Del COSO al Informe Aldama

Cuando parecía que ya se estaba superando la saga de acontecimientos iniciada con Enron y World Com, nos ha saltado en Europa el asunto de la filial U.S. Foodservice del grupo holandés Royal AHOLD N.V., caso que quizás tenga algo que ver con la denominada contabilidad creativa.
JOSÉ DE LA PEÑA SÁNCHEZ
Auditor Censor Jurado de Cuentas
y Licenciado en Informática
info@codasic.com
El momento es sumamente inoportuno, ya que los reguladores EEUU/UE se encontraban próximos a superar las diferencias entre normativas contables aplicables a los sistemas de información de las empresas UE que cotizan en Wall Street. Este hecho evidencia que la ley Sarbanes-Oxley/USA, en ciertos casos, sería extraterritorial, incluyendo vía SEC/USA a multinacionales UE, un asunto conflictivo, ya que estas compañías estarían sometidas simultáneamente a dos legislaciones similares pero no iguales.
Y es que estos lodos de hogaño, vienen de aquellos polvos de antaño. Está claro que el sistema de información corporativo no cumple su misión: informar; antes bien, desinforma a los usuarios, lo que tiene indeseables consecuencias, una de las cuales queda patente en la cada vez más usada definición de información asimétrica (Tamames/Gallego dixit): “Problema, común a la economía, que surge cuando dos partes negocian sin una información totalmente común”.
En este contexto, dominado por los tsumanis normativos, hay que mencionar en primera aproximación dos casos que afectan en mayor medida a la seguridad en informática y comunicaciones de los sistemas de información corporativos. El primero tiene que ver con el Comité de Auditoría y temas conexos, previsto en el artículo 47 de la Ley Financiera (en vigor desde el 24-11-2002), marcando un plazo de nueve meses para su cumplimiento (24-8-2003) bajocontrol de la CNMV.
El segundo caso es consecuencia del Informe Aldama de 8-1-2003. Parece ser que el Gobierno español quiere elevar algunas recomendaciones a normas de obligado cumplimiento (leyes de sociedades anónimas y de la CNMV), tales como el voto electrónico y la utilización de la página web, especialmente.
“La tendencia hacia la auditoría contínua podría ser el catalizador de un proceso persistente de mejora de la eficiencia de los sistemas de información y entorno de seguridad TIC”.
GOBIERNO DE EMPRESAS

En opinión de quien esto escribe, la actual normativa –desarrollada o en desarrollo, dura (leyes) o blanda (recomendaciones)– actúa simultáneamente sobre tres ámbitos de “Gobierno”:
– Corporativo: la propiedad, esto es, los accionistas y su consejo de administración, y los interesados (Stakeholders).
– Empresarial: afecta, especialmente, al primer ejecutivo y al equipo de dirección.
– Sistema de información (I.T. Governance), tema que merece un estudio monográfico.

COMITÉ DE AUDITORÍA

Pero retornemos al antes citado Comité de Auditoría y cuestiones de su ámbito, desarrollado por la Ley Financiera. Entre sus funciones destacan las siguientes:
– Conocimiento de proceso de INFORMACIÓN y del sistema de CONTROL INTERNO.
– Supervisará la AUDITORÍA INTERNA.
– Propondrá el nombramiento de la AUDITORÍA EXTERNA al Consejo de Administración para sometimiento a la Junta General.
– Marcará las relaciones con la AUDITORÍA EXTERNA, teniendo en cuenta las Normas Técnicas de Auditoría.
– Informará a la Junta general sobre cuestiones planteadas por los accionistas en materias de su competencia.
Ahora bien, los organismos supervisores podrán ordenar la realización de informes a la auditoría externa para cumplir sus misiones correspondientes. Conviene aquí recordar la composición del comité de auditoría: la mayoría de sus miembros, incluso su presidente, deberán ser consejeros no ejecutivos (antes denominados independientes).
La verdad es que si el artefacto auditor que se pretende poner en marcha legalmente, llegara a funcionar con un mínimo suficiente de eficiencia, el efecto multiplicador positivo sobre la empresa en su conjunto sería muy elevado razonablemente en el medio/largo plazo. Si así fuera, quizás pudieran pasar a la historia las Audit Expectations Gap, sin duda el sueño de los inversores.

AUDITORÍA CONTINUA

El término auditoría, y más si le añadimos adjetivos, goza de una extensa e intensa utilización equívoca, que normalmente es la menos equívoca de su aprovechamiento. En román paladino se entiende que si algo se audita, es para comprobar si está bien o mal (suena esto al concepto de auditoría integral o total). Tal interpretación podría ser perfectamente la de un microaccionista típico de una macrocorporación
multinacional global.
Pues bien, un análisis agudo de las Normas Técnicas de Auditoría, nos lleva a pensar que el concepto de auditoría que se desprende de estas piezas normativas es mucho más que la conocida comunmente como financiera, sobre todo desde que la UE propone como marco de referencia las normas de auditoría IFAC, casi todas incorporadas por el ICAC.
La auditoría etiquetada como financiera –tengamos muy en cuenta lo expresado en párrafos anteriores–, es una revisión “no necesariamente exhaustiva”, referida a un “período de tiempo determinado” (habitalmente en España es el ejercicio anual de 1 de enero a 31 de diciembre), además de otras cosas muy importantes; todo ello para obtener evidencia suficiente (cuantitativa) y adecuada (cualitativa) mediante pruebas de cumplimiento, de revisión analítica y sustantivas que justifiquen una opinión razonable.
Para poder hacer esto, se aplican métodos estadísticos, bien del análisis estadístico descriptivo o exhaustivo sobre una población, bien si utilizamos el análisis inferencial sobre una muestra aleatoria. Por razones evidentes de coste/eficiencia/tiempo, los Métodos Estadísticos Inferenciales son los más útiles, pero teniendo en cuenta los riesgos de auditoría, el control interno y los factores de irregularidades y errores.
Lo cierto es que la inmersión en las TIC de los sistemas de información en la empresa está provocando de forma acelerada cambios sustantivos en el tiempo y en el espacio: los plazos se acortan a límites antes impensables, e incluso se está iniciando la aplicación del término continuo a funciones que, tradicionalmente, tenían como unidad de tiempo el mes, el trimestre, el semestre...
Este asunto se está concretando (1998: AICPA-CICA; 2000: AECA; 2002-2003: ISACA), y parece prometedor, aunque se deben de tener en cuenta las diferencias entre la auditoría interna (dependiente) y la auditoría externa (independiente; estatutaria/voluntaria) respecto a objetivos/misiones/competencia, en función de la entidad auditada.
Nos estamos refiriendo, obviamente, a la auditoría continua y a los conceptos colindantes: el control continuo, el aseguramiento continuo y la información continua. En este sentido, creo que se está desarrollando una tendencia hacia la cibernetización por etapas.
Hoy en día considerar una empresa como un producto a efectos de certificación, podría ser teóricamente posible aquí y ahora, pero las organizaciones se manifiestan generalmente como sistemas hipercomplejos sometidos a un acortamiento de ciclos lo suficientemente rotundo como para justificar una readecuación de la auditoría y de los llamados conceptos colindantes hacia lo continuo. Conseguir el disparo de estos procesos continuos sería notablemente beneficioso para la toma de decisiones. Cosa distinta es que lo continuo, a efectos de la auditoría, esté aún muy verde.
Para despedir esta entrega un punto enrevesada, daremos voz al profesor Sánchez Ron en una cita que creo pertinente: “... No es tanto ser homo sapiens, es decir el hombre (o el humano) que sabe, sino el ser homo sapiens sapiens, esto es, el hombre que sabe que sabe”. Reconozcamos que hay hombres buenos y optimistas.

Documento en PDF
 

<volver