Resumen: Uno de los temas menos tratados hasta ahora es el de las auditorías de los sistemas de compliance. En este artículo se presenta el estándar IDW AssS 980 (PS 980) que regula en Alemania la auditoría de modelos de cumplimiento. Se alza como un firme candidato a ser tomado como referencia para auditar este tipo de modelos.
Autor del artículo Colaboración
Ricardo Seoane Rayo
Actualizado 31 de enero de 2015
ÍNDICE 1. INTRODUCCIÓN
2. ANALIZANDO LA NORMA
2.1. Marco internacional de compromiso en el aseguramiento
2.2. Estructura de la norma
3. POSICIÓN DE GARANTE DEL COMPLIANCE OFFICER
4. SOBRE EL MODELO DE AUDITORÍA
5. BIBLIOGRAFÍA CONSULTADA
6. DERECHOS DE AUTOR
1. INTRODUCCIÓN
El estándar IDW AssS 980 es una norma hecha por el Instituto alemán de censores jurados de cuentas (Institut der Wirtschaftsprüfer in Deutschland) en 2011 sobre Principios para el desarrollo de encargos sobre seguridad razonable en la evaluación de programas de CMS, ese es su nombre, y está hecho para auditores, enfocada a garantizar que se ha cumplido con la calidad (assurance) exigible en la evaluación y auditoría de compliance, que se han cumplido los mínimos de solvencia y rigor exigibles en la evaluación de un programa.
El estándar alemán aunque comparte afinidades con las Normas Técnicas de Auditoría, en el sentido de que la opinión final del proceso de auditoría se formula del mismo modo que en la auditoría de cuentas, con similares limitaciones al alcance, u opiniones adversas, cualificadas o limpias. Sin embargo, no aplican los llamadosencargos sobre procedimientos acordados (agreed-upon procedures), en los que se suele limitar a la corroboración de datos objetivos, más que a opiniones técnicas, y a los que se ha recurrido por ciertas organizaciones para emitir dictámenes allí donde no había una norma específica de Assurance. En la norma alemana se aplican los procedimientos contemplados en la misma, no los que se acuerdan con el cliente, y éstos siempre conducen a una opinión del auditor del sistema.
2. ANALIZANDO LA NORMA
2.1. Marco internacional de compromiso en el aseguramiento
IAASB (International Auditing and Assurance Standards Board) es la autora del modelo de aseguramiento elegido y podríamos decir que perfeccionado por el IDW; ISAE 3000 (Assurance Engagements Other than Audits or Reviews of Historical Financial Information) [1] que rige, como su nombre en inglés indica, como norma de calidad en la evaluación de modelos de reporte de datos distintos a la pura auditoría contable o revisión de información financiera. Esta norma, junto con ISAE 3402 e ISAE 3420 conforma lo que se conoce como Marco internacional de compromiso en el aseguramiento (International Framework for Assurance Engagement) apuntando en la dirección que perfecciona la norma alemana, establece el concepto de seguridad razonable, reconociendo la imposibilidad de llegar a la absoluta, y la necesidad de que se produzcan errores por cuestiones obvias de alcance metodológico. El modelo alemán se basa en éste en cuanto a los elementos esenciales de la revisión; objetivos, requerimientos y definiciones son similares. Pero difiere en lo que se explicará al final de este post.
2.2. Estructura de la norma
El IDW identifica tres niveles o alcances de la auditoría del CMS:
- Un plano superior más abstracto en el que solo se evalúa el diseño del modelo.
- Uno de profundidad media en que se evalúan tanto el diseño como la implementación.
- Un tercero, el más exhaustivo, en el que se analizan y validan tanto estos dos niveles anteriores como la efectividad del modelo.
Ni que decir tiene que la elección de una u otra posibilidad irá en función tanto de:
- La importancia relativa del cliente y las operaciones auditadas.
- La proporcionalidad deseable en relación con el nivel de riesgo aceptado por cada organización.
Tampoco requiere especial discusión el hecho de que la NTA 215, sobre la posición del auditor de cuentas respecto al fraude en la auditoría, cobra especial relevancia cuando lo que se está evaluando es el propio fraude, por incumplimiento, de la ley que obliga a prevenir los delitos en las organizaciones.
El modelo de auditoría elegido se basa en la obtención de evidencias que apoyen una opinión al respecto de la identificación de los elementos esenciales que no pueden faltar en un CMS. Los procedimientos que establece la norma son similares a los que se fijan en las normas de auditoría, tendentes a la obtención de evidencias lo más significativas posibles para certificar los extremos que el alcance del informe determine (puede ser informe abreviado o completo, según la norma), minimizando el riesgo de que los procedimientos, muestras y testeos de las evidencias examinadas no sean representativos del nivel general de cumplimiento de la organización.
Adjuntamos como ejemplo la Nota de Compliance Audit de la empresa alemana Thyssen auditado de conformidad con el IDW 980. [2]
3. POSICIÓN DE GARANTE DEL COMPLIANCE OFFICER
Y es que el estándar nació en 2011 como respuesta a dos escándalos, uno menos sonado pero no por ello menos importante, en los que empresas alemanas se vieron involucradas en casos de responsabilidad corporativa:
- El caso de Siemens que sufrió la más severa sanción por soborno de las aplicadas hasta el momento por la SEC, ya que cotiza en la bolsa de Nueva York.
- El asunto de la Sentencia del Tribunal Supremo alemán BGH de 17 de julio de 2009, por la que se condenó al jefe de asesoría jurídica, auditoría y revisión interna de la empresa berlinesa público encargada del servicio de basuras de la ciudad.
Lo importante del precedente estriba en el reconocimiento de la culpa del responsable de cumplimiento por la posición de garante que le venía dada en sus funciones de prevenir e impedir delitos más que por la que le pudiera corresponder por injerencia (responsabilidad por peligro). Se condenó al que hacía las veces de oficial de cumplimiento porque no realizó acción alguna tendente a impedir la estafa en el cobro indebido de tasas de basura, más allá de la mera comunicación al superior, la cual después convalidó en junta a sabiendas de la ilicitud del cobro no oponiéndose a la aprobación de las tarifas fraudulentas.
Los puntos principales en que se basa la condena son la posición de garante que asume el Compliance Officer no solo frente a la propia empresa sino frente a terceros, aspecto en el que habrá que estar atento a las definiciones de puestos de trabajo, y será muy conveniente acudir a una eficiente gestión por competencias. La resolución lo razona del siguiente modo:
“La asunción de un área de competencia puede implicar una obligación de garantía en el sentido del art. 13, apartado 1, del Código Penal alemán. La posición de garante resulta del supuesto de que la persona sea depositaria de un deber de tutela en relación con cierto peligro (véase Roxin, Strafrecht (derecho penal) AT II 2003, pág. 712)”.
Esta sentencia junto a otra más reciente de 2011 fijan lo que habrá de esperarse de un Compliance Officer en el futuro; algo más que un mero avisador, un comportamiento proactivo, no ya frente al delito cometido, sino además frente al riesgo o indicio observados.
Se perfila como una obligación de impedir delitos en la organización. Y no ya frente a la propia empresa, sino al resto de stakeholders con intereses legítimos sujetos a protección de la función de cumplimiento. Y se define como la vigilancia de comportamientos inadecuados en su seno (se refiere a Corporate crimes, concepto que por oposición a similares como White collar crimes, por ejemplo, aún dista de estar completamente determinado).
4. SOBRE EL MODELO DE AUDITORÍA
Ahora bien, el germen del modelo de revisión alemán encierra su fallo o error de planteamiento, y me explico; como nació por y para auditores motivada en parte por la sentencia que se viene de comentar, se la acusa de centrarse más en “salvarle el pellejo” al auditor, que en auditar con propiedad la eficacia del compliance en la empresa. Cosa por otra parte, muy humana, en función de la tendencia ya denunciada, a derivar sistemáticamente la responsabilidad a la función de compliance (cuando veas las barbas de tu vecino pelar ,,,) pero de deseable mejora en pos de una correcta fijación de los principios de la disciplina que está naciendo.
A mayor abundamiento, se recomienda la lectura de lo publicado al respecto por Alain Casanovas en cuyo blog se adjunta la sentencia comentada traducida al castellano, así como de la no muy abundante bibliografía en inglés y alemán sobre el tema.
5. BIBLIOGRAFÍA CONSULTADA
- [2] Thyssen. “Nota de Compliance Audit”. Empresa alemana auditada de conformidad con el IDW 980. IDW 980 Thysen
- [3] Institut der Wirtschaftsprüfer in Deutschland (IDW) [Institute of Public Auditors in Germany, Incorporated Association]. “Assurance Standards (IDW AssS)”. IDW AssS 980
6. DERECHOS DE AUTOR
Twittear