Resumen: Uno de los temas menos tratados hasta
ahora es el de las auditorías de los sistemas de compliance. En este artículo se
presenta el estándar IDW AssS 980 (PS 980) que regula en Alemania la auditoría
de modelos de cumplimiento. Se alza como un firme candidato a ser tomado
como referencia para auditar este tipo de modelos.
Autor del artículo
|
Colaboración
|
|
Ricardo Seoane Rayo
|
||
Actualizado
|
1 de febrero de 2015
|
|
ÍNDICE
1. INTRODUCCIÓN2. ANALIZANDO LA NORMA
2.1. Marco internacional de compromiso en el aseguramiento
2.2. Estructura de la norma
3. POSICIÓN DE GARANTE DEL COMPLIANCE OFFICER
4. SOBRE EL MODELO DE AUDITORÍA
5. BIBLIOGRAFÍA CONSULTADA
6. DERECHOS DE AUTOR
1. INTRODUCCIÓN
El estándar IDW AssS 980 es una norma hecha por el Instituto
alemán de censores jurados de cuentas (Institut der Wirtschaftsprüfer in
Deutschland) en 2011 sobre Principios para el desarrollo de encargos sobre
seguridad razonable en la evaluación de programas de CMS, ese es su nombre, y
está hecho para auditores, enfocada a garantizar que se ha cumplido con la
calidad (assurance) exigible en la evaluación y auditoría de compliance, que se
han cumplido los mínimos de solvencia y rigor exigibles en la evaluación de un
programa.
El estándar alemán aunque comparte afinidades con las Normas
Técnicas de Auditoría, en el sentido de que la opinión final del proceso de
auditoría se formula del mismo modo que en la auditoría de cuentas, con similares
limitaciones al alcance, u opiniones adversas, cualificadas o limpias. Sin
embargo, no aplican los llamados
encargos sobre procedimientos acordados (agreed-upon procedures), en los
que se suele limitar a la corroboración de datos objetivos, más que a opiniones
técnicas, y a los que se ha recurrido por ciertas organizaciones para emitir
dictámenes allí donde no había una norma específica de Assurance.
En la norma alemana se aplican los procedimientos contemplados en la misma, no los que se acuerdan con el cliente, y éstos siempre conducen a una opinión del auditor del sistema.
En la norma alemana se aplican los procedimientos contemplados en la misma, no los que se acuerdan con el cliente, y éstos siempre conducen a una opinión del auditor del sistema.
2.
ANALIZANDO LA NORMA
2.1.
Marco internacional de compromiso en el aseguramiento
IAASB (International Auditing and Assurance Standards Board)
es la autora del modelo de aseguramiento elegido y podríamos decir que
perfeccionado por el IDW; ISAE 3000 (Assurance Engagements Other than Audits or
Reviews of Historical Financial Information) [1] que rige, como su nombre en
inglés indica, como norma de calidad en la evaluación de modelos de reporte de
datos distintos a la pura auditoría contable o revisión de información
financiera.
Esta norma, junto con ISAE 3402 e ISAE 3420 conforma lo que se conoce como Marco internacional de compromiso en el aseguramiento (International Framework for Assurance Engagement) apuntando en la dirección que perfecciona la norma alemana, establece el concepto de seguridad razonable, reconociendo la imposibilidad de llegar a la absoluta, y la necesidad de que se produzcan errores por cuestiones obvias de alcance metodológico.
El modelo alemán se basa en éste en cuanto a los elementos esenciales de la revisión; objetivos, requerimientos y definiciones son similares. Pero difiere en lo que se explicará al final de este post.
Esta norma, junto con ISAE 3402 e ISAE 3420 conforma lo que se conoce como Marco internacional de compromiso en el aseguramiento (International Framework for Assurance Engagement) apuntando en la dirección que perfecciona la norma alemana, establece el concepto de seguridad razonable, reconociendo la imposibilidad de llegar a la absoluta, y la necesidad de que se produzcan errores por cuestiones obvias de alcance metodológico.
El modelo alemán se basa en éste en cuanto a los elementos esenciales de la revisión; objetivos, requerimientos y definiciones son similares. Pero difiere en lo que se explicará al final de este post.
2.2. Estructura
de la norma
El IDW identifica tres niveles o alcances de la auditoría del
CMS:
- Un plano superior más abstracto en el que solo se evalúa el diseño del modelo.
- Uno de profundidad media en que se evalúan tanto el diseño como la implementación.
- Un tercero, el más exhaustivo, en el que se analizan y validan tanto estos dos niveles anteriores como la efectividad del modelo.
Ni que decir tiene que la elección de una u otra posibilidad
irá en función tanto de:
- La importancia relativa del cliente y las operaciones auditadas.
- La proporcionalidad deseable en relación con el nivel de riesgo aceptado por cada organización.
Tampoco requiere especial discusión el hecho de que la NTA
215, sobre la posición del auditor de cuentas respecto al fraude en la
auditoría, cobra especial relevancia cuando lo que se está evaluando es el
propio fraude, por incumplimiento, de la ley que obliga a prevenir los delitos
en las organizaciones.
El modelo de auditoría elegido se basa en la obtención de
evidencias que apoyen una opinión al respecto de la identificación de los
elementos esenciales que no pueden faltar en un CMS.
Los procedimientos que establece la norma son similares a los que se fijan en las normas de auditoría, tendentes a la obtención de evidencias lo más significativas posibles para certificar los extremos que el alcance del informe determine (puede ser informe abreviado o completo, según la norma), minimizando el riesgo de que los procedimientos, muestras y testeos de las evidencias examinadas no sean representativos del nivel general de cumplimiento de la organización.
Los procedimientos que establece la norma son similares a los que se fijan en las normas de auditoría, tendentes a la obtención de evidencias lo más significativas posibles para certificar los extremos que el alcance del informe determine (puede ser informe abreviado o completo, según la norma), minimizando el riesgo de que los procedimientos, muestras y testeos de las evidencias examinadas no sean representativos del nivel general de cumplimiento de la organización.
Adjuntamos como ejemplo la Nota de Compliance Audit de la
empresa alemana Thyssen auditado de conformidad con el IDW 980. [2]
3.
POSICIÓN DE GARANTE DEL COMPLIANCE OFFICER
Y es que el estándar nació en 2011 como respuesta a dos
escándalos, uno menos sonado pero no por ello menos importante, en los que
empresas alemanas se vieron involucradas en casos de responsabilidad
corporativa:
- El caso de Siemens que sufrió la más severa sanción por soborno de las aplicadas hasta el momento por la SEC, ya que cotiza en la bolsa de Nueva York.
- El asunto de la Sentencia del Tribunal Supremo alemán BGH de 17 de julio de 2009, por la que se condenó al jefe de asesoría jurídica, auditoría y revisión interna de la empresa berlinesa BSR, una empresa de derecho público, encargada del servicio de limpieza de la ciudad.
Lo importante del precedente estriba en el reconocimiento de
la culpa del responsable de cumplimiento por la posición de garante que le
venía dada en sus funciones de prevenir e impedir delitos más que por la que le
pudiera corresponder por injerencia (responsabilidad por peligro).
Se condenó al que hacía las veces de oficial de cumplimiento porque no realizó acción alguna tendente a impedir la estafa en el cobro indebido de tasas de basura, más allá de la mera comunicación al superior, la cual después convalidó en junta a sabiendas de la ilicitud del cobro no oponiéndose a la aprobación de las tarifas fraudulentas.
Se condenó al que hacía las veces de oficial de cumplimiento porque no realizó acción alguna tendente a impedir la estafa en el cobro indebido de tasas de basura, más allá de la mera comunicación al superior, la cual después convalidó en junta a sabiendas de la ilicitud del cobro no oponiéndose a la aprobación de las tarifas fraudulentas.
Los puntos principales en que se basa la condena son la
posición de garante que asume el Compliance Officer no solo frente a la propia
empresa sino frente a terceros, aspecto en el que habrá que estar atento a las
definiciones de puestos de trabajo, y será muy conveniente acudir a una
eficiente gestión por competencias. La resolución lo razona del siguiente
modo:
“La asunción de un área de competencia puede implicar una
obligación de garantía en el sentido del art. 13, apartado 1, del Código Penal
alemán. La posición de garante resulta del supuesto de que la persona sea depositaria
de un deber de tutela en relación con cierto peligro (véase Roxin, Strafrecht
(derecho penal) AT II 2003, pág. 712)”.
Esta sentencia junto a otra más reciente de 2011 fijan lo
que habrá de esperarse de un Compliance Officer en el futuro; algo más que un
mero avisador, un comportamiento proactivo, no ya frente al delito cometido,
sino además frente al riesgo o indicio observados.
Se perfila como una obligación de impedir delitos en la
organización. Y no ya frente a la propia empresa, sino al resto de stakeholders con intereses legítimos
sujetos a protección de la función de cumplimiento. Y se define como la
vigilancia de comportamientos inadecuados en su seno (se refiere a Corporate
crimes, concepto que por oposición a similares como White collar crimes, por
ejemplo, aún dista de estar completamente determinado).
4. SOBRE
EL MODELO DE AUDITORÍA
Ahora bien, el germen del modelo de revisión alemán encierra
su fallo o error de planteamiento, y me explico; como nació por y para
auditores motivada en parte por la sentencia que se viene de comentar, se la
acusa de centrarse más en “salvarle el pellejo” al auditor, que en auditar con
propiedad la eficacia del compliance en la empresa. Cosa por otra parte,
muy humana, en función de la tendencia ya denunciada, a derivar sistemáticamente
la responsabilidad a la función de compliance (cuando veas las barbas de tu
vecino pelar ,,,) pero de deseable mejora en pos de una correcta fijación de
los principios de la disciplina que está naciendo.
A mayor abundamiento, se recomienda la lectura de lo
publicado al respecto por Alain Casanovas [4] en cuyo blog se adjunta la sentencia
comentada traducida al castellano, así como de la no muy abundante bibliografía
en inglés y alemán sobre el tema.
5. BIBLIOGRAFÍA
CONSULTADA
- [2] Thyssen. “Nota de Compliance Audit”. Empresa alemana auditada de conformidad con el IDW
980.
IDW 980 Thysen
- [3] Institut der Wirtschaftsprüfer
in Deutschland (IDW) [Institute of Public Auditors in Germany,
Incorporated Association]. “Assurance
Standards (IDW AssS)”.
IDW AssS 980
- [4] Alain Casanovas.
“Responsabilidades
personales en el ámbito del cumplimiento legal”. Serie de cuadernos sobre
cumplimiento legal. Apéndice II. Sentencia del BGH de 17 de julio de 2009.
TRIBUNAL FEDERAL
(BGH). KPMG.
6. DERECHOS
DE AUTOR
La
presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
Con más de catorce años de experiencia en Derecho Penal,
fiscal-financiero, internacional, mercantil y civil, ha asesorado desde una
visión integral del Derecho, la economía y la estrategia empresarial a un gran
número de sociedades, pymes y particulares.
En los últimos tiempos ha focalizado su carrera en el Derecho
Penal económico, Derecho Penal preventivo, corporate compliance, el delito
fiscal y la asesoría financiero-fiscal.
Ha participado en algunos de los procedimientos penales más
importantes de los últimos años con proyección internacional, por delito
fiscal, societario, blanqueo de capitales, salud pública y estafa.
Es fundador del grupo Derecho
Penal Económico&Compliance en Linkedin, red de intercambio de
conocimiento en la materia, con presencia de algunos de los más eminentes
expertos mundiales.
Es autor de innumerables artículos sobre Derecho Penal
Económico en publicaciones especializadas y en el diario El País.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.