niveles de las instituciones financie-ras, los legisladores y supervisores apli-cando plenamente las directrices CRD IIIy CRD IV (Capital Requirements Directi-ves).

- Planes de incentivos: con el fin de refor-zar la confianza entre los ciudadanos ylos banqueros se planteó la necesidad dereformar los sistemas de remuneraciónde los bancos, de manera que fuesenproporcionales a los resultados sosteni-bles a largo plazo (más adelante comen-taremos este tema con mayor amplitud).

- Comunicación de riesgos: con el fin demejorar la disciplina del mercado y recu-perar la confianza de los inversores, los

requisitos de divulgación pública de losbancos se modificaron con el fin de me-jorar la calidad, comparabilidad y trans-parencia de la información sobre los ries-gos.

- Sanciones: los supervisores deberán san-cionar a aquellas entidades que no cum-plan con las medidas propuestas.

NUEVAS REFORMAS EN 2013

A raíz del informe Liikanen y a partir de lasnormas nacionales vigentes en algunos Esta-dos miembros, los principios sobre estabilidadfinanciera acordados a escala mundial y laevolución en otros países, la Unión Europeaha ido elaborando una serie de normas adi-cionales de aplicación al sector bancario quese resumen en los siguientes puntos:

· Nuevas normas sobre requisitos de capi-tal: Durante la crisis financiera muchos paí-ses tuvieron que dar ayudas públicas alsector bancario, lo que puso de manifiestolas deficiencias en la regulación y supervi-sión del sistema. Por lo tanto, se han emiti-do nuevas normativas que buscan fortale-cer la capacidad de resistencia del sectorbancario de la UE ante futuras crisis econó-micas, al tiempo que garantizar que losbancos sigan financiando la actividad eco-nómica y el crecimiento.

· Nuevas normas sobre rescate y resoluciónde entidades bancarias: Las nuevas nor-mas establecen que las autoridades debe-rán intervenir de forma proactiva antes deque las entidades comiencen a contar conproblemas financieros. Si, a pesar de ello, lasituación financiera de un banco se deterio-ra más allá de lo asumible, los accionistas yacreedores de los bancos deberán hacer

El estudio reveló unaexcesiva toma deriesgos por parte de lasentidades y unaexcesiva dependenciade la financiación acorto plazo. Constatóque esta asunción deriesgos no ligada a unaadecuada proteccióndel capital, además delos fuertes vínculosexistentes entre lasentidades de créditocrearon altos niveles deriesgo sistémico.

19


frente a su parte y posteriormente, si se ne-cesitan recursos adicionales, éstos se toma-rán del fondo de garantía, que deberá cu-brir un 1% de los depósitos dentro de 10años.

· Separación estructural de los riesgos aso-ciados a la banca tradicional y a las acti-vidades de trading: Algunas actividadespueden conllevar altos niveles de riesgo sirepresentan una parte importante del ne-gocio de la entidad (por ejemplo inversiónen productos titulizados complejos, deriva-dos over-the-counter, etc.). Por ello, tal ycomo se establece en el informe Liikanen,la Comisión establece la obligatoriedad deque exista una clara separación entre estasactividades de mayor riesgo y las de bancatradicional (depósitos y sus garan tías), ytendrán que separarse también aquellas ac-tividades de comercialización que puedanponer en peligro la estabilidad financieradel banco.

REFORMAS ESTRUCTURALES EN 2014 PA-RA LAS ENTIDADES BANCARIAS DE MAYO-RES DIMENSIONES

Adicionalmente, en Enero de 2014 la Comi-sión Europea ha propuesto nuevas normassobre la reforma estructural de los bancos dela UE, solo de aplicación a las entidades ban-carias de mayores dimensiones y más comple-jas. Según el comisario de Mercado Interior yServicios, Michael Barnier, esta reforma con-forma la última pieza del engranaje que per-mitirá llevar a cabo la reforma normativa delsistema bancario europeo. Dicha reforma es-tructural tendrá los siguientes efectos:

· Prohibirá la negociación por cuenta propiaen algunos instrumentos financieros y ma-terias primas, por los riesgos que conllevan.

· Atribuirá a los supervisores la facultad y, endeterminados casos, la obligación de exigirla transferencia de otras actividades de ne-gociación de alto riesgo a entidades jurídi-camente independientes dentro del grupo(filialización).

· Establecerá normas sobre los vínculos eco-nómicos, jurídicos, operativos y de gobiernoentre la entidad de negociación separada yel resto del grupo bancario.

El impacto de estas medidas tendrá que eva-luarse en los próximos años, dado que sonmuy recientes pero, según la Comisión Euro-pea, sus beneficios se situarían entre 75.000y 140.000 millones de euros al año, en tornoal 0,6 y al 1,1% del PIB comunitario, debido ala reducción de los costes estimados de futu-ras crisis financieras.

Normativa European Market Infras-tructure Regulation (EMIR) para elsector financiero

Además de las reformas del sector bancarioeuropeo citadas anteriormente, también afec-ta al sector la nueva regulación de los merca-dos OTC (Over The Counter), conocida comoEMIR (European Market Infrastructure Regu-lation), que entró en vigor el último trimestrede 2012 y que afecta a todas las empresasque operan con derivados extrabursátiles. Elobjetivo principal de esta nueva regulación esproporcionar mayor transparencia a los mer-cados financieros, además de ayudar a eva-luar los riesgos en los que incurre cada enti-dad. Para ello se establecen una serie de obli-gaciones a las entidades:

· Registro de operaciones: Las contrapartesde una operación OTC deberán facilitar una

El objetivo principal deEMIR es proporcionarmayor transparencia alos mercadosfinancieros, además deayudar a evaluar losriesgos en los queincurre cada entidad.

20

serie de datos en el momento en que se re-gistra la operación, y estos datos se pon-drán a disposición de la ESMA, la AutoridadEuropea de Mercados y Valores y otros or-ganismos reguladores.

· Documentación exigible: EMIR exige laconfirmación de las operaciones OTC en unplazo máximo de tiempo (que varía en fun-ción de las características de la operación).La confirmación establece las cláusulas delcontrato e implica un proceso bidireccionaldonde las dos partes se involucran y llegana un acuerdo.

· Confirmaciones a través de SWIFT10: Losmensajes SWIFT son la norma del sectorpara la confirmación bilateral de operacio-nes con diversos instrumentos derivadosOTC, por lo que se debe garantizar que lasconfirmaciones se envíen a través de la redde SWIFT.

· Conciliación y declaración de informaciónmediante el medio de notificación SWIFTAccord: Las directrices de buenas prácticasde la Asociación Internacional de Swaps yDerivados recomiendan que el proceso deconciliación de confirmaciones involucre alas dos partes de la transacción mediante laemisión de confirmaciones electrónicas aun sistema de conciliación de confirmacio-nes electrónico privado in-house o un siste-ma de conciliación de confirmaciones elec-trónico de un tercer proveedor. Esta trans-misión bilateral de confirmaciones electró-nicas que automatizará la conciliación, esel método más fiable y eficaz para confir-mar las operaciones y de esta forma mitigarel riesgo dentro del proceso de conciliación.

Ley Dodd-Frank en Estados Unidos

Como hemos podido observar el sector ban-cario europeo se está sometiendo a una ma-yor regulación y supervisión con el fin de quelas entidades actúen de una forma más res-ponsable y transparente. No obstante, la UEno es la única que está endureciendo sus po-líticas bancarias: en Estados Unidos tambiénse está llevando a cabo una serie de reformasdel sistema bancario, entre las que destaca laLey Dodd-Frank, del 11 de julio de 2010.

La citada ley promueve una profunda reformafinanciera, abarcando casi todos los aspectosdel sector bancario, como respuesta a la peorcrisis financiera desde la gran depresión. Suprincipal objetivo es devolver a los inversoresla confianza en la integridad del sistema fi-nanciero y proteger a los consumidores. Losprincipales focos de actuación de la Ley Dood-Frank son:

· Refuerzo de la protección de los inverso-res: mayor responsabilidad, consistencia ytransparencia.

· Riesgo sistémico: fuerte supervisión y re-gulación de las entidades financieras.

· Supervisión global de los mercados finan-cieros: mayor supervisión en titulización,derivados y agencias de calificación crediti-cia.

· Otras herramientas para prevenir crisis fi-nancieras: evitar que se vuelvan a repetirlas demasiado grande para caer.

· Aumento de los estándares regulatoriosinternacionales y mejora de la coopera-ción internacional.

La Ley Dodd-Frankpromueve unaprofunda reformafinanciera comorespuesta a la peorcrisis financiera desdela gran depresión. Suprincipal objetivo esdevolver a losinversores la confianzaen la integridad delsistema financiero yproteger a losconsumidores.


10. SWIFT Society for Worldwide Interbank Financial Telecommunication: Proveedor de servicios de comunicación en elque se intercambian mensajes financieros estandarizados de manera segura.

21

Nuevo marco regulatorio mundial

Con el objetivo de establecer una cierta con-vergencia regulatoria mundial también se haestablecido un nuevo marco regulatorio, elacuerdo de Basilea III. Este tercer Acuerdo deBasilea se desarrolla como respuesta a algu-nas carencias en la regulación del sector ban-cario y aporta una mayor uniformidad en ladefinición de los niveles mínimos de capital,promoviendo mayores exigencias de recursospropios y exigiendo una mayor calidad de ca-pitales y carteras crediticias respecto a lasmedidas propuestas en Basilea II.

Las principales medidas acordadas en BasileaIII se resumen en los siguientes puntos:

· Aumento de la calidad del capital.

· Mejora de la captura de los riesgos de de-terminadas exposiciones.

· Aumento del nivel de los requerimientos decapital.

· Constitución de provisiones de capital.

· Introducción de una ratio de apalancamien-to.

· Mejora de la gestión del riesgo, del procesosupervisor y de la disciplina de mercado.

· Introducción de un estándar de liquidez.

Las citadas medidas endurecen significativa-mente la regulación bancaria. Por ello, se haacordado establecer un período transitoriopara su implantación gradual, que va desde el1 de enero de 2013 hasta el 1 de enero de2019, fecha en que el nuevo marco regulato-rio deberá estar totalmente implantado.

PROTECCIÓN AL INVERSOR

Los escándalos habidos a nivel global hanpropiciado un endurecimiento por parte delos reguladores en su legislación, a favor de laprotección al cliente. En este sentido, debe-

mos mencionar la Directiva sobre Mercadosde Instrumentos Financieros (MiFID) y la im-portancia creciente que está tomando el lla-mado riesgo de conducta.

En 2004 la Unión Europea adoptó la DirectivaMiFID I con el fin de reforzar el marco legisla-tivo comunitario de los servicios de inversióny de los mercados regulados, protegiendo deesta forma a los inversores, preservando la in-tegridad del mercado, y a su vez, fomentandola equidad, transparencia e integración de losmercados financieros.

En 2014, tras la crisis financiera de 2008, laUnión Europea adoptó una nueva Directiva(MiFID II) en sustitución de la anterior, con elfin de desarrollar un nuevo marco de actua-ción financiera cuyo objetivo era hacer máseficientes y transparentes a los mercados fi-nancieros, así como fortalecer la protección alos inversores. Dicha directiva regulaba, sobretodo, los nuevos requerimientos de informa-ción y los registros de operaciones (EMIR).

Los legisladores nacionales han ido adaptan-do la Directiva a sus circunstancias locales. Eneste sentido, España ha realizado la transpo-sición de la MiFID a través de dos normas: laLey 47/2007 de reforma de la Ley 28/1988,del Mercado de Valores, y el Real Decreto217/2008 que ha establecido el régimen jurí-dico aplicable a las entidades que prestan ser-vicios de inversión.

Con el fin de dar un trato equitativo a los in-versores, la Ley 47/2007 ha establecido unasobligaciones de transparencia tanto previascomo posteriores a la negociación.

Así pues, los Mercados Secundarios oficialesestán obligados a difundir, previamente a lanegociación, los precios de compra y venta

El tercer Acuerdo deBasilea se desarrollacomo respuesta aalgunas carencias en laregulación del sectorbancario (…) Sus medidas endurecensignificativamente laregulación bancaria.


22

existentes en cada momento y las posicionesde negociación a esos precios que se difun-den a través de sus sistemas. Por tanto, debenhacer público el precio, el volumen y la horade ejecución de las operaciones ya concluidas.

Para los sistemas multilaterales de negocia-ción11 se establecen ciertos requisitos detransparencia similares a los de los MercadosSecundarios oficiales.

En relación a los internalizadores sistemáti-cos, es decir, aquellas compañías que ejecutanórdenes de sus clientes contra sus propiascuentas o contra órdenes de otros clientes, seexigirán unas obligaciones de transparenciatanto antes de la negociación como a poste-riori.

· Transparencia pre-negociación. Los inter-nalizadores sistemáticos deberán hacer pú-blicas las cotizaciones cuando las órdenesde los clientes se refieran a acciones admi-tidas a cotización para las que exista unmercado líquido y cuando dichas órdenessean iguales o inferiores al volumen están-dar del mercado para una categoría de ac-ciones.

Cuando se trate de acciones para las queno exista un mercado líquido los internali-zadores sistemáticos divulgarán las cotiza-ciones únicamente a petición de los clien-tes. En cambio, para aquellas acciones paralas que exista un mercado líquido, pero elvolumen de las órdenes supere el estándar,

los internalizadores sistemáticos no tendrán

la obligación de publicar sus cotizaciones.

· Transparencia pos-negociación. Los inter-

nalizadores sistemáticos harán público el

volumen y el precio de las transacciones

que realicen sobre acciones admitidas a ne-

gociación en mercados regulados.

Por tanto, la tendencia a futuro tanto en el

ámbito comunitario como estatal es obtener

una mayor transparencia en los mercados fi-

nancieros, de forma que los inversores dis-

pongan de una mayor protección y a su vez

se fomente la eficacia y equidad en los mer-

cados.

IMPORTANCIA DEL RIESGO DE CONDUCTA(CONDUCT RISK)

Podríamos definir el riesgo de conducta como

aquel derivado de que las decisiones de ne-

gocio que se toman y las conductas que se

muestran en cada etapa del ciclo del produc-

to puedan causar un perjuicio o un mal resul-

tado para los clientes.

La importancia de este riesgo se está incre-

mentando exponencialmente. Por ejemplo, en

Reino Unido el antiguo supervisor (la Finan-

cial Services Authority - FSA) se escindió en

dos durante 2013, dando lugar a un organis-

mo específico para este riesgo, la Financial

Conduct Authority (FCA)12, y en otros países

los supervisores también están reforzando es-

te aspecto.

La tendencia de futuro,tanto en el ámbitocomunitario comoestatal, es obtener unamayor trasparencia enlos mercadosfinancieros, de formaque los inversoresdispongan de unamayor protección y sefomente la eficacia yequidad en losmercados.


11. Sistemas operados por una empresa de servicios de inversión, por una sociedad rectora de un mercado secundario ofi-cial, o por la entidad constituida al efecto por una o varias sociedades rectoras, que han de tener como objeto socialexclusivo la gestión del sistema y que han de estar participadas al 100 por ciento por una o varias sociedades recto-ras, que permita reunir, diversos intereses de compra y de venta sobre instrumentos financieros de múltiples.

12. El otro organismo supervisor que surgió de dicha escisión fue Prudential Regulation Authority (PRA).

23

Sin ir más lejos, en junio de 2014, Banco deEspaña anunció la creación de una nueva Di-visión de Supervisión de Conducta de Entida-des, que complementa la creación en 2013del Departamento de Conducta de Mercado yReclamaciones. Según el supervisor:

“El nuevo enfoque pretende responder a lacreciente relevancia e impacto social que tie-ne la relación de las entidades financieras consus clientes, que es un componente de granimportancia para el funcionamiento ordenadodel mercado de servicios bancarios y queconstituye un motivo de atención preferentepara los organismos internacionales relacio-nados con la regulación y supervisión banca-ria.” 13

La mayor relevancia del riesgo de conductano es más que la respuesta natural de regula-dores y supervisores ante las malas prácticasrealizadas con sus clientes por buena partedel sector bancario durante la crisis financie-ra, originadas porque las entidades estabanfocalizadas en vender productos en lugar desatisfacer las necesidades reales de sus clien-tes. Cambiar esto supone un cambio culturalmuy relevante:

“Es esencial un cambio cultural en las entida-des si queremos restaurar la integridad y laconfianza en el sector financiero, y la FCAcontinuará centrándose en cómo las entida-des se gestionan y estructuran para que cadadecisión que tomen lo sea en el mejor interésde sus consumidores.” 14

La FCA realizará evaluaciones sobre las deci-siones tomadas por los gestores, incluso antes

de que dichas decisiones puedan llevarse aefecto. Es decir, sería posible –por ejemplo–que prohibiera un producto financiero antesde su lanzamiento. Por tanto el supervisor seaproxima a este riesgo con un claro enfoqueanticipatorio, y no parece que dicho enfoquevaya a ser exclusivo del modelo anglosajón enel futuro.

Para cumplir los requisitos actuales y futurosen materia de riesgo de conducta las entida-des necesitarán:

· Un adecuado impulso por parte de la AltaDirección para implementar el cambio cul-tural mencionado: tone at the top o com -mitment at the top.

· Incorporar el riesgo de conducta al marcocorporativo de gestión de riesgos y alinear-lo con el apetito de riesgo de la entidad.

· Controles y sistemas adecuados.

· Empleados con los conocimientos y habili-dades necesarios, así como con buen juicioprofesional.

Legislación en materia de política deretribuciones

Finalmente, los organismos internacionalesidentificaron que las políticas retributivas se-guidas por buena parte de las entidades cre-diticias no favorecieron precisamente unagestión prudente del riesgo, sino que fueronuna más de las causas que provocaron la cri-sis financiera.

La Unión Europea adoptó las primeras medi-das legislativas al respecto, encomendando al

El riesgo de conductaes el derivado de quelas decisiones denegocio que se toman ylas conductas que semuestran en cadaetapa del ciclo delproducto puedancausar un perjuicio o unmal resultado para losclientes.


13. Obtenido de la nota de prensa emitida por el Banco de España el 6 de junio de 2014.

14. Financial Conduct Authority Risk Outlook 2013. Traducción realizada por el equipo redactor.

24

Comité Europeo de Supervisión Bancaria (cu-yas tareas y responsabilidades fueron asumi-das posteriormente por la EBA), el desarrollode las directrices a seguir en materia de políti-cas retributivas. El 10 de diciembre de 2010la EBA publicó su Guía sobre políticas y prác-ticas de remuneración, que fue posteriormen-te adoptada por la legislación española15.

Si bien es cierto que el modelo español debanca comercial ha sido históricamente másprudente con respecto al peso de las retribu-ciones variables sobre la retribución total quelos modelos de banca anglosajona, nuestrasentidades han tenido que adaptarse tambiéna la nueva normativa. Esta incluye, entreotros, aspectos relacionados con:

· Gobierno corporativo (por ejemplo la nece-saria existencia de un Comité de Remune-raciones).

· Diferimientos de la retribución variable enalgunos colectivos de empleados.

· Pago de bonus en forma de instrumentosde capital.

· Limitaciones a las retribuciones variables enaquellas entidades que han recibido apoyofinanciero público.

A este respecto, son interesantes las conclu-siones del estudio realizado por PwC Remu-neraciones en las entidades de crédito espa-ñolas: regulación y tendencias en base a unaencuesta enviada a 13 entidades. Algunas dedichas conclusiones son:

· La mayoría de encuestados manifestarontener claras las implicaciones de la vincula-ción al riesgo de sus retribuciones y el dife-rimiento de estas. Sin embargo, existen pro-

blemas de comprensión de las fórmulas depago mediante instrumentos de capital.

· El 69% de las entidades extendió las obli-gaciones más allá de la propia definiciónde colectivo identificado, lo que es acordecon el carácter conservador del sector enesta materia.

· En un 93% de los casos la remuneraciónvariable, en relación con la remuneración fi-ja, representaba menos del 50% de la retri-bución total.

· El 38% afirmaba desconocer las posiblesnovedades, el 50% conocía algunos aspec-tos, mientras que solo el 12% manifestóconocer íntegramente las tendencias emer-gentes.

Papel de Auditoría Interna

Por todo lo anterior y teniendo en cuenta laestricta regulación y supervisión a la que seestá sometiendo el sector bancario, AuditoríaInterna jugará un papel muy importante, veri-ficando que se establecen los controles nece-sarios en las entidades para hacer frente a es-ta nueva y estricta regulación. Será indispen-sable para promover la eficiencia y eficacia delas operaciones financieras y para evaluar lossistemas de gestión y control de riesgos.

Para cumplir con tal fin, el auditor interno nosolo deberá tener en cuenta las reformas pre-viamente citadas, sino que también deberátener en consideración otras regulaciones es-pecíficas de Auditoría Interna, tales como laSupplementary Policy Statement on the Inter-nal Audit Function and its outsourcing (SR 13,emitido por la FED) o The internal audit func-tion in banks, y Guidelines-Corporate Gover-

Debido a la estrictaregulación ysupervisión a la que seestá sometiendo elsector bancario,Auditoría Internajugará un papel muyimportante, verificandoque se establecen loscontroles necesarios yserá indispensable parapromover la eficiencia yeficacia de lasoperaciones, evaluar lossistemas de gestión ycontrol de riesgos.


15. Principalmente a través del Real Decreto 771/2011, de 3 de junio, y de la Circular 4/2011 de Banco de España.

25

nance Principles for Banks (este último actual-mente en fase de consulta) emitidos por BaselCommittee on Banking Supervision.

También deberá tener en consideración las mejo-res prácticas para la función de Auditoría Interna,entre las que destacan las descritas en el docu-mento Recommendations from the Committee onInternal Audit Guidance for Financial Services,emitido por el Chartered Institute of Internal Audi-tors de Reino Unido. Posteriormente analizaremosmás en profundidad estos documentos.

La Unión Bancariasupondrá cambios en larelación de lasentidades financierascon el supervisor,afectando también aAuditoría Internadirecta oindirectamente.


ADAPTACIÓN AL MECANISMO DE SUPERVISIÓN ÚNICO

Tal y como dice Banco de España, “en juniode 2012 los jefes de Estado o de Gobierno dela Unión Europea decidieron promover lacrea ción de un supervisor bancario único, conel objetivo de mejorar la calidad de la supervi-sión en la zona del euro, promover la integra-ción de los mercados y romper el vínculo ne-gativo que se había creado entre la confianzaen las entidades bancarias y las dudas sobrela sostenibilidad de la deuda pública. El Meca-nismo Único de Supervisión (MUS) constituyeel primer paso hacia la denominada «UniónBancaria» que se prevé completar con un me-canismo único de resolución y un sistema ar-monizado de garantías de depósitos.” 16

El MUS es una evolución natural en el esque-ma de construcción de la Unión Bancaria Eu-ropea donde los supervisores locales, como

Banco de España, seguirán teniendo un papelmuy relevante dado el conocimiento del sectorfinanciero que atesoran. No obstante esta in-tegración supondrá cambios en la relación delas entidades financieras con el supervisor,afectando también a Auditoría Interna directao indirectamente.

A continuación se describen algunos cambiosque se van a producir en las entidades comoconsecuencia de la Unión Bancaria y que afec-tarán a Auditoría Interna:

· Las entidades tendrán que cambiar su orga-nización interna y sus Consejos tendrán queaprobar un marco claro de apetito de riesgoen el que se insertarán las políticas de pla-nificación de capital, de gestión y controldel riesgo y de Auditoría Interna. Asimismo,hará falta una visión renovada en temas co-

PAPEL DE AUDITORÍA INTERNA

Verificar controles

Promover la eficacia y eficiencia de las

operaciones

Eval

uar s

istem

as

de g

estió

n y

cont

rol d

e rie

sgos

16. http://www.bde.es/bde/es/areas/supervision/El_Mecanismo_Un_565aad4a9a47241.html

26

mo la transparencia de la estructura corpo-

rativa, las obligaciones y responsabilidades

del Consejo, el tratamiento de los conflictos

de interés, los nombramientos, las comisio-

nes de auditoría o la función de cumpli-

miento, entre otros.

· Las entidades tendrán que invertir en recur-

sos humanos y tecnológicos, ya que la eva-

luación continua que desarrollará el super-

visor exige que cada banco desarrolle una

función específica de solvencia dinámica.

También habrá que dedicar más recursos a

la Auditoría Interna y dar más peso a la

evaluación de riesgos que a la verificación.

· Las entidades tendrán que adaptarse a un

modelo de supervisión operativo, preventi-

vo y estratégico, que se apoya más en la re-

visión del control interno, de la gobernanza

y de la solvencia desde el punto de vista di-námico que en la revisión contable.

El Comité de Supervisión Bancaria de Basilea(CEBS), en su documento de consulta Princi-pios Básicos para una supervisión bancariaeficaz, dedica un principio exclusivo a Audito-ría Interna, y varios puntos importantes:

· Principio 26 – Control y auditoría internos:el supervisor verifica que los bancos cuen-tan con adecuados controles internos paraestablecer y mantener un entorno operativocorrectamente controlado que facilite lagestión de su negocio, teniendo en cuentasu perfil de riesgo. Dichos controles inclu-yen entre otros las funciones independien-tes de Auditoría Interna.

· El supervisor evalúa el trabajo realizado porla función de Auditoría Interna y determina

Habrá que dedicar másrecursos a AuditoríaInterna y dar más pesoa la evaluación deriesgos que a laverificación.


UNIÓN BANCARIA EUROPEA

Unión Bancaria

Origen del proyecto: círculo viciososolvencia soberana y solvencia bancaria Componentes de la Unión Bancaria

Solvencia soberana

Calificaciónsoberanay del sector financiero

Acceso a mercado mayorista/ Costes

financiación

Solvencia bancaria

cia na

Ca

Am

a a

lvencia

alificacy dfin

cceso a

Ca

A

Unión Bancaria

Supervisor único

Fondo de Garantía de Depósitos

Marco de resolución

Single rulebook

27

si puede basarse en ella para identificarámbitos de riesgos potenciales.

· El supervisor también verifica que la fun-ción de gestión del riesgo está sujeta aexámenes periódicos realizados por la fun-ción de Auditoría Interna.

· Una infraestructura pública bien desarrolla-da debe incluir un sistema de Auditoría In-terna que, si no se proporciona adecuada-mente, puede llegar a desestabilizar los sis-temas y mercados financieros, o impedir sumejora.

Por tanto, la función de Auditoría Interna esclave para el Supervisor Único, pero para de-sarrollar su papel deberá reforzarse. A conti-nuación se enumeran posibles aspectos demejora para Auditoría Interna:

. Alineación de sus planes de auditoría conlos objetivos y prioridades del SupervisorÚnico.

. Auditoría Interna deberá asegurarse decontar con perfiles técnicos adecuados parala revisión de los nuevos procesos supervi-sados.

· Es previsible que el Supervisor delegue conmás asiduidad determinados trabajos desupervisión en Auditoría Interna. Esta po-tencial atribución conllevaría un incrementoen la dotación de horas de los equipos deAuditoría Interna.

A continuación se detallan una serie de ac-tuaciones que, sin llegar a ser un requerimien-to, constituyen buenas prácticas que serán va-loradas positivamente por el Supervisor:

· Ante el énfasis del Supervisor sobre deter-minados procesos como el de planificación

del capital y su integración en la gestión dela entidad, el alcance de la labor de Audito-ría Interna no deberá limitarse a la revisiónde la calidad del dato, sino que será nece-saria una mayor implicación en la revisiónde los procesos.

· El Consejo de Administración deberá teneruna mayor implicación en la revisión de losprocesos. Por lo tanto, Auditoría Interna de-berá asegurarse que se remita al Consejotoda la información necesaria con suficien-te detalle.

· Auditoría Interna deberá asegurar la cohe-rencia de los distintos procesos estratégicosde la entidad (plan estratégico, plan de ne-gocio, planificación de capital, plan de fi-nanciación y recovery plan).

· Auditoría Interna deberá asegurar la inte-gración del Marco de Apetito al Riesgo enlos distintos procesos de la entidad.

BANCO CENTRAL EUROPEO: PRÓXI-MAS ETAPAS Y RETOS DEL MECANIS-MO ÚNICO DE SUPERVISIÓN

Uno de los principales retos a los que el BCEha tenido que enfrentarse ha sido el caráctery el alcance sin precedentes de sus nuevasfunciones. Además, el espacio de tiempo parael establecimiento del MUS es muy corto, mu-cho más corto que cuando se establecieron elBCE y la política monetaria única.

Otra dificultad adicional han sido las modifi-caciones del calendario. La fecha en que elBCE ha asumido sus nuevas funciones de su-pervisión se ha retrasado gradualmente desdemarzo hasta noviembre de 2014, lo que hasignificado ajustes constantes de todos losplazos (procesos de adopción de decisiones,

La función de AuditoríaInterna es clave para elSupervisor Único, perodeberá reforzarse yllevar a cabo una seriede actuaciones que, sinser requerimiento,constituyen buenasprácticas valoradaspositivamente por elSupervisor.


28

calendario de supervisión, preparativos logís-ticos, contratación de personal y formación deequipos de supervisión conjuntos).

El BCE tratará de satisfacer las expectativaslegítimas de rendición de cuentas y transpa-rencia en virtud del Acuerdo Interinstitucionaly el Memorando de Entendimiento, estandoplenamente comprometido con el ejercicio de

sus responsabilidades en el marco de esosacuerdos.

Debido a la falta de personal del BCE para elejercicio de sus funciones, probablemente setendrá que apoyar más en las áreas de Audi-toría Interna de las entidades supervisadas,por lo que es básico reforzar la función e in-dependencia de Auditoría Interna.

Las nuevasregulaciones siguen lalínea marcada por elMarco Internacionalpara la PrácticaProfesional de laAuditoría Interna,ampliando susprincipios y normas.


NORMATIVA ESPECÍFICA PARA LA FUNCIÓN DE AUDITORÍA INTERNA

Hasta el momento se han expuesto los gran-des cambios acaecidos en el sector bancarioen general pero, por supuesto, también debe-mos considerar aquellos aspectos que afectanespecíficamente a la función de Auditoría In-terna. Nos referimos a documentos normati-vos y recopilaciones de mejores prácticas emi-tidos por organismos de prestigio internacio-nal, destacando los siguientes: The internalAudit Function in Banks de Junio de 2012 yGuidelines-Corporate Governance Principlesfor Banks (actualmente en fase de consultas),emitidos por el Basel Committee on BankingSupervision; Supplemental policy statementon the internal audit function and its outsour-cing, emitido por la Federal Reserve en enerode 2013; y Effective internal audit in the fi-nancial services sector, emitido por el Charte-red Institute of Internal Auditors de ReinoUnido en julio de 2013.

En un principio podría pensarse que las ten-dencias normativas internacionales sólo de-ben preocupar a las entidades de crédito con

presencia en el exterior. Nada más lejos de larealidad, considerando la convergencia regu-latoria a nivel mundial que se está producien-do. En el medio-largo plazo las pautas marca-das por los reguladores más activos, principal-mente anglosajones, terminarán llegando alresto de países desarrollados, con lo que co-nocer estas tendencias es deseable tambiénpara las entidades locales.

Como es lógico, las nuevas regulaciones si-guen la línea marcada por el Marco Interna-cional para la Práctica Profesional de la Audi-toría Interna, ampliando sus principios y nor-mas.

Cabe destacar el especial énfasis que los do-cumentos hacen sobre los siguientes aspec-tos:

Las estructuras de gobierno, establecien-do el lugar donde queda enmarcada la

función de auditoría interna dentro de la or-ganización. Las claves a considerar incluyencontar con un adecuado estatuto de Auditoría

29


Interna, adherirse a estándares internaciona-les adecuados y por supuesto la adecuada re-lación con el Comité de Auditoría y el Conse-jo de Administración. Estos elementos son in-dispensables para garantizar la deseada inde-pendencia de la función dentro de la organi-zación.

Para el caso de organizaciones con filiales osucursales en el extranjero los reguladores in-sisten en la necesidad de que los responsa-bles locales de la función de auditoría internacuenten con la suficiente altura profesional(seniority), que debe ser comparable a la dela dirección ejecutiva de aquellas actividadesque tienen que auditar.

La capacidad de auditoría interna paracuestionar las decisiones de la alta direc-

ción. La función de auditoría interna debe sercapaz de motivar a la dirección para que me-jore la efectividad del governance, la gestiónde los riesgos y los controles internos.

En este sentido se hace necesario que el Con-sejo de Administración y sus comités fijen elapropiado tono directivo (tone at the top)que asegure el adecuado soporte y la acepta-ción de Auditoría Interna en todos los nivelesde la organización.

La evaluación continua de riesgos comoproceso dinámico que incide en las plani-

ficaciones. Los documentos animan a la reali-zación de auditorías continuas como parte dela tarea de evaluación de riesgos (Risk As-sessment), así como soporte para ajustar lasplanificaciones y universos auditables.

Para agregar valor en las organizacionesAuditoría Interna no debe limitarse a en-

contrar las consecuencias y efectos de las de-bilidades. Lo realmente relevante es identifi-car los motivos, lo que nos lleva a la impor-

tancia de los análisis de causa (root causes),lecciones aprendidas y post mortem.

Como es lógico los análisis de leccionesaprendidas no deben limitarse a las debilida-des encontradas en la propia organización.Conocer en profundidad los motivos que ori-ginaron los escándalos financieros acaecidosen los últimos tiempos permitirá a las organi-zaciones identificar debilidades y mejorar suspropios controles.

Los reguladores mencionan aspectosrelevantes a incluir en el universo audi-

table. Algunos son realmente novedosos,mientras que en otras ocasiones se trata deque la función de auditoría interna ponga unmayor énfasis en temas que ya se estabanempezando a considerar. Podemos destacarlos siguientes:

· Estructura de Gobierno (governance) inter-no de la organización, para todas las líneasde negocio significativas y a todos los nive-

ÉNFASIS DE LAS TENDENCIAS NORMATIVAS INTERNACIONALES

Independencia de la Funciónde Auditoría Interna

Apropiado “tone at the top”

Auditorías Continuas

Análisis de “root causes”, lecciones aprendidas y “post mortem”

Refuerzo y ampliación del universo auditable

30

les. Esto incluye la evaluación sobre la ade-

cuación y efectividad de las respuestas da-

das a los riesgos.

· La cultura del riesgo y del control en la or-

ganización (tone at the top).

· La información presentada al Consejo y a la

Dirección Ejecutiva para la toma de decisio-

nes estratégicas y operativas, evaluando si

representa fielmente la estrategia corres-

pondiente al modelo de negocio de la enti-

dad.

· La fijación y adherencia al apetito de ries-

go, evaluando si éste se está considerando

en las actividades, límites y reportings de la

organización.

· Riesgo de conducta y riesgo reputacional.

Es primordial que Auditoría Interna evalúe

si la organización actúa con la integridad

debida en su relación con el cliente, ofre-

ciendo productos en línea con los intereses

de este último.

· Gestión del capital y liquidez.

· Riesgo estratégico, que en ocasiones es

percibido como una de las causas más im-

portantes en la reducción del valor para el

accionista.

· Riesgos emergentes, como la gestión de

grandes proyectos corporativos, introduc-

ción de nuevos productos, gestión de pro-

yectos de inversión, fusiones y adquisicio-

nes, externalización de decisiones, etc.

· Riesgos de ciberseguridad, cada vez más

relevantes con el creciente uso por parte de

clientes de canales distintos a la oficina tra-

dicional (internet, dispositivos móviles).

· Plan de Continuidad de Negocio y Plan deDesastres, verificando que estén alineadoscon el negocio y que se realizan tests deestrés.

· Normativa medioambiental.

Añadir estos elementos al universo auditable(o reforzar su evaluación, según el caso) lleva-rá inevitablemente a que los auditores inter-nos tengan que incluir nuevas habilidadestécnicas en su formación, o incluso es posibleque en ocasiones la función de Auditoría In-terna necesite buscar asesoramiento externopara cubrir posibles lagunas.

Merece la pena mencionar que en estos do-cumentos regulatorios se destaca que los su-pervisores desean apoyarse en una función deAuditoría Interna fuerte dentro de la organi-zación, que mantenga una relación abierta,constructiva y cooperativa con el regulador.Esto permitiría intercambiar información rele-vante para que cada uno pueda llevar a cabosus responsabilidades eficientemente.

De alguna manera los supervisores se reser-van la potestad de evaluar la función de Audi-toría Interna para determinar su fiabilidad. Es-te análisis cobra especial relevancia porqueincide en el perfil de riesgo global percibidopor el supervisor en la entidad financiera y,además, servirá para que el supervisor decidasi puede confiar en las conclusiones de Audi-toría Interna.

Pero tengamos en cuenta que la relación conel supervisor no es la única que cobra espe-cial relevancia. Podemos destacar también larelación con otros proveedores de asegura-miento, tanto externo (auditoría de cuentas)como internos (segunda línea de defensa,fundamentalmente).

Añadir nuevoselementos al universoauditable, o reforzar suevaluación, llevaráinevitablemente a quelos auditores internostengan que incluirnuevas habilidadestécnicas en suformación.


31

La conjunción de todos estos aspectos es unode los grandes retos a los que se enfrentanuestra profesión en el futuro, y como todoslos retos supone también una oportunidadpara salir reforzados.

Más adelante, cuando analicemos los impac-tos y tendencias esperadas en la profesiónvolveremos sobre muchos de estos temas,que se revelan como las claves del futuro dela función.

Las tendencias tendránmayor impacto sobrelos recursos humanos,la estructuraorganizativa, elenfoque, alcance yorganización de lasrevisiones, y losrecursos técnicos de losdepartamentos deAuditoría Interna.


Análisis de Tendencias, Expectativase Impactos

En los anteriores capítulos hemos expuestolos cambios que se están produciendo en laregulación y el modelo bancario, a la vez quese han dado pequeñas pinceladas sobre cómovan a afectar a la función de Auditoría Inter-na.

En este capítulo ha llegado el momento deprofundizar y concretar cuáles van a ser lastransformaciones que se llevarán a cabo enlas unidades de Auditoría Interna. Para llegara estas conclusiones, nos hemos apoyado enlos resultados de una encuesta realizada ex-presamente con este fin por parte del Institu-to de Auditores Internos de España a los Di-rectores de Auditoría Interna de entidades fi-nancieras en España.

Cada uno de estos cambios o transformacio-nes los hemos denominado tendencias, que,en función de los aspectos sobre los que ten-drán mayor impacto, han sido clasificadas enlas siguientes categorías:

- Recursos humanos.

- Estructura organizativa de los departamen-tos de Auditoría Interna.

- Enfoque, alcance y organización de las revi-siones.

- Recursos técnicos y medios.

El análisis específico de cada una de las ten-dencias identificadas ha sido resumido en unatabla de tendencias y expectativas recogidacomo Anexo a este documento.

TENDENCIAS QUE AFECTARÁN A LA ESTRUCTURA DE RECURSOSHUMANOS DE LOS DEPARTAMENTOS DE AUDITORÍA INTERNA

Se producirá un ligero incremento derecursos complementado con la bús-queda de mejoras de eficiencia

Según las respuestas de 50 organizaciones ala encuesta realizada por el Instituto de Audi-

tores Internos de España en 2014, El Pulso de

la profesión, un 26% contestó que hubo una

disminución de la plantilla de Auditoría Inter-

na en 2014 (un 14% en 2013). Además, un

26,5% respondió que en 2014 disminuyó su

32

presupuesto económico (un 16% en 2013).

Sin embargo, consideramos que a partir de

ahora en el sector bancario en España los

equipos de Auditoría Interna se mantendrán

estables o incluso se incrementarán ligera-

mente en el corto y medio plazo.

Junto a esta tendencia positiva en los recur-

sos, se espera que Auditoría Interna sea capaz

de incrementar los niveles de eficiencia en su

trabajo. Y es que tanto los mayores requeri-

mientos externos esperados (atención a la ac-

tividad regulatoria y supervisora) como las ex-

pectativas crecientes de los clientes internos,

motivarán que las organizaciones busquen en

todos los ámbitos ganancias de eficiencia que

les permitan cumplir sus objetivos.

Algunas ideas que consideramos pueden con-

tribuir activamente a incrementar la eficiencia

son las siguientes:

Mejoras en el proceso de auditoría

· Intensificando la fase de planificación. Esta

fase es clave para el desempeño del traba-

jo, ya que sienta las bases para el trabajo

de campo. Forman parte de esta fase las

actividades de elaboración del mapa de

riesgos y controles a auditar, las entrevistas

con los propietarios de los procesos y la

elaboración del programa de trabajo. El re-

sultado de esta fase se concreta en la co-

municación a la dirección de los objetivos y

del alcance de la Auditoría Interna.

· Centrando el trabajo de campo en los ries-

gos críticos y en los controles clave. Asocia-

do con lo anterior, y suponiendo un mejor

conocimiento de los procesos, los trabajos

deberán estar centrados en auditar los ries-

gos y controles clave.

· El empleo de técnicas estadísticas para la

selección de muestras puede contribuir a

obtener ganancias de tiempo e incrementa-

rá la representatividad de la muestra sobre

la población, con lo que no será necesario

recurrir a pruebas adicionales para la con-

firmación de hallazgos.

· El empleo de técnicas de tratamiento ma-sivo de datos facilita alcanzar la cobertura

de Auditoría Interna, mejorar la cuantifica-

ción de las incidencias y mejorar la com-

prensión de los riesgos. Este es un territorio

donde aún puede avanzarse mucho ya que,

de acuerdo con el estudio elaborado por

PwC sobre el Estado de la Auditoría Internaen 2013, sólo un 31% de los encuestados

declaraba utilizar técnicas de análisis avan-

zado de datos.

Evitar duplicidades y mejorar la coordina-ción con la segunda línea de defensa y losauditores de cuentas.

Si bien la implementación del modelo de las

tres líneas de defensa en nuestras organiza-

ciones es una realidad (el 71% de los Directo-

res de Auditoría Interna respondieron en la

encuesta realizada por el Instituto de Audito-

res Internos de España que efectivamente sus

entidades tenían definido dicho modelo), exis-

ten oportunidades de mejora en su efectivi-

dad operativa.

Ciertamente, resulta complicado que desde

Auditoría Interna se pretenda cubrir todos los

riesgos de la organización sin confiar en el

aseguramiento que proporcionan la segunda

línea de defensa y otros proveedores de ase-

guramiento, como los auditores de cuentas

(comúnmente aceptados como cuarta línea).

Los mayoresrequerimientosexternos esperados ylas expectativascrecientes de losclientes internos,motivarán que lasorganizacionesbusquen en todos losámbitos ganancias deeficiencia.


33

Para ello es necesario profundizar en la crea-ción de una visión holística sobre cuáles sonestos proveedores y fomentar la coordinaciónentre los mismos. El documento de LA FÁBRI-CA DE PENSAMIENTO Marco de Relacionesde Auditoría Interna con otras funciones deaseguramiento, publicado en 2013 por el Ins-tituto, señala específicamente que la coordi-nación facilitará un mejor empleo de los re-cursos y esto llevará a ganancias de eficienciapara Auditoría Interna.

Esta ganancia de eficiencia tendrá una apor-tación positiva de la propia evolución del mo-delo de las tres líneas defensa. En efecto, con-sideramos que el modelo tenderá a un mayorrefuerzo de la segunda línea, asumiendo cuo-tas de responsabilidad adicionales en el en-torno de control de las organizaciones. Paraello, la inversión en la formación de los equi-pos que la conforman y en los sistemas (apli-caciones) de control es un elemento clave.

Además, esto puede suponer oportunidadesen la rotación de los equipos de Auditoría In-terna ya que algunos de los departamentosque conforman la segunda línea (Gestión Cor-porativa de Riesgos, Control Interno, etc.) su-ponen una salida natural para los auditoresinternos, dadas sus competencias y conoci-mientos.

Ofrecer aseguramiento sobre el diseño yfuncionamiento operativo de la segunda lí-nea de defensa.

Además de la coordinación necesaria descritaen el apartado anterior, no se debe olvidarque dentro de la organización sólo AuditoríaInterna está capacitada para ofrecer un ase-guramiento independiente. Por ello, unido alproceso natural de refuerzo de la segunda lí-

nea, será necesario que los planes de Audito-

ría Interna se enfoquen cada vez más en

ofrecer un aseguramiento independiente so-

bre el diseño y funcionamiento efectivo de

aquellas áreas que la conforman. En la medi-

da en que se confía en los controles de la se-

gunda capa se podrá equilibrar el esfuerzo

auditor en los trabajos sobre la primera capa.

Se requerirá una mayor especializa-ción en determinados riesgos, por loque será necesaria una mayor forma-ción de los recursos

El entorno cada día más complejo, así como

los cambios regulatorios, nos conducen a un

nuevo modelo de supervisión que llevará im-

plícito un cambio organizativo en nuestra fun-

ción, con una mayor especialización. Se nece-

sitará un talento cada vez más específico en

las personas que componen los equipos de

Auditoría Interna.

El reto de Auditoría Interna debe ser seguir

mejorando sus capacidades para poder apor-

tar valor en los nuevos riesgos que van sur-

giendo y que cada día se hacen más relevan-

tes. Se debe preparar un plan para alcanzar

las nuevas metas, evaluando las capacidades

e identificando puntos de mejora.

Es necesario contar con los recursos adecua-

dos para aportar valor y para mejorar el rendi-

miento, ampliando el alcance de manera que

se proporcione no sólo aseguramiento sino

también asesoramiento en los riesgos críticos

más relevantes. Para ello es preciso incremen-

tar los recursos con conocimientos especiali-

zados tanto en las áreas tradicionales como

en los riesgos emergentes, elevando el nivel

de formación y conocimiento para poder res-

Es preciso incrementarlos recursos conconocimientosespecializados tanto enlas áreas tradicionalescomo en los riesgosemergentes, elevandoel nivel de formación yconocimiento parapoder responder a losdesafíos que sepresenten.


34

ponder a los desafíos y a las funciones máscomplejas que se presenten.

Hay una serie de riesgos emergentes que vana requerir una mayor especialización del per-sonal, como pueden ser la gestión de grandesproyectos, nuevos productos cada día máscomplejos en determinados segmentos, asícomo el proceso de comercialización de losdiferentes productos, fusiones y adquisicionespara alinearse con el interés de los “stakehol-ders”, infraestructuras de TI, continuidad delnegocio, análisis masivo de datos, etc.

Auditoría Interna debe tener la capacidad deauditar todas las áreas de la organización conauditores que tengan amplios conocimientosy experiencia, siendo fundamental la forma-ción continua y especializada de los mismos.En este sentido, según la Encuesta 2014 alsector bancario español del Instituto de Audi-tores Internos de España, un 62% de los Di-rectores de Auditoría Interna consultados con-sideran que aumentarán las horas dedicadasa la formación y casi un 85% hace un segui-miento de la formación recibida y necesariapara garantizar las habilidades requeridas porAuditoría Interna.

En relación con la formación de los recursosla FED establece que “los auditores deberíantener un amplio conocimiento del negocio,demostrado mediante años de experiencia enla auditoría específica de su industria, ampliaeducación, certificaciones profesionales, pro-gramas de entrenamiento, participación encomités, participación en asociaciones profe-sionales y rotación en los trabajos asigna-dos.” 17 De esta cita destacamos la importan-cia otorgada por los reguladores a contar con

auditores internos con certificaciones profe-sionales adecuadas así como la participaciónde los mismos en comités y asociaciones pro-fesionales.

Aumentarán las auditorías de equiposintegrados por miembros con distintasespecializaciones, hasta consolidar lafigura del superauditor interno queaglutine conocimientos de áreas rele-vantes

Con el fin de enfrentarse a un entorno cadavez más complejo y cambiante, no sólo porlos cambios regulatorios sino también por elimpacto constante que tiene el avance de latecnología, los equipos de Auditoría Internatenderán a ser multidisciplinares.

Esto implicará una progresiva fusión de losriesgos relacionados con TI con los riesgosfuncionales de cada una de las áreas. De estamanera se pueden detectar nuevos riesgos deforma constante a través del análisis masivode datos midiendo de una forma más exactael impacto global sobre la organización.

La tecnología no solo ayudará a detectar elriesgo de TI. También permitirá su integraciónen la realización de trabajos de auditoría através del análisis masivo de datos. Este he-cho proporcionará la posibilidad de detectarlos riesgos de una forma más eficaz sin incu-rrir en un mayor coste.

A través de la creación de equipos multidisci-plinares, el auditor interno será capaz de en-tender mejor tanto los riesgos detectados co-mo los posibles controles a aplicar. En el me-

En el medio plazo sedebería crear unafigura, que llamaremossuperauditor interno,capaz de entender lamayoría de los riesgosasociados a unaentidad bancaria.


17. Supplemental policy statement on the internal audit function and its outsourcing. Enero 2013. Reserva Federal. La tra-ducción ha sido realizada por el equipo redactor.

35

dio plazo se debería crear una figura, que lla-maremos superauditor, capaz de entender lamayoría de los riesgos asociados a una enti-dad bancaria. Esto va a exigir una apuestaconstante, por parte del Comité de Auditoría y

de los Directores de Auditoría Interna, por lacalidad e innovación que suponga un procesode mejora continua en el análisis de datos yconclusiones obtenidas al respecto.


¿Aumentará la composición de equipos integrados en los trabajos de Auditoría Interna, con especialistas en varias áreas, incluido un especialista en riesgos de TI?

0% 10% 20% 30% 40% 50%

Totalmente de acuerdo

De acuerdo

Ni de acuerdo ni en desacuerdo

En desacuerdo

Totalmente en desacuerdo

% Encuestados

TENDENCIAS QUE IMPACTARÁN EN LA ESTRUCTURA ORGANIZATIVADE LOS DEPARTAMENTOS DE AUDITORÍA INTERNA

El Director de Auditoría Interna de-penderá del Consejo o de una Comi-sión de Auditoría que estará más in-volucrada en la definición del plan deauditoría y el entendimiento de los re-sultados de las revisiones.

En primer lugar, hemos de indicar que en la lí-nea de atribución de responsabilidades a laComisión de Auditoría se ha publicado el Pro-yecto de Código Mercantil que, en el títuloVIII, detalla como funciones específicas de di-cha Comisión, entre otras, la de supervisar laeficacia del control interno de la entidad, su-pervisar la función de Auditoría Interna y lossistemas de gestión de riesgos y supervisar elproceso de elaboración y presentación, así co-

mo la integridad, de la información financierarelativa a la entidad.

El Código Unificado de Buen Gobierno de lassociedades cotizadas en su recomendación nú-mero 47 establece “que las sociedades cotiza-das dispongan de una Función de Auditoría In-terna que, bajo la supervisión de la Comisiónde Auditoría vele por el buen funcionamientode los sistemas de información y control inter-no”. Asimismo, la recomendación número 48establece “que el responsable de la función deAuditoría Interna presente a la Comisión deAuditoría su plan anual de trabajo; le informedirectamente de las incidencias que se presen-ten en su de sarrollo; y le someta al final de ca-da ejercicio un informe de actividades”.

Fuente: Encuesta 2014 a Directores de Auditoría Interna del sector bancario español. Instituto de Auditores Internos de España.

36

Lo indicado en los párrafos anteriores es unclaro exponente de la relevancia e involucra-ción que debe tener la Comisión de Auditoríaen todo lo concerniente a la función de Audi-toría Interna y, en concreto, en el plan anualde Auditoría, el entendimiento de los resulta-dos y hallazgos de las revisiones, en el segui-miento de las recomendaciones y en la medi-ción del desempeño de la función, según eldocumento elaborado por PwC en enero2014 Los nuevos retos de las Comisiones deAuditoría de las Sociedades Cotizadas.

También es vital y necesaria su involucraciónen el eje vertebrador de la función de Audito-ría Interna, como son el plan estratégico deAuditoría Interna y el plan anual.

La encuesta realizada por el Instituto de Audi-tores Internos de España al sector bancarioespañol pone de manifiesto que la involucra-ción de la Comisión de Auditoría Interna so-bre la función de Auditoría Interna repercuti-rá, principalmente a medio plazo, en la eva-luación de su desempeño y en el seguimientode las recomendaciones de auditoría y, enmenor medida, en la elaboración del plan deAuditoría Interna.

Para conseguir esta involucración, es básicoque se establezca una comunicación frecuen-te, abierta y franca, que no se limite a unamera formalidad. Lo cual requiere:

· Crear oportunidades para que los miem-bros de la Comisión de Auditoría y los audi-tores internos puedan comentar los temasde interés, riesgos del sector, cambios en elmodelo de negocio, nuevas operaciones,cambios regulatorios, etc. y reunirse confrecuencia, más allá de las sesiones forma-les de trabajo.

· Celebrar reuniones específicas más allá delas tradicionales requeridas entre la Comi-sión de Auditoría, la dirección y los audito-res internos, de manera que se mejore lacalidad de la comunicación y se amplíe laperspectiva de la Comisión.

· Adoptar un enfoque orientado a los ries-gos, que separe las responsabilidades desupervisión de las funciones de gestión.

Además, desde Auditoría Interna debe poten-ciarse la relación con el Comité Directivo,pues las expectativas de este colectivo sobrela función pueden no coincidir con la de laComisión de Auditoría. Y Auditoría Interna de-be dar respuesta a ambas.

Desde Auditoría Internahay que potenciar larelación con el ComitéDirectivo, pues lasexpectativas de éstesobre la funciónpueden no coincidir conlas de la Comisión deAuditoría. Y AuditoríaInterna debe darrespuesta a ambos.


El Comité de Auditoría tendrá mayor involucración en:

0% 5% 10% 15% 20% 25% 30% 35%

Seguimiento de recomendaciones

Entender mejor los hallazgos y planes de acción de los informes

Evaluación del desempeño de Auditoría Interna

Elaboración del plan de Auditoría Interna

% Encuestados (pregunta de opción múltiple)


37

Se exigirán mayores requerimientosde información (en cantidad y calidad)como consecuencia de la definición dela responsabilidad de los Consejos yComités/Comisiones delegadas.

El Mecanismo Único de Supervisión, ha dota-do de una mayor involucración a los órganosde gobierno de la entidad para la gestión delos riesgos de la misma. Por tal motivo, se hasolicitado la constitución de Comisiones dele-gadas del Consejo de Administración –comola Comisión de Auditoría entre otras– que su-pongan un reforzamiento de la gestión y su-pervisión de riesgos, y que sirvan de apoyo alConsejo de Administración.

Ello implicará una mayor demanda de infor-mación a la Comisión de Auditoría y un repor-ting de valor para los órganos de gobierno dela entidad. La tendencia es que deben existircanales de comunicación efectiva y transpa-rente de las Comisiones de Auditoría con to-dos los stakeholders y entre ellos con los ór-ganos de gobierno / administradores de la en-tidad.

Según el Estudio sobre el estado de la profe-sión de auditoría interna de 2013, realizadopor PwC, los stakeholders están satisfechossobre todo con la aportación de la función deAuditoría Interna en las áreas de actuacióntradicionales: los controles financieros, el frau-de y la ética. Sin embargo, lo que menos lessatisface es su aportación en áreas menostradicionales: la evaluación de grandes pro-yectos, el lanzamiento de nuevos productos,la gestión de proyectos de inversión y las fu-siones y adquisiciones.

Por tanto, el equipo de Auditoría Interna debe“dejar atrás el modelo de actuación tradicio-nal (centrado en la validación de controles y

procesos maduros), para adentrarse en unmodelo basado en el riesgo que permita con-siderar los riesgos y procesos emergentes, locual aporta un mayor valor a la organizaciónen estos tiempos”.

En este sentido, es importante conocer las ex-pectativas reales de cada uno de estos gruposde interés –que, en algunos casos, pueden nocoincidir– además de saber comunicar los dis-tintos servicios que pueden prestarse desde lafunción de Auditoría Interna.

La búsqueda de fórmulas para que AuditoríaInterna sea percibida como una función quecrea valor a la organización, el conocimientode las expectativas de los stakeholders y lacapacidad de responder en tiempo real a di-chas expectativas, son preocupaciones de lamayoría de entidades bancarias españolasque han participado en la encuesta realizadapor el Instituto de Auditores Internos de Espa-ña.

Auditoría Interna debe ganarse la confianzade estos órganos. Para ello debe proporcionarinformación que sustente que las actuacionesde la función están orientadas a dar cobertu-ra a los riesgos más críticos para el negocio,que sus recursos se asignan de forma efectivay que se solventan las posibles deficienciasque pueden existir en este ámbito. Es conve-niente presentar estudios de benchmarkingde la función con respecto a otras entidadesdel sector y establecer conjuntamente crite-rios para evaluar y controlar los avances de lafunción a través de KPI’s (Key Performance In-dicators).

El número de solicitudes que reciba AuditoríaInterna para que lleve a cabo proyectos espe-ciales y ofrezca su punto de vista, es un baró-metro perfecto para medir la confianza y el

La tendencia es quedeben existir canalesde comunicaciónefectiva y transparentede las Comisiones deAuditoría con todos losstakeholders y entreellos con los órganosde gobierno.


38

valor que la organización da a la función. Laencuesta realizada refleja un incremento,aunque no significativo, de la prevista dedica-

ción a otros servicios distintos al asegura-miento tradicional.


¿Cuál prevé que será la evolución de la dedicación a los otros servicios de Auditoría Interna distintos al aseguramiento tradicional en los próximos tres años?

0% 10% 20% 30% 40% 50% 60% 70% 80%% Encuestados

Disminuirá significativamente

Disminuirá pero no significativamente

Se mantendrá igual

Incrementará significativamente

Incrementará pero no significativamente

Será necesario un empowerment de lafunción tanto a nivel de personas ymedios como de niveles de dependen-cia y esponsorización adecuados, asícomo de integración y participaciónen comités directivos de las entidades,con mayor involucración en los proce-sos estratégicos de las mismas.

En primer lugar, queremos hacer referencia alProyecto de Ley de ordenación, supervisióny solvencia de entidades de crédito, de fe-cha 14 de febrero de 2014, en el que se re-salta la importancia de disponer de una fun-ción de Auditoría Interna que funcione bajo elprincipio de independencia. El momento eco-nómico actual y el interés por reforzar unbuen gobierno corporativo han contribuido ala introducción de cambios y modificacionesconstantes en materia regulatoria y al impul-so de buenas prácticas en el ámbito del Go-bierno Corporativo.

Teniendo en cuenta que la Comisión de Audi-toría debe apoyarse en la función de Audito-ría Interna a la hora de desarrollar sus res-ponsabilidades, es muy importante que la ci-tada función sea conocedora de la estrategiade la entidad y asista a los principales forosdirectivos para obtener la información y cono-cimiento adecuados.

En esta línea, los Directores de Auditoría In-terna que han participado en la encuesta rea-lizada han destacado que en los próximostres años deberán prestar una mayor atenciónal Riesgo de Gobernanza y al Riesgo Estraté-gico.

Es importante contextualizar la función deAuditoría Interna dentro del modelo de tres lí-neas de defensa teniendo en cuenta que co-mo tercera línea es responsable de aportar unnivel de supervisión y aseguramiento objetivoy de asesoramiento en materia de buen go-


39

bierno, gestión de riesgos y cumplimiento. Eneste punto se visualiza nuevamente la necesi-dad de una función con el suficiente conoci-miento y experiencia.

Una función de Auditoría Interna de alto ren-dimiento, que es como la deben percibir losdiferentes stakeholders requiere disponer delnivel de esponsorización adecuado en la or-ganización y estar dotada de los medios hu-manos y técnicos que permitan una funciónque aporte valor para la organización.

La seniority del Director de Auditoría Internaes básica, dada su estrecha relación con losmiembros de la Comisión de Auditoría y consu presidente. Estos han sido designados te-niendo en cuenta sus conocimientos en mate-ria de contabilidad, auditoría o gestión deriesgos, y su experiencia en distintos sectores(entidades financieras y no financieras y do-cencia). La mayoría de ellos participan enotros consejos y tienen una amplia experien-cia profesional. El Director de Auditoría Inter-na debe disponer de conocimientos, experien-cia, reconocimiento en la entidad y habilida-des personales y negociadoras que le permitauna interacción adecuada con todos losmiembros de la Comisión.

Los Directores de Auditoría Interna deben im-pulsar la función hacia el cumplimiento de losnuevos retos, cuestionándose el statu quo yredefiniendo lo que puede llegar a ser la pro-fesión.

Se producirán cambios organizativosen los departamentos de Auditoría In-terna derivados de los cambios en elmodelo de negocio.

Los cambios previstos en el modelo de nego-cio y los nuevos requerimientos regulatorios,

del supervisor único y de los stakeholders su-pondrán, entre otros aspectos, cambios en losriesgos a auditar que requerirán su alinea-miento organizativo por parte de Auditoría In-terna, con impacto en personas, medios y en-foque.

Este cambio constante, así como un régimennormativo cada vez más severo, con regula-ciones estrictas y más costosas, provocarácambios en los modelos de negocio a los quedeberá adaptarse la función. Adicionalmente,se harán necesarias políticas innovadoras pa-ra mejorar la eficiencia y rentabilidad.

Los nuevos modelos obligarán a:

· Establecer un claro marco de apetito alriesgo que deberá ser auditado, lo que re-querirá un proceso de adaptación, así comoinversión en recursos humanos y tecnológi-cos.

· Crear una infraestructura que responda alos nuevos requerimientos de los regulado-res, con sistemas preventivos enfocados enla estrategia, el gobierno corporativo y losprocesos de negocio, mejorando la innova-ción y la calidad con un mayor aprovecha-miento de la tecnología.

Auditoría Interna deberá desempeñar sus fun-ciones teniendo en cuenta el perfil de riesgosde la organización, desarrollando las capaci-dades necesarias para mantenerse al día eneste entorno de riesgos cambiante, aportandosoluciones innovadoras y creativas para crearvalor.

Este cambio supondrá un reto al que deberáenfrentarse, siendo importante su capacidadpara responder en tiempo real a las expectati-vas de los administradores y los stakeholders.

Los Directores deAuditoría Interna handestacado que en lospróximos tres añosdeberán prestar unamayor atención alRiesgo de Gobernanzay al Riesgo Estratégico.


40

Se habilitarán recursos adicionales pa-ra realizar funciones de relación yatención al Mecanismo Único de Su-pervisión (MUS), reporting a la Comi-sión de Auditoría y calidad.

Actualmente los trabajos administrativos in-herentes a la función, tales como la elabora-ción de informes para las reuniones de la Co-misión de Auditoría con la Dirección, o los tra-bajos de los programas internos de calidad,son asumidos por los auditores internos y elDirector de Auditoría Interna.

Se espera que a corto y medio plazo, con laimplantación efectiva del MUS, los requeri-mientos de información se incrementen demanera significativa con respecto a los reque-rimientos actuales. Esta exigencia adicional vaa suponer que, en la planificación de horasdisponibles, se presupuesten bolsas de horasorientadas a esta finalidad. Después de com-probar en real la verdadera dedicación y re-

cursos que esto conlleva, se tendrá que valo-rar en qué medida se refuerzan estos equiposo si la carga es asumible con los medios exis-tentes.

Este hecho puede provocar cambios organiza-tivos, de manera que un equipo distinto al delos auditores internos que realizan trabajo decampo, se responsabilice de la elaboración ycomunicación de los distintos reporting.

Algunas entidades de mayor tamaño tienenimplantados equipos específicos que se res-ponsabilizan de la elaboración y comunica-ción de los distintos reporting. Estos equiposse caracterizan por:

· Tener un conocimiento específico de los re-querimientos de información que cada sta-keholder solicita.

· Disponer de una doble visión de los traba-jos realizados: global, sobre el conjunto detrabajos desarrollados por la función y aldetalle, de manera que el reporte sea preci-so.


TENDENCIAS QUE IMPLICARÁN CAMBIOS EN EL ENFOQUE, ALCANCEY ORGANIZACIÓN DE LAS REVISIONES

Disminuirá progresivamente la Audito-ría Interna tradicional/presencial deoficinas, que pasará a tener menosimportancia en términos de recursos ynúmero de oficinas revisadas.

Uno de los elementos que permitirá aumentarla eficacia de Auditoría Interna es la disminu-ción de la auditoría tradicional de oficinas, esdecir, la que requiere una visita física a la ofi-cina.

En realidad esta tendencia ya se ha materiali-zado, y Auditoría Interna lleva años poten-

ciando las revisiones a distancia de oficinas

en detrimento de la auditoría presencial. Pero

esta tendencia se irá acentuando porque cada

vez se puede obtener más información de la

actividad de las oficinas a distancia gracias a

las nuevas tecnologías.

También está contribuyendo a esta tendencia

el hecho de que los gestores documentales

cada vez están más presentes, de forma que

una gran parte de la documentación de las

oficinas está disponible en soporte electrónico

(contratos, documentos de identificación, etc).

41

Todo esto propiciará que se produzcan algu-nos cambios, como pueden ser:

· Algunas entidades solo visitarán las ofici-nas cuando haya una señal de alerta deriesgo o incumplimiento. Y, en consecuen-cia, es probable que deje de existir un ciclode visita y rotación (una oficina de bajoriesgo podría no visitarse en varios años).

· No obstante, es muy probable que la AltaDirección siga queriendo que Auditoría In-terna le ofrezca una calificación de sus ofi-cinas, ya que dicha valoración aporta mu-cho valor a la Dirección. Por tanto, un retomuy importante será integrar las distintasactividades de auditoría en un indicadorúnico del nivel de riesgo que agrupe tantola actividad de auditoría a distancia comoel resultado de la visita presencial cuandola haya.

· Aumentarán los trabajos transversales so-bre determinados riesgos en la red comer-cial, donde el elemento auditable no será laoficina, sino un riesgo concreto (y se revisa-rá el nivel de control que hay sobre eseriesgo en las oficinas).

· En la línea de los trabajos transversales, in-cluso algunas unidades de Auditoría Inter-

na podrían llegar a decidirse por variar ra-

dicalmente su organización interna y crear

equipos de trabajo enfocados a cada tipo

de riesgo. De forma que podrían desapare-

cer por completo los auditores internos que

se dedican en exclusiva a visitar las ofici-

nas.

Por ejemplo:

- La unidad de auditoría de riesgo de cré-

dito supervisará todo el riesgo de crédito,

y sus integrantes serán los responsables

de visitar las oficinas para supervisar el

riesgo de crédito, de definir los indicado-

res a distancia para supervisar ese mismo

riesgo, etc.

- La unidad de auditoría de riesgo de ne-

gocio supervisará los riesgos de negocio

en las oficinas.

- Y así con el resto de riesgos.

Este novedoso enfoque tiene, como gran in-

conveniente, el conseguir que esos equipos

trabajen de forma integrada y cohesionada y

que no se pierda la visión general sobre el ni-

vel de riesgo de las oficinas de la red comer-

cial.

Auditoría Interna llevaaños potenciando lasrevisiones a distancia.Tendencia que se iráacentuando porque sepuede obtener adistancia másinformación de laactividad de las oficinasgracias a las nuevastecnologías.


¿Disminuirán los recursos (o esfuerzos) destinados a la Auditoría Interna presencial?

0% 10% 20% 30% 40% 50%

Totalmente de acuerdo

De acuerdo

Ni de acuerdo ni en desacuerdo

En desacuerdo

Totalmente en desacuerdo

% Encuestados


42

Aumentarán los procedimientos deauditoría a distancia y se extenderána otras áreas distintas al control de lared comercial.

La auditoría a distancia ha tenido un enormedesarrollo en las entidades financieras paraevaluar el nivel de riesgo de la red comercial.Sin embargo, su avance para revisar otros ele-mentos del universo de Auditoría Interna hasido desigual y, en general, escaso.

Probablemente, a ello ha contribuido que laauditoría a distancia ha sido desarrollada porequipos con un gran conocimiento de los ries-gos de la red comercial, pero con poco deotros riesgos. Del mismo modo, los equiposde Auditoría Interna que conocen bien otrosriesgos no han tenido la oportunidad, el co-nocimiento, ni el presupuesto para desarrollaruna auditoría a distancia de esos riesgos quesupervisan.

Pero una vez que la auditoría a distancia dela red comercial está altamente evolucionada,ha llegado el momento de emplear tiempo ypresupuesto para desarrollar la auditoría adistancia de otros riesgos. Algunos candidatosclaros son: Riesgos de TI, Riesgos de capital yliquidez y Riesgos relacionados con la elabo-ración de información de financiera.

No obstante, hay que tener en cuenta queadoptar este enfoque requiere una inversióneconómica importante de la que no es nadafácil obtener resultados a corto plazo.

Aumentará la evaluación dinámica delos riesgos para determinar los traba-jos de Auditoría Interna a realizar.

La función de Auditoría Interna de las entida-des financieras, como se ha indicado anterior-mente, lleva un tiempo planteándose varias

cuestiones en relación a las auditorías a dis-tancia (o auditorías continuas, ya que suelenusarse estos dos términos para referirse a lamisma función). De hecho, no es un debateexclusivo de las entidades bancarias sinotambién de las unidades de auditoría internaen otros sectores. Algunas de las preguntasson:

· ¿Para qué estamos desarrollando herra-mientas de auditoría distancia? ¿Cuál es elobjetivo de estas herramientas?

· ¿Desarrollar y explotar estas herramientases realmente una función de Auditoría In-terna? ¿O debería ser una función de la se-gunda capa de control?

Creemos que las unidades de Auditoría Inter-na acabarán usando estas herramientas parados objetivos fundamentales:

· Detectar señales de fraude interno (enaquellas entidades en que Auditoría Internasea la principal unidad que tiene la respon-sabilidad de detectar el fraude interno). Noobstante, este enfoque debe resolver unproblema muy relevante: cómo construir in-dicadores eficaces de forma que realmentesean capaces de tener un buen nivel deprevención y predicción de fraude. Actual-mente, los sistemas de auditoría a distanciade las entidades financieras tratan grandísi-mos volúmenes de información y arrojanmiles de indicadores y alertas que debenser revisados, pero sólo un volumen muypequeño de esas alertas permite identificarel fraude interno.

· Utilizar los indicadores a distancia para rea-lizar una valoración dinámica de los ries-gos. Esto se traduciría, por ejemplo, en que:

- Se decidirá casi en tiempo real qué ofici-nas de la red comercial se van a visitar fí-sicamente, en función del nivel de riesgo.

La auditoría a distanciaha tenido un enormedesarrollo en lasentidades de créditopara evaluar el nivel deriesgo de la redcomercial. Sin embargo,su avance para revisarotros elementos deluniverso de AuditoríaInterna ha sidodesigual y, en general,escaso.


43

- El plan anual sufrirá varias modificacio-nes a lo largo del ejercicio, con el objetode priorizar la revisión de los riesgos queafloren de dicho sistema dinámico deevaluación.

Se dará un mayor énfasis a la audito-ría interna de procesos, de informaciónde gestión y gobierno corporativo.

Ante el énfasis del MUS sobre determinadosprocesos como el de planificación del capitaly su integración en la gestión de la entidad ycon el resto de procesos, el alcance de la la-bor de Auditoría Interna no debe limitarse ala revisión de la calidad del dato, sino que vaa ser necesaria una mayor implicación en larevisión de los mencionados procesos.

Por ejemplo, con respecto al cálculo de capi-tal, muchas unidades de Auditoría Interna op-tarán por crear equipos integrados (especial-mente incorporando auditores de TI) para:

· Construir simuladores de cálculo, con ayu-da de los auditores de TI (y equipos integra-dos). No obstante, esta alternativa es alta-mente costosa en recursos y sólo podrá serafrontada por grandes departamentos deAuditoría Interna.

· Entender adecuadamente todos los proce-sos de cálculo de capital, teniendo en cuen-ta que los cálculos estarán altamente auto-matizados.

Pero también habrá ciertos aspectos que ga-narán en importancia en el universo de Audi-toría Interna y sobre los que se harán mástrabajos:

· Buen gobierno corporativo.

· Información presentada al Consejo y direc-ción ejecutiva para la toma de decisionesestratégicas y corporativas.

· Riesgo estratégico y de negocio.

· Otros riesgos emergentes: creciente com-plejidad del proceso de comercialización,introducción de nuevos productos, fusionesy adquisiciones o proyectos de inversión,etc.

Se realizarán trabajos con enfoquesnovedosos, tanto en alcance como,sobre todo, en opiniones.

Una de las cuestiones en las que se esfuerzanmucho los departamentos de Auditoría Inter-na es en aportar valor a la organización y quesus trabajos, informes y opiniones sirvan co-mo palanca de mejora de las entidades.

Para conseguir aportar este valor, AuditoríaInterna realizará determinadas actuaciones:

· Es de esperar que aumenten los trabajos deasesoramiento encargados por la Alta Di-rección.

· Aumentarán los trabajos orientados a eva-luar el marco de "governance" y control dela entidad.

· Cada vez más equipos de Auditoría Internarealizarán trabajos con enfoques novedo-sos, traspasando las líneas de confort habi-tuales. Se tratará de trabajos más arriesga-dos o atrevidos, entendidos como aquellosen los que las conclusiones entran en el te-rreno de la opinión y donde hay cierto com-ponente de subjetividad. Por ejemplo, seopinará sobre si:

- Las cláusulas de contratos con consumi-dores son claras.

- Los informes de los analistas de riesgotienen el nivel de calidad adecuado.

- Los costes en el desarrollo de determina-

dos proyectos son razonables o si, por el

Cada vez más equiposde Auditoría Internarealizarán trabajos conenfoques novedosos,traspasando las líneasde confort habituales.


44

contrario, son excesivos (especialmente,en el ámbito de las TI).

- Se auditarán los nuevos productos rele-vantes antes de que salgan al mercado.

La tipología de trabajos desempeña-dos por Auditoría Interna experimen-tará variaciones significativas en elmedio plazo.

Este hecho vendrá producido por varios as-pectos:

· En primer lugar, por la solicitud de nuevosinformes por parte de los organismos regu-ladores y supervisores que implicarán uncambio tanto de enfoque como de capaci-tación por parte de los distintos equipos enfunción de los riesgos que puedan surgir eneste sentido.

· Los cambios en la normativa específica pa-ra Auditoría Interna (por parte de la Fed,Basilea, etc.) implicarán una constante ob-servancia de los nuevos riesgos que puedansurgir en las distintas áreas: estratégica yde negocio, riesgo de capital y liquidez,riesgo de conducta y reputacional, apetitode riesgo, governance, eventos corporati-vos, etc.

· Cabe destacar la necesidad de las áreas deAuditoría Interna de alinearse con los ries-gos de la entidad derivados del lanzamien-to de nuevos productos: riesgos jurídicos yreputacionales, principalmente. Esto implicaque la función deba estar presente, al me-nos con carácter informativo, en los princi-pales flujos de comunicación de las entida-des con una doble finalidad:

- Detectar con carácter preventivo aquellosnuevos riesgos que puedan surgir de unentorno financiero en constante cambio.

- Promover e impulsar la cultura de controlen el resto de la organización.

· Por último, destacar la función de AuditoríaInterna con respecto a la implicación en losnuevos riesgos que puedan surgir fruto delos cambios del entorno. Aspectos como laciberseguridad, normativa medioambiental,etc. implicarán un cambio tanto en los ma-pas de riesgos corporativos como en el ma-pa de áreas auditables que exigirá unaadaptación progresiva y constante a la horade enfocar el nuevo entorno.

Los cambios profundos en el entornoregulatorio tendrán una repercusióndirecta en la metodología de trabajode Auditoría Interna.

Dichos cambios afectarán a las principales fa-ses del trabajo de auditoría, en concreto:

· El volumen de trabajos incluidos en elplan anual aumentará por indicación di-recta de los reguladores.

Este hecho tendrá un impacto relevante enel consumo de recursos dedicados a estasrevisiones. Teniendo en cuenta que las esti-maciones sobre la evolución del personalde los departamentos de Auditoría Internaprevén, en general, que los recursos semantendrán estables (si bien hay tambiénquien aboga por un crecimiento significati-vo) será necesario ajustar a dichas exigen-cias el número de trabajos incluidos en elplan de auditoría.

Este impacto en la cobertura de las revisio-nes deberá ser compensado con técnicasde auditoría continua / a distancia y con eluso de herramientas tecnológicas.

Por otra parte, la Comisión de Auditoría iráincrementando progresivamente su involu-

El volumen de trabajosincluidos en el plananual aumentará porindicación directa delos reguladores y estotendrá un impactorelevante en elconsumo de recursosdedicados a estasrevisiones.


45

cración en la determinación del plan anual,

lo que –junto a la necesidad de adaptarse

a un entorno cambiante y la progresiva ali-

neación de los objetivos de Auditoría Inter-

na con la estrategia de la organización–

obligará a que los planes anuales sean más

dinámicos, flexibilizándose la posibilidad de

realizar cambios en los mismos con poste-

rioridad a su presentación y aprobación por

la Comisión.

· El proceso de evaluación de riesgos (riskassessment) cobrará una mayor relevan-cia, obligando a que se le dediquen másrecursos de los utilizados hasta la fecha.

Se consolidará el enfoque continuo de este

proceso, que deberá apoyarse en sistemas

de seguimiento periódico instrumentados

en indicadores y alertas de riesgo automati-

zadas a partir de la información disponible

en los sistemas. En este sentido, las técni-

cas de auditoría continua / a distancia, que

actualmente se centran en las revisiones de

oficinas, se extenderán al resto de áreas de

actividad.

Por otra parte, el modelo de referencia para

las evaluaciones de riesgo se basará en la

metodología armonizada de evaluación que

surja del nuevo modelo de supervisión.

· La mayor involucración de los regulado-res, exigirá la realización de trabajos porencargo con una reducida flexibilidad enlo que a la determinación del alcance serefiere.

En contraposición, el alcance del resto de

trabajos incluidos por decisión propia en el

plan de auditoría, se caracterizará por pre-

sentar enfoques y alcances novedosos, evo-

lucionándose desde un esquema de progra-

ma de trabajo fijo para cada tipo de activi-

dad a programas de trabajo elaborados ad-hoc para cada revisión, adaptándose a las

circunstancias del entorno y la entidad y a

las exigencias de los stakeholders.

No se estima que en el corto plazo el al-

cance de las revisiones se vea afectado por

la implantación de los modelos de asegura-

miento combinado (combined assurance)ya que, si bien una parte mayoritaria de las

entidades consideran que evolucionarán

hacia los mismos, el camino que queda por

recorrer para conseguir su implantación es

todavía largo.

No se estima que en elcorto plazo el alcancede las revisiones se veaafectado por laimplantación de losmodelos de combinedassurance ya que (…)el camino que quedapor recorrer paraconseguirlo es todavíalargo.


TENDENCIAS QUE IMPACTARÁN EN LOS MEDIOS Y RECURSOS TÉC-NICOS UTILIZADOS PARA LA REALIZACIÓN DE LAS REVISIONES

Los equipos de Auditoría Interna seapoyarán más en la verificación delfuncionamiento de determinados con-troles automáticos y en el tratamientomasivo de datos para obtener conclu-siones e indicios.

El incremento del uso de las nuevas las tecno-logías por los negocios bancarios genera in-

gentes cantidades de datos en la organiza-ción y provoca que los procesos de negociosoporten numerosos controles automáticos.

Ante esta situación, los equipos de AuditoríaInterna deberán prestar más atención a lacomprobación del correcto funcionamiento dedeterminados controles automáticos, así co-mo al tratamiento masivo de datos para obte-

46

ner el aseguramiento de los procesos de ne-gocio y una correcta mitigación de riesgos. Enocasiones, se dejará de trabajar con muestrasde datos para pasar a procesar la totalidad dedatos relevantes a cada caso.

Ello supondrá que a los equipos de trabajo seincorpore personal con conocimientos técni-cos, incluidos especialistas de TI, tal como po-ne de manifiesto la encuesta realizada en loque se refiere a la composición de equipos in-tegrados (ver gráfico página 35).

En este punto, la auditoría continua es unaherramienta fundamental para ayudar a valo-rar la probabilidad e impacto de los riesgos,incluso detectar ocurrencias puntuales paraser corregidas por la organización y retroali-mentar al negocio para mejorar los controlessubyacentes. El desarrollo de modelos y pro-cedimientos de auditoría continua es un retoa alcanzar por la mayoría de departamentosde Auditoría Interna de entidades bancariasespañolas, según los resultados de la encues-ta.

Asegurar que las aplicaciones que generanlos datos dejen las correctas pistas de audito-ría y la utilización de plataformas tecnológica-mente avanzadas que permitan de forma na-tural para el auditor correlacionar y analizarestas pistas, es un reto apasionante y un mé-todo factible de abordar la Auditoría Internadel futuro.

Tampoco se debe abandonar la auditoría mástradicional que aborda el aseguramiento delas diferentes actividades de la empresa, peroutilizando mecanismos más novedosos paralas revisiones, ya que la validez de los datosque gestiona la entidad y los análisis sobreéstos son un mecanismo para garantizar unasupervisión eficaz.

La evolución de los negocios y de latecnología irá acompañada de un pro-gresivo uso de herramientas informá-ticas como apoyo a las auditorías.

Las ingentes cantidades de datos disponiblesen las entidades suponen un cambio de para-digma que implica el uso de nuevas herra-mientas para la gestión, descubrimiento yproceso de esta información.

El término Big Data, tan de moda últimamen-te, intenta concentrar esta idea y las tecnolo-gías necesarias para su proceso. Sin abando-nar los tradicionales datos relacionales, bienestructurados y fruto de los procesos de ne-gocio maduros, ahora surge la necesidad deenriquecer las conclusiones extraídas de estosdatos con una nueva información no estructu-rada y fruto de actividad no necesariamentetransaccional.

La posibilidad de disponer de herramientasque permitan el manejo de este nuevo para-digma de forma ágil supone, de facto, la dife-rencia entre crear valor o no crearlo. AuditoríaInterna debe ser capaz de utilizar estas herra-mientas, ya que un correcto uso de las mis-mas supondrá un aseguramiento mucho máseficaz de la actividad del negocio.

Los cambios en el entorno tecnológico para elmanejo masivo de datos y la integración de latecnología en el trabajo de campo de los au-ditores internos, representan un fuerte impac-to en la función, según expresan los Directo-res de Auditoría Interna de entidades banca-rias españolas que han participado en la en-cuesta. En concreto, y por este orden, se espe-ra que la tecnología impulse la priorización dedinámica de los riesgos, el empleo de herra-mientas de auditoría continua y la utilizaciónintensiva de datos data mining.

El desarrollo demodelos yprocedimientos deauditoría continua esun reto a alcanzar porla mayoría dedepartamentos deAuditoría Interna deentidades bancariasespañolas


47

Por si todas las oportunidades que la funciónde Auditoría Interna tiene para aportar valor alas entidades bancarias, expuestas en el capí-tulo anterior, no fueran suficientes, en el hori-zonte se plantean posibilidades adicionalesrelacionadas con las otras funciones de ase-guramiento.

Nuestro estudio revela que la mayoría de lasentidades de crédito tienen establecido un es-quema de gestión de riesgos basado en elmodelo de tres líneas de defensa.

Dicho modelo, si bien es considerado por la

profesión como una best practice, presenta

una serie de retos:

· Que exista una clara definición de respon-

sabilidades.

· Que asegure que los objetivos de las Uni-

dades de Negocio están alineados con los

objetivos estratégicos de la Organización.

· Que los procesos de control agregan valor

al negocio.


¿Qué tipo de cambios en los medios/tecnología de Auditoría Interna consideraque se van a producir?

Herramienta de priorización dinámica de riesgos

% Encuestados (pregunta de opción múltiple)

0% 5% 10% 15% 20% 25% 30%

Empleo de herramientas de auditoría continua

Utilización intensiva de datos “data mining”

Herramienta de gestión del conocimiento de Auditoría Interna

Herramienta de detección de fraude

Otros

Aseguramiento y Combined Assurance


48

· Que los proveedores de aseguramiento (assurance providers) tengan perfiles, capa-cidades y herramientas comunes y compa-rables entre sí.

La dimensión y complejidad de la gestión deriesgos dentro de las instituciones bancarias,ha obligado a distribuir entre varias unidadeso departamentos las responsabilidades de lasegunda línea de defensa, lo que las llevará aestablecer mecanismos que aseguren la ade-cuada coordinación de la actividad de los dis-tintos actores y a definir esquemas homogé-neos de reporting.

Ante este escenario, el modelo de tres líneasde defensa requiere de un esquema de traba-jo que garantice la eficaz y eficiente actuaciónde cada una de ellas.

Para ser eficaz, es necesario que:

· Se cuente con una metodología claramentedefinida y una adecuada asignación de res-ponsabilidades para todos los participantesen el modelo.

· Los objetivos de la organización, a todoslos niveles, sean entendidos y compartidos

por las tres líneas y el apetito de riesgo es-té apropiadamente definido y comunicadoa toda la organización.

· Los perfiles de las personas sean coheren-tes y estén a la altura de las demandas téc-nicas de la función y que su ubicación den-tro de la estructura organizacional seaacorde con las responsabilidades asigna-das.

· La metodología promueva la actuación pro-activa y las responsabilidades potencien elcarácter preventivo de las labores de ase-guramiento sobre el correctivo.

Para ser eficiente, se requiere:

· Contar con una metodología de trabajo ho-mogénea que promueva el trabajo colabo-rativo entre las tres líneas, un lenguaje co-mún que permita generar un reportingcomparable de la actividad de las distintaslíneas y un esquema de comunicación queprime la transparencia.

· Que los apoyos tecnológicos sean comunesy faciliten la transmisión de la informaciónnecesaria entre las distintas líneas e intralí-

La dimensión ycomplejidad de lagestión de riesgosdentro de lasinstituciones bancarias,ha obligado a distribuirentre variosdepartamentos lasresponsabilidades de lasegunda línea dedefensa, lo que obliga aestablecer mecanismosque aseguren laadecuada coordinacióny reporting.


EFICACIA Y EFICIENCIA EN EL MODELO DE LAS TRES LÍNEAS DE DEFENSA

+ EFICAZ

· Metodología claramente definida. Clara asignación de responsabilidades.· Objetivos entendidos y compartidos por las tres líneas.· Perfil técnico a la altura de las demandas de la función.· Ubicación en la organización acorde con las responsabilidades.· Potenciar el carácter preventivo sobre el correctivo.

+ EFICIENTE

· Trabajo colaborativo entre las tres líneas. Transparencia en la comunicación.

· Fuente única de información para la gestión de los riesgos.

· Mapa de cobertura para que la organización conozca quién supervisa los riesgos y con qué intensidad.

49

nea, de tal manera que se constituya en lafuente única de información para la gestiónde los riesgos.

· La construcción de un mapa de coberturaque permita a la organización conocer laintensidad con la que los riesgos más rele-vantes están siendo supervisados y porquién o quiénes.

Y, por supuesto, todo lo anterior requiere deun esquema de evaluación independiente,que deberá ser aportado por Auditoría Inter-na.

ASEGURAMIENTO COMBINADO

Pero las futuras oportunidades para AuditoríaInterna no acaban aquí.

La problemática antes descrita no ha sido pa-sada por alto por las propias entidades, ni poralgunos reguladores, por lo que han empeza-do a surgir esquemas de gestión con el objeti-vo de solucionarla.

Así, el King Code of Corporate Governance,mejor conocido como King III, propone el es-tablecimiento de un esquema de Asegura-miento Combinado (Combined Assurance)que define como: “La integración, coordina-ción y alineamiento de todas las funciones deaseguramiento dentro de la Organización pa-ra optimizar el nivel de gobierno, riesgo ycontrol”.

En definitiva, el aseguramiento combinado(combined assurance) persigue maximizar laeficiencia del control, de la supervisión de losriesgos y del governance de una compañía y,a la vez, optimizar el confort global que perci-ben las Comisiones de Auditoría y de Riesgos,

partiendo de la definición del grado de aver-sión al riesgo (apetito de riesgo) que cada en-tidad haya establecido.

La puesta en práctica de dicho esquema hapuesto en evidencia que el área que está enmejores condiciones técnicas y organizativaspara llevar a cabo una implantación exitosaes Auditoría Interna.

Son varias las razones por las que las entida-des que han implantado un esquema de com-bined assurance han hecho el encargo a Audi-toría Interna, entre ellas tenemos:

· El amplio conocimiento que tiene de losprocesos y los riesgos de entidad.

· La visión global y objetiva que tiene de laestructura de control.

· La ausencia de conflictos de interés, respec-to a la segregación de funciones y asigna-ción de responsabilidades.

· El conocimiento de toda la estructura orga-nizativa y de funcionamiento.

· Experiencia en la gestión de proyectos dealcance transversal.

· Alto nivel de interlocución con la direccióny con todas las unidades de la organiza-ción.

La respuesta a la pregunta que subyace encuanto al posible impacto negativo en la in-dependencia de la función al involucrarse enla implantación de este esquema, la encontra-mos en el Consejo para la Práctica Coordina-ción de las funciones de aseguramiento, emi-tido por el IIA, donde se establecen las pautasde actuación que debe seguir el auditor en eldesarrollo de este encargo.

La puesta en prácticade un esquema deAseguramientoCombinado haevidenciado que el áreaque está en mejorescondiciones técnicas yorganizativas parallevar a cabo unaimplantación exitosa esAuditoría Interna.


50

EXPECTATIVAS

· Auditar puntos/riesgos críticos y controles clave.

· Mejorar técnicas de muestreo y análisis de datos.

· Mejorar la fase de planificación (conocimiento de la actividad y riesgos asociados).

· Mayor coordinación con la segunda línea de defensa.

· Refuerzo de la segunda línea, mayor relevancia.

· Aseguramiento independiente de la segunda línea de defensa.


Anexo · Tabla de Tendencias

TENDENCIA.- Se producirá un ligero incremento de recursos complementado con la bús-queda de mejoras de eficiencia.

EXPECTATIVAS

· Entornos más complejos que requieren un mejor conocimiento de los riesgos para evaluar laefectividad de los controles.

· Identificar riesgos que creemos que son más propensos a requerir especialización.

· Como consecuencia de los requerimientos regulatorios derivados de MiFID, BII, BIII, EMIR,DFA, etc., y al desempeñar funciones de aseguramiento en relación con diversas cuestiones,será necesario:- Formación específica en las materias requeridas por cada una de ellas a los auditores in-

ternos.- Adquirir nuevo talento especializado en tales materias que entiendan del conocimiento

subyacente requerido.

TENDENCIA.- Se requerirá una mayor especialización en determinados riesgos por lo queserá necesaria una mayor formación de los recursos.

ENFOQUE, ALCANCE Y ORGANIZACIÓN DE REVISIONES

RECURSOS HUMANOS

ESTRUCTURA ORGANIZATIVA

RECURSOS TÉCNICOS Y MEDIOS

RECURSOS HUMANOS

51


EXPECTATIVAS

· No se entiende un proceso de negocio sin la tecnología.

· Difícil que un auditor pueda saber de todo, incluido TI.

· No centrarse solo en riesgos de TI.

· Un equipo multidisciplinar será capaz de entender mejor los riesgos y los controles necesa-rios.

· Y, si es posible, el superauditor.

TENDENCIA.- Aumentarán las auditorías de equipos integrados por miembros con distin-tas especializaciones, hasta consolidar la figura del superauditor que aglutine conocimien-tos de áreas relevantes.

EXPECTATIVAS

· Dependencia funcional directa del Director de Auditoría Interna del Consejo o de la Comisiónde Auditoría.

· Mayor involucración de la Comisión de Auditoría en: - Plan estratégico de Auditoría Interna.- Plan de Auditoría Interna.- Medir el desempeño de la función.- Entendimiento de los hallazgos y planes de acción.- Seguimiento de recomendaciones.

TENDENCIA.- El Director de Auditoría Interna dependerá directamente del Consejo o de laComisión de Auditoría, que tenderá a aumentar su involucración en la definición del plan deauditoría y el entendimiento de los resultados de las revisiones.

EXPECTATIVAS

· Mayor demanda de información por parte de la Comisión de Auditoría.

· Crear un reporting de valor para los Órganos de Gobierno, que anticipe y evalúe riesgos futu-ros: - Grandes proyectos.- Lanzamientos de nuevos productos.- Proyectos de inversión.- Fusiones y adquisiciones.

TENDENCIA.- Se exigirán mayores requerimientos de información (en cantidad y calidad)como consecuencia de la explicitación de la responsabilidad de los consejos y comités/comi-siones delegadas.


52


EXPECTATIVAS

· El refuerzo es necesario a nivel de personas, medios, niveles de dependencia y esponsoriza-ción.

· Mayor integración y participación en comités directivos.

· Mayor involucración en los procesos estratégicos de la Entidad.

· Reconocimiento de la experiencia, conocimiento y prestigio del Director de Auditoría Interna.

TENDENCIA.- Será necesario un refuerzo de la función tanto a nivel de personas y medioscomo de niveles de dependencia y esponsorización adecuados, así como de integración yparticipación en comités directivos de las entidades, con mayor involucración en los proce-sos estratégicos de las mismas.

EXPECTATIVAS

· Los cambios previstos en el modelo de negocio y los nuevos requerimientos regulatorios, delsupervisor único y de los stakeholders supondrán, entre otros, cambios en los riesgos a audi-tar que requerirán su alineamiento organizativo por parte de Auditoría Interna con sus efec-tos consecuentes en personas, medios y enfoque.

TENDENCIA.- Se producirán cambios organizativos en los departamentos de Auditoría In-terna derivados de los cambios en el modelo de negocio.

EXPECTATIVAS

· Mayores demandas de información que requerirían más tiempo al Director de Auditoría Inter-na y a la línea gerencial auditora (en cada uno de los tres puntos).

· Necesidad de ajustar la planificación, dotando horas de trabajo a esta finalidad.

· Posibilidad de ampliar los equipos de reporting.

TENDENCIA.- Se habilitarán recursos adicionales para realizar funciones de relación yatención al Mecanismo Único de Supervisión (MUS), reporting a la Comisión de Auditoría yCalidad.

EXPECTATIVAS

· Se intensificará el uso de herramientas que permiten auditar a distancia gracias al uso de latecnología en los procesos (como el uso de la firma digital manuscrita o la digitalización dedocumentos).

· Podrían desaparecer los ciclos de revisión de oficinas siendo visitadas sólo cuando se produz-can determinadas señales de alerta concretas.

TENDENCIA.- Disminuirá progresivamente la auditoría tradicional/presencial de oficinas, quepasará a tener menos importancia en términos de recursos y número de oficinas revisadas.



53


EXPECTATIVAS

· Aumentará la auditoría a distancia de otros riesgos ajenos a la red de oficinas (TI, capital, li-quidez, etc).

· No obstante, este enfoque tiene elevada complejidad y coste, y no será fácil obtener resulta-dos a corto plazo.

TENDENCIA.- Aumentarán los procedimientos de auditoría a distancia y se extenderán aotras áreas distintas al control de la red comercial.

EXPECTATIVAS

· La auditoría continua se usará para alimentar dinámicamente los riesgos.

· Los planes anuales podrían reevaluarse varias veces al año.

TENDENCIA.- Aumentará la evaluación dinámica de los riesgos para determinar los traba-jos de auditoría a realizar.

EXPECTATIVAS

· En la auditoría de determinados procesos específicos del sector bancario se realizarán traba-jos con mayor alcance y complejidad. Pero estos alcances consumirán muchos recursos.

· Otros aspectos del universo de Auditoría Interna adquirirán más importancia, como el buengobierno corporativo o el riesgo estratégico y de negocio.

TENDENCIA.- Se dará un mayor énfasis a la auditoría de procesos, de información de ges-tión y gobierno corporativo.

EXPECTATIVAS

· Los reguladores/supervisores están solicitando a Auditoría Interna la realización de trabajosespecíficos que requerirán enfoques distintos a los habituales.

· Como consecuencia de la nueva normativa surgirán nuevos entes auditables (por ejemplo,por nuevos procesos o por peticiones expresas del supervisor a Auditoría Interna). Además lanormativa específica para Auditoría Interna de la FED y Basilea habla de reforzar los trabajosreferidos a riesgo estratégico y de negocio, riesgo de capital y liquidez, riesgo de conducta yreputacional, apetito de riesgo, gobierno corporativo, eventos corporativos, etc.

· En consonancia con el punto anterior, pueden surgir nuevos riesgos a auditar, derivados de laintroducción de nuevos productos, por fusiones y adquisiciones, por grandes eventos o suce-sos corporativos, etc.

TENDENCIA.- La tipología de trabajos desempeñados por Auditoría Interna experimentarávariaciones significativas en el medio plazo.

54


EXPECTATIVAS

· Estos enfoques más novedosos aportarán mayor valor para la alta dirección.

· Aumento de los trabajos de asesoría.

TENDENCIA.- Se realizarán trabajos con enfoques novedosos, tanto en alcance como, so-bre todo, en opiniones.

EXPECTATIVAS

· Los cambios en el entorno regulatorio afectarán a las principales fases del trabajo de Audito-ría Interna y, en concreto, a:

- La determinación del plan anual de Auditoría Interna, que deberá ajustarse a los requeri-mientos de los reguladores.

- El proceso de evaluación de riesgos, sobre el que se exigirá mayor actualización y ajuste ala metodología armonizada de los reguladores.

- Al alcance de los trabajos, que estará sujeto a los requerimientos específicos de los regula-dores y de la Comisión de Auditoría. A su vez, el resto de trabajos podrá orientarse haciaenfoques más novedosos.

TENDENCIA.- Los cambios profundos en el entorno regulatorio tendrán una repercusióndirecta en la metodología de trabajo de Auditoría Interna.

EXPECTATIVAS

· Las conclusiones de las auditorías se basarán cada vez más en:

- Los resultados de pruebas masivas de datos y menos en muestreos estadísticos.

- Pruebas de controles automáticos en los procesos de negocio.

· Posibilidad de explotar cantidades ingentes de datos, correlacionando información, para de-tectar tendencias y patrones así como incidencias puntuales.

TENDENCIA.- Los equipos de Auditoría Interna se apoyarán más en la verificación del co-rrecto funcionamiento de determinados controles automáticos y en el tratamiento masivode datos para obtener conclusiones e indicios.

EXPECTATIVAS

· La evolución de la auditoría continua dependerá de la capacidad de la explotación masiva dedatos.

· Necesidad de herramientas informáticas que permitan la explotación masiva de datos.

· Los auditores internos deben ser conocedores del manejo de estas herramientas informáticas.

TENDENCIA.- La evolución de los negocios y de la tecnología irá acompañada de un pro-gresivo uso de herramientas informáticas como apoyo a las auditorías.


RECURSOS TÉCNICOS Y MEDIOS

Instituto de Auditores Internos de España

Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es

Depósito Legal: M-827-2015

ISBN: 978-84-941921-9-7

Diseño y maquetación: desdecero, estudio gráfico

Impresión: IAG, SL


Este nuevo documento de LA FÁBRICA DE PENSAMIENTO está dedicado

al sector bancario. Toda economía moderna requiere que este sector sea

solvente y eficaz. La crisis financiera global que ha golpeado con dureza

nuestro país lo ha puesto una vez más de manifiesto. Las entidades con

un gobierno de riesgos suficiente y un ambiente de control adecuado

han tenido que hacer frente a grandes dificultades. Aquéllas cuyo foco

no estaba situado en el control y la gestión de los riesgos, simplemente

han desaparecido o han sido intervenidas con un enorme coste para la

economía y las finanzas públicas.

Esta documento hace un análisis del sector para identificar los cambios

más relevantes previstos en los modelos de negocio y en la regulación

a fin de tratar de anticipar los retos y expectativas que deben afrontar

las Direcciones de Auditoría Interna para el cumplimiento de su misión.

Retos y Expectativas de Futuro para la Auditoría Interna de las … · 2015-01-28 · biando el...

Documents

Transcript of Retos y Expectativas de Futuro para la Auditoría Interna de las … · 2015-01-28 · biando el...