Proveemos información concisa sobre temas relacionados con gobierno a la alta dirección, juntas directivas y comités de auditoría.Edición 79 | Octubre 2016

TONE AT THE TOP | Octubre 2016

1

TOPTONEat the

®

PRESENTADO POR:

¿Ruleta Regulatoria? Su Mejor Apuesta para Gestionar el Riesgo de Cumplimiento La empresa Apple Inc. durante años publicó una serie de anuncios comerciales para televisión que aconsejaban a los consumidores, en cada situación, que “hay una aplicación para eso”. Las compañías que operan en el entorno global de estos días pueden pensar de la misma forma sobre las regulaciones. En cada industria y lugar geográfico, para cada producto y servicio, apa-rentemente existe “una regulación para eso”. Y la carga de regulaciones está en aumento. En una encuesta global realizada en el 2015, la Federación Internacional de Conta-dores (IFAC por sus siglas en inglés) encontró que un 83% de contadores vio un incremento significa-tivo del impacto regulato-rio en sus organizaciones, comparado con cinco años anteriores.

A pesar de una mayor regulación y el riesgo de no cumplimiento, algunas compañías pueden no es-tar asumiendo seriamente su responsabilidad por identificar y gestionar los riesgos de cumplimiento. Una encuesta realizada por Deloitte y Compli-ance Week en el 2014 mostró que 40% de las compañías no realizó una evaluación anual del riesgo de cumplimiento. Además, en un estudio realizado por The IIA en el 2015 se encontró que un 38% de Directores Ejecutivos de Auditoría (DEAs) no

utilizaron el cumplimiento o los requerimientos regulatorios como una fuente para establecer el plan de auditoría.

Norman D. Marks ex director ejecutivo de auditoría, director de riesgos y director de cumplimiento, escribe un blog para la revista de “Auditoría Interna” de The IIA, puede haber encontrado la razón para este tipo de comportamiento: “Si las organizaciones no ven al riesgo de cumplimiento como un riesgo holístico del negocio”, dijo, “puede que subestimen las consecuencias. Pero las consecuencias potencia-les son muy reales. Puede ocasionar restricciones en las actividades operativas, alguna oficina puede ser cerrada, enormes im-pactos en la reputación pueden seguir, la moral del empleado puede sufrir y las ventas pueden disminuir”.

¿Cómo deberían hacer mejoras los directores y la gerencia ejecutiva que desean abordar mejor los riesgos de cumplimiento? Un buen comienzo es asegurar que los roles y

responsabilidades asociadas con la gestión y control del riesgo estén bien definidos y claramente entendi-dos a través de la organización.

TONE AT THE TOP | Octubre 2016

Tres Líneas de DefensaEl modelo de las tres líneas de defensa, defiende una definición clara de las responsabilidades sobre los tres aspectos del riesgo: el dueño del riesgo, el monitoreo del riesgo y aseguramiento del riesgo. Las funciones de los dueños y de quienes gestionan los riesgos son la primera línea. Varias funciones de control y cumplimiento que monitorean el riesgo son la segunda línea. El rol del auditor interno — la tercera línea de defensa — es proporcionar asegura-miento a las partes interesadas (la Junta Directiva, Comité de Auditoría, Ejecutivos) de que el riesgo de cumplimiento puede ser gestionado a niveles aceptables. Encontrar esos “niveles aceptables” — el equilibrio entre costos potenciales del riesgo y la cantidad de recursos para mitigarlos — es, por supuesto, el desafío.

El Rol del Auditor InternoMarks dice que muchos departamentos de Auditoría Interna realizan dos tipos de auditorías: una que de-termina si hay un cumplimiento apropiado y otra que determina si hay controles implantados que proveen un aseguramiento razonable de que hay cumplimien-to apropiado. Marks dice que la auditoría interna debería enfocarse en la segunda y proveer una opi-nión sobre la gestión del riesgo de cumplimiento, no una opinión de si hay cumplimiento. ¿Por qué? “Es un objetivo en movimiento” dice. “Es posible para la compañía que un día esté en cumplimiento y el día siguiente no. Además, los auditores internos son expertos en procesos y controles, no necesariamente en todas los matices y complejidades de las leyes y regulaciones.”

La habilidad de la auditoría interna para desarrollar su trabajo puede ser ayudada o restringida según la estructura en la que funciona. The IIA recomienda que la auditoría interna reporte funcionalmente a la Junta y administrativamente al Director ejecutivo para ayudar a proteger la independencia del auditor interno.

Asociándose para Impulsar el Aseguramiento del Riesgo de CumplimientoEl uso combinado de aseguramiento por la segunda y tercera línea de defensa puede ser clave para ofrecer aseguramiento efectivo y eficiente para el riesgo de cumplimiento. Este enfoque es un esfuerzo coor-dinado de múltiples funciones internas de asegura-

miento para combinar actividades de aseguramiento, lo que puede reducir la naturaleza, frecuencia y re-dundancia de los auditores internos, limitando así la “fatiga de auditoría” o “fatiga de reportes” por el lado de la Junta y Gerencia ejecutiva. Para tener éxito, auditoría interna y otros departamentos internos de aseguramiento, como cumplimiento, deben asociarse para asegurar la objetividad y calidad del asegura-miento combinado.

Paul Sobel, DEA de Georgia-Pacific LLC y ex Presi-dente del The IIA Global, apoya el aseguramiento combinado, pero también reconoce que puede representar un desafío el obtener un aseguramiento verdaderamente objetivo, especialmente cuando la unidad de cumplimiento reporta a auditoría interna, o viceversa, o cuando las dos líneas residen en el mismo departamento. “Este sistema de reportes requiere discusión con la gerencia y la junta, y con-siderar externalizar algunas actividades de asegura-miento de cumplimiento para tener objetividad” dice Sobel.

2

TONE AT THE TOP | Octubre 2016

3

Las Responsabilidades de la Junta y del Comité de AuditoríaLa junta y el comité de auditoría son importantes partes interesadas en la función del riesgo de cumplimiento. ¿Qué necesitan hacer ellos para llevar a cabo efectivamente sus responsabilidades?

Mientras las organizaciones puedan operar de manera diferente, las responsabilidades de la junta deberían incluir lo siguiente:

■ Obtener aseguramiento de que la gerencia está manejando el riesgo de cumplimiento. Pida que se le avise si hay alguna violación significativa de las leyes y regulaciones.

■ Realizar preguntas a auditoría interna, a la ge- rencia y a la función de cumplimiento sobre las capacidades de la compañía. ¿Está la gente ade-cuada y es la cultura adecuada? ¿Hay alguna ga-rantía de que, si los problemas son identificados por los empleados, los mismos sean reportados y se tomen medidas? ¿Hay un nivel razonable de aseguramiento que la compañía cumple con las normas y regulaciones aplicables de la industria?

■ Obtener entrenamiento en cumplimiento. Aprenda las políticas de la compañía que están relacionadas con el cumplimiento que deberían ser monitoreadas.

■ Revisar a través de auditorías las brechas de sitios que son percibidos como severos, en un contexto que incluya desempeño, preguntas realizadas por partes interesadas e incidentes pasados. Pida que sea informado de cualquier incidente similar o recurrente y qué esfuerzos están haciendo los gerentes ejecutivos y/o comité de auditoría para atenderlos.

Las responsabilidades del riesgo de cumplimiento del comité de auditoría pueden también variar de una organización a otra, pero deben ser claramente deli- neadas en el estatuto de auditoría. Muchos comités de auditoría tienen responsabilidad de actualizacio-nes de cumplimiento más detalladas, aunque en algunas organizaciones, eso puede ser manejado por el gobierno corporativo. Esto implica recibir ac-tualizaciones trimestrales sobre cambios de políticas, estatus de entrenamiento, investigaciones, violacio-nes, y otros asuntos relacionados. El presidente del comité puede actualizar a toda la junta, como sea apropiado.

El comité de auditoría también puede solicitar al departamento de auditoría interna auditar la segunda línea de defensa, enfocándose en riesgos estratégicos significativos. Por ejemplo, una que pueda incluir

Encuesta RápidaPor favor califique su nivel de acuerdo con la siguiente declaración: Estoy seguro que hay suficiente aseguramiento sobre el riesgo de cumplimiento en mi organización.

Visite www.theiia.org/tone para responder la pregunta y ver cómo otros están respondiendo.

brechas entre sitios e iniciativas que requieran el uso de capital. El comité debería también identifi-car brechas en el conocimiento e implementación de programas, revisando temas que son similares o recurrentes a través de toda la organización.

Además, el comité de auditoría y la junta deberían revisar profundamente y aprobar el plan de auditoría y asegurarse que está enfocado apropiadamente tanto en riesgos de cumplimiento como en riesgos operacionales, particularmente cuando los es-tándares de la industria no reflejen todos los riesgos del negocio. Por ejemplo, las empresas de muchas industrias utilizan los estándares internacionales de la Organización Internacional de Normalización (ISO) que, de acuerdo con esa organización “provee requerimientos, especificaciones, guías o caracte- rísticas que pueden ser usadas consistentemente para asegurar que los materiales, productos, procesos y servicios son adecuados para su propósito.” Peter Montagna, jefe del área de auditoría y evaluación de medioambiente, salud y seguridad en la Corporación Henkel, dice “El comité de auditoría y/o el equipo de la gerencia senior encargado de la auditoría debe dejar en claro que identificar brechas en contra de los estándares publicados es secundario a identificar el riesgo. Al hacer esto, operaciones puede tomar apropiadas acciones y la gerencia puede estar segura que los riesgos del medio ambiente, salud y seguri-dad están controlados.”

Las responsabilidades crecientes de la junta y el comité de auditoría son claros indicadores de que el riesgo de cumplimiento está adquiriendo mayor prominencia dentro de los riesgos empresariales de la organización. Esto supone a auditoría interna también. Pero Marks también advierte sobre poner énfasis exclusivo en los riesgos de cumplimiento: “Los comités de auditoría y ejecutivos necesitan entender que el riesgo de cumplimiento es solo una área del riesgo entre muchos de los que se centra auditoría interna. La auditoría interna debería poner la mayoría de sus recursos en los riesgos que afecten al éxito de la organización y el logro de sus objetivos. No todos los riesgos de cumplimiento son lo sufici-entemente significativos como para estar en el plan de auditoría.”

Sobre El IIAEl Instituto de Auditores Internos Inc. (IIA) es una asociación global de profesionales con más de 180.000 miembros en 170 países. El IIA actúa como el prin-cipal defensor de la profesión de auditoría interna, emisor de normas internacionales y primordial investi-gador y educador. www.globaliia.org

Suscripciones a disposiciónVisite www.theiia.org/tone o llame al: +1-407-937-111 para solicitar su suscripción gratuita.

Comentarios de los LectoresEnvíe sus preguntas / comentarios a tone@theiia.org.

Consejo Asesor de ContenidoCon décadas de experiencia en la alta dirección y consejo de administración, los siguientes apreciados profesionales proporcionan orientación sobre el con-tenido de esta publicación:

Martin M. Coyne II Michele J. Hooper Kenton J. Sicchitano

10/2016-1300-2TONE AT THE TOP | Octubre 2016

TOPTONEat the

®

❏ Derechos de autor © 2013 por The Institute of Internal Auditors, Inc., (“El IIA”) estrictamente reservados. Toda reproducción del nombre o del logo del IIA llevará el símbolo de registro de la marca registrada federal de los EE. UU. ®. Ninguna parte de este material podrá reproducirse de ninguna forma sin el permiso escrito del IIA.

❏

❏ El permiso se ha obtenido del titular del derecho de autor, The Institute of Internal Auditors, Inc., 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., para publicar esta traducción, que es la misma en todos los aspectos materiales, como el original, a menos que se apruebe como fue modificado. Ninguna parte del presente documento puede ser reproducida, guardada en ningún sistema de recuperación o transmitida en forma alguna ni por ningún medio, sea electrónico, mecánico, fotocopia, grabación, o cualquier otro, sin obtener previamente el permiso por escrito del IIA.

❏

❏ El presente documento fue traducido por el IAI ECUADOR el 03/11/2016.

Basada en 177 encuestados. Fuente: Encuesta Tone at the Top del The IIA de Agosto 2016.

¿Qué estructura es mejor para los intereses de su empresa?

Resultados Encuesta Rápida:

10%Posición CombinadaDirector Ejecutivo –

Presidente con un directorprincipal independiente.

80%

Posiciones Separadas

Director Ejecutivo – Presidente

PosiciónCombinada

Director Ejecutivo – Presidente

10%

Copyright © 2016 por The Institute of Internal Auditors, Inc. Todos los derechos reservados.