El
momento es sumamente inoportuno, ya que los reguladores EEUU/UE se encontraban
próximos a superar las diferencias entre normativas contables aplicables
a los sistemas de información de las empresas UE que cotizan en Wall
Street. Este hecho evidencia que la ley Sarbanes-Oxley/USA, en ciertos casos,
sería extraterritorial, incluyendo vía SEC/USA a multinacionales
UE, un asunto conflictivo, ya que estas compañías estarían
sometidas simultáneamente a dos legislaciones similares pero no iguales.
Y es que estos lodos de hogaño, vienen de aquellos polvos de antaño.
Está claro que el sistema de información corporativo no cumple
su misión: informar; antes bien, desinforma a los usuarios, lo que
tiene indeseables consecuencias, una de las cuales queda patente en la cada
vez más usada definición de información asimétrica
(Tamames/Gallego dixit): Problema, común a la economía,
que surge cuando dos partes negocian sin una información totalmente
común.
En este contexto, dominado por los tsumanis normativos, hay que mencionar
en primera aproximación dos casos que afectan en mayor medida a la
seguridad en informática y comunicaciones de los sistemas de información
corporativos. El primero tiene que ver con el Comité de Auditoría
y temas conexos, previsto en el artículo 47 de la Ley Financiera
(en vigor desde el 24-11-2002), marcando un plazo de nueve meses para su
cumplimiento (24-8-2003) bajocontrol de la CNMV.
El segundo caso es consecuencia del Informe Aldama de 8-1-2003. Parece ser
que el Gobierno español quiere elevar algunas recomendaciones a normas
de obligado cumplimiento (leyes de sociedades anónimas y de la CNMV),
tales como el voto electrónico y la utilización de la página
web, especialmente. |
GOBIERNO
DE EMPRESAS
En opinión de quien esto escribe, la actual normativa desarrollada
o en desarrollo, dura (leyes) o blanda (recomendaciones) actúa
simultáneamente sobre tres ámbitos de Gobierno:
Corporativo: la propiedad, esto es, los accionistas y su consejo
de administración, y los interesados (Stakeholders).
Empresarial: afecta, especialmente, al primer ejecutivo y al equipo
de dirección.
Sistema de información (I.T. Governance), tema que merece
un estudio monográfico.
COMITÉ DE AUDITORÍA
Pero retornemos al antes citado Comité de Auditoría y cuestiones
de su ámbito, desarrollado por la Ley Financiera. Entre sus funciones
destacan las siguientes:
Conocimiento de proceso de INFORMACIÓN y del sistema de CONTROL
INTERNO.
Supervisará la AUDITORÍA INTERNA.
Propondrá el nombramiento de la AUDITORÍA EXTERNA al
Consejo de Administración para sometimiento a la Junta General.
Marcará las relaciones con la AUDITORÍA EXTERNA, teniendo
en cuenta las Normas Técnicas de Auditoría.
Informará a la Junta general sobre cuestiones planteadas por
los accionistas en materias de su competencia.
Ahora bien, los organismos supervisores podrán ordenar la realización
de informes a la auditoría externa para cumplir sus misiones correspondientes.
Conviene aquí recordar la composición del comité de
auditoría: la mayoría de sus miembros, incluso su presidente,
deberán ser consejeros no ejecutivos (antes denominados independientes).
La verdad es que si el artefacto auditor que se pretende poner en marcha
legalmente, llegara a funcionar con un mínimo suficiente de eficiencia,
el efecto multiplicador positivo sobre la empresa en su conjunto sería
muy elevado razonablemente en el medio/largo plazo. Si así fuera,
quizás pudieran pasar a la historia las Audit Expectations Gap, sin
duda el sueño de los inversores.
AUDITORÍA CONTINUA
El término auditoría, y más si le añadimos adjetivos,
goza de una extensa e intensa utilización equívoca, que normalmente
es la menos equívoca de su aprovechamiento. En román paladino
se entiende que si algo se audita, es para comprobar si está bien
o mal (suena esto al concepto de auditoría integral o total). Tal
interpretación podría ser perfectamente la de un microaccionista
típico de una macrocorporación
multinacional global.
Pues bien, un análisis agudo de las Normas Técnicas de Auditoría,
nos lleva a pensar que el concepto de auditoría que se desprende
de estas piezas normativas es mucho más que la conocida comunmente
como financiera, sobre todo desde que la UE propone como marco de referencia
las normas de auditoría IFAC, casi todas incorporadas por el ICAC.
La auditoría etiquetada como financiera tengamos muy en cuenta
lo expresado en párrafos anteriores, es una revisión
no necesariamente exhaustiva, referida a un período
de tiempo determinado (habitalmente en España es el ejercicio
anual de 1 de enero a 31 de diciembre), además de otras cosas muy
importantes; todo ello para obtener evidencia suficiente (cuantitativa)
y adecuada (cualitativa) mediante pruebas de cumplimiento, de revisión
analítica y sustantivas que justifiquen una opinión razonable.
Para poder hacer esto, se aplican métodos estadísticos, bien
del análisis estadístico descriptivo o exhaustivo sobre una
población, bien si utilizamos el análisis inferencial sobre
una muestra aleatoria. Por razones evidentes de coste/eficiencia/tiempo,
los Métodos Estadísticos Inferenciales son los más
útiles, pero teniendo en cuenta los riesgos de auditoría,
el control interno y los factores de irregularidades y errores.
Lo cierto es que la inmersión en las TIC de los sistemas de información
en la empresa está provocando de forma acelerada cambios sustantivos
en el tiempo y en el espacio: los plazos se acortan a límites antes
impensables, e incluso se está iniciando la aplicación del
término continuo a funciones que, tradicionalmente, tenían
como unidad de tiempo el mes, el trimestre, el semestre...
Este asunto se está concretando (1998: AICPA-CICA; 2000: AECA; 2002-2003:
ISACA), y parece prometedor, aunque se deben de tener en cuenta las diferencias
entre la auditoría interna (dependiente) y la auditoría externa
(independiente; estatutaria/voluntaria) respecto a objetivos/misiones/competencia,
en función de la entidad auditada.
Nos estamos refiriendo, obviamente, a la auditoría continua y a los
conceptos colindantes: el control continuo, el aseguramiento continuo y
la información continua. En este sentido, creo que se está
desarrollando una tendencia hacia la cibernetización por etapas.
Hoy en día considerar una empresa como un producto a efectos de certificación,
podría ser teóricamente posible aquí y ahora, pero
las organizaciones se manifiestan generalmente como sistemas hipercomplejos
sometidos a un acortamiento de ciclos lo suficientemente rotundo como para
justificar una readecuación de la auditoría y de los llamados
conceptos colindantes hacia lo continuo. Conseguir el disparo de estos procesos
continuos sería notablemente beneficioso para la toma de decisiones.
Cosa distinta es que lo continuo, a efectos de la auditoría, esté
aún muy verde.
Para despedir esta entrega un punto enrevesada, daremos voz al profesor
Sánchez Ron en una cita que creo pertinente: ... No es tanto
ser homo sapiens, es decir el hombre (o el humano) que sabe, sino el ser
homo sapiens sapiens, esto es, el hombre que sabe que sabe. Reconozcamos
que hay hombres buenos y optimistas. |