A
la vista de lo que aparece en medios públicos y privados, casi diríamos
que existe la necesidad de cambio o quizá mutación
de las estructuras, distribución de poder y funciones..., en las
sociedades anónimas cotizadas -máxime si son multinacionales-,
más que nada para proteger a los pequeños inversores, que
pese a tener en muchas ocasiones la mayoría de la propiedad, no disponen
de poder real sobre los consejos de administración.
¿Qué relación puede tener esto con la seguridad de
la información? Pues a tenor de lo que se discute en EEUU, y especialmente
en la UE y más en concreto en España (Ley Financiera en trámite
parlamentario), parece que hay puntos de insistencia en los siguientes entornos:
la consultoría de sistemas, la auditoría interna, la independencia
del auditor externo y las comisiones de auditoría en las empresas.
Antes de seguir, conviene recordar que la llamada Ley Financiera podrá
ser una pieza de las denominadas omnibús, ya que modificará
otras leyes, incluida la Auditoría de 1988, que fue consecuencia
de la entrada de España en la Comunidad Europea durante 1986, por
lo tanto manifiestamente mejorable, ya que han pasado muchas cosas desde
aquellos tiempos inocentes. La Ley de Auditoría, además, está
basada en las Directivas IV de 1978 y VIII de 1984.
Digamos que el escenario ha cambiado sustancialmente: las TIC de hoy son
muy distintas de aquellas del neolítico informático de los
setenta; además se ha registrado desde entonces un crecimiento en
tamaño y número de las corporaciones transnacionales. A ello
hay que sumar la globalización (la buena, no la otra). Todos estos
factores generales han dejado el entramado socioeconómico obsoleto.
Como reacción a los acontecimientos, se observa también un
fenómeno generalizado: el recurso a la ética como Bálsamo
de Fierabrás. A la sufrida ética recurren los consejos de
administración..., y el resto de componentes de organismos supervisores
y normalizadores, auditores, analistas de inversiones, agencias de calificación
de riesgos... , dando quizá la sensación de que algunos colectivos
dirigentes no han estado a la altura de las circunstancias.
SISTEMAS
Pero entremos en el asunto relativo a los sistemas o sistemas de información
o sistemas informáticos o... lo que dé de sí el argot
TIC (más bien, sumatorio de idiolectos).
En el texto disponible de la que podría ser en el futuro la Ley Financiera,
se llega a determinar que los auditores no podrán prestar servicios
de diseño y puesta en práctica de sistemas, pero con una precisión
que se nos antoja singular; la siguiente: sistemas de tecnologías
de la información financiera usados para generar las cuentas anuales.
¡Cuentas anuales!, la piedra filosofal de los consejos de administración.
Así que se trata de sistemas tecnológicos generadores de cuentas
anuales. ¿Quién lo diría entretanto server, tanto PC,
tanto IGU, tanto API, tanto CRM...? Recordemos que el calificativo de multidisciplinar
es aplicable tanto a la auditoría como a la consultoría/asesoría.
Por otra parte, los vocablos financiero y contable están soportando
ataques polisémicos excesivos.,
Hemos llegado con esto al meollo del asunto, acercando de manera arriesgada
los términos auditor, sistema de tecnologías de la información
y cuentas anuales. ¿Tendrá que ver la seguridad de la información
algo con ellos? Creemos firmemente que sí, aunque la exposición
pormenorizada de las razones las dejaremos para otro artículo. En
éste daremos ahora un giro hacia la auditoría. Para ello es
bueno recordar el siempre presente Audit Expectations Gap / AICPA 1974,
que indica las diferentes expectativas de la auditoría, o dicho de
un modo más explícito, el fenómeno en virtud del cual
se pone de manifiesto que la actuación de los auditores no responde
a las creencias de los usuarios, asunto preocupante y del que procede hacer
algo de historia. |
IRREGULARIDADES
Y ERRORES
Desde el punto de vista de las irregularidades y los errores, y la prioridad
en su detección, se pueden considerar cuatro periodos:
Hasta 1920. La auditoría tenía tres objetivos: la detección
de irregularidades y la detección de errores técnicos y de
principios, razonable según las circunstancias.
De 1921 a 1960. El incremento en el número de transacciones
imposibilitó la verificación total, y la creación de
sistemas de control interno de prevención y detección de irregularidades
y errores se consideró adecuada para aminorar la detección
sustantiva, cambiando los objetivos de auditoría.
De 1961 a 1980. Empieza la insatisfacción pública por
la no detección de irregularidades/errores. En EE.UU comienzan con
la Comisión Cohen de 1974 on auditors Responsabilities
y con la Foreign Corrupt Act en 1977.El desarrollo de las TIC y su implantación
en las empresas puso de relieve la falta de evolución del control
interno. No me resisto aquí a citar a Crichton. En su Parque Jurásico
II podemos leer: El mundo... avanza hacia un conocimiento cada vez
más especializado, expresado mediante una jerga cada vez más
opaca. (Como demostración de la veracidad de esta cita, pueden
leerse algunas memorias anuales de sociedades cotizadas).
Desde 1981... La detección de irregularidades/errores recobra
importancia en los objetivos de auditoría. Merecen destacarse el
Informe de la Comisión Treadway de 1985, confirmado por la SEC en
1988, y el Informe COSO de 1992 sobre control interno.
Podría ser interesante abrir un quinto periodo desde 2001 en adelante,
ya que con los sucesos desencadenados por el 11-S y la explosión
del caso Enron, empieza un cambio sustancial en a auditoría en sentido
amplio. Pero esto ya no es historia, sino cosa del presente y del futuro.
Por ello vamos a dejar apuntados algunos aspectos de interés, especialmente
relacionados con la ya mencionada posible futura ley financiera en
trámite parlamentario y con otras piezas legales, y la auditoría
sin apellidos:
1Auditoría interna desarrollable por un auditor externo. Parece
un contrasentido y una fuente de conflictos de intereses. La externalización
de la auditoría interna es inapropiada.
2Una novedad significativa alude a las llamadas comisiones de auditoría
y a los etiquetados como consejeros independientes. Tras lo
acontecido con el Informe Olivencia de 1998, sería justo y necesario
que los organismos supervisores cumplieran con su deber, pero con normas
hard, no soft.
3El trasvase, con la limitación de dos años como mínimo,
de socios de auditoría a entidadesa auditadas, y de directivos de
clientes a sociedades de auditoría, sigue siendo un tema que da espanto
tratar.
Y por fin llegamos a la pregunta del millón: ¿quién
o quiénes deberán elegir al auditor externo, supervisarlo
y supervisar el informe de auditoría (avances, control interno, final...),
especialmente en las sociedades trasnacionales cotizadas de gran tamaño
y con elevado porcentaje de pequeños inversores sin poder en los
consejos de administración? Por último, y para concluir este
árido artículo, dejamos estas cuatro reflexiones:
1Que ya existen agencias de investigación de la corrupción,
como Transparency International, con medidas de probabilidad de empleo de
medios desleales,..., desde 10=0% hasta 0=100%, por países.
2Que la buena auditoría es cara, hay otra más barata
pero no es auditoría. Se ha de encontrar un equilibrio entre calidad
y precio.
3¿Qué va a suceder con la futura Ley Concursal? Podría
haber colisión con la futura Ley Financiera y el principio de empresa
en funcionamiento, según el nivel de eugenesia/eutanasia. 4Quedan
a la espera dos temas candentes, el Corporate Governance y el I.T. Governance.
Casi nada. |