sábado, 31 de enero de 2015

El estándar IDW AssS 980; auditoría de modelos de Compliance


Resumen: Uno de los temas menos tratados hasta ahora es el de las auditorías de los sistemas de compliance. En este artículo se presenta el estándar IDW AssS 980 (PS 980) que regula en Alemania la auditoría de modelos de cumplimiento. Se alza como un firme candidato a ser tomado como referencia para auditar este tipo de modelos.

Autor del artículo
Colaboración
Ricardo Seoane Rayo
 
Actualizado
 
1 de febrero de 2015
 

ÍNDICE
1. INTRODUCCIÓN
2. ANALIZANDO LA NORMA
2.1. Marco internacional de compromiso en el aseguramiento
2.2. Estructura de la norma
3. POSICIÓN DE GARANTE DEL COMPLIANCE OFFICER
4. SOBRE EL MODELO DE AUDITORÍA
5. BIBLIOGRAFÍA CONSULTADA
6. DERECHOS DE AUTOR

1. INTRODUCCIÓN

En esta entrada voy a ocuparme de un tema que ya tenía ganas de abordar; el estándar IDW AssS 980, [3] más conocido como PS 980, que regula en Alemania la auditoría de modelos de cumplimiento, y que, por ser el único aplicable en estas lides, es de esperar que se tome como referencia a la hora de auditar los programas de cumplimiento.

El estándar IDW AssS 980 es una norma hecha por el Instituto alemán de censores jurados de cuentas (Institut der Wirtschaftsprüfer in Deutschland) en 2011 sobre Principios para el desarrollo de encargos sobre seguridad razonable en la evaluación de programas de CMS, ese es su nombre, y está hecho para auditores, enfocada a garantizar que se ha cumplido con la calidad (assurance) exigible en la evaluación y auditoría de compliance, que se han cumplido los mínimos de solvencia y rigor exigibles en la evaluación de un programa.

El estándar alemán aunque comparte afinidades con las Normas Técnicas de Auditoría, en el sentido de que la opinión final del proceso de auditoría se formula del mismo modo que en la auditoría de cuentas, con similares limitaciones al alcance, u opiniones adversas, cualificadas o limpias. Sin embargo, no aplican los llamados  encargos sobre procedimientos acordados (agreed-upon procedures), en los que se suele limitar a la corroboración de datos objetivos, más que a opiniones técnicas, y a los que se ha recurrido por ciertas organizaciones para emitir dictámenes allí donde no había una norma específica de Assurance.

En la norma alemana se aplican los procedimientos contemplados en la misma, no los que se acuerdan con el cliente, y éstos siempre conducen a una opinión del auditor del sistema.

2. ANALIZANDO LA NORMA

2.1. Marco internacional de compromiso en el aseguramiento

IAASB (International Auditing and Assurance Standards Board) es la autora del modelo de aseguramiento elegido y podríamos decir que perfeccionado por el IDW; ISAE 3000 (Assurance Engagements Other than Audits or Reviews of Historical Financial Information) [1] que rige, como su nombre en inglés indica, como norma de calidad en la evaluación de modelos de reporte de datos distintos a la pura auditoría contable o revisión de información financiera.

Esta norma, junto con ISAE 3402 e ISAE 3420 conforma lo que se conoce como Marco internacional de compromiso en el aseguramiento (International Framework for Assurance Engagement) apuntando en la dirección que perfecciona la norma alemana, establece el concepto de seguridad razonable, reconociendo la imposibilidad de llegar a la absoluta, y la necesidad de que se produzcan errores por cuestiones obvias de alcance metodológico.

El modelo alemán se basa en éste en cuanto a los elementos esenciales de la revisión; objetivos, requerimientos y definiciones son similares. Pero difiere en lo que se explicará al final de este post.

2.2. Estructura de la norma

El IDW identifica tres niveles o alcances de la auditoría del CMS:
 
  • Un plano superior más abstracto en el que solo se evalúa el diseño del modelo.
  • Uno de profundidad media en que se evalúan tanto el diseño como la implementación.
  • Un tercero, el más exhaustivo, en el que se analizan y validan tanto estos dos niveles anteriores como la efectividad del modelo.

Ni que decir tiene que la elección de una u otra posibilidad irá en función tanto de:
 
  • La importancia relativa del cliente y las operaciones auditadas.
  • La proporcionalidad deseable en relación con el nivel de riesgo aceptado por cada organización.

Tampoco requiere especial discusión el hecho de que la NTA 215, sobre la posición del auditor de cuentas respecto al fraude en la auditoría, cobra especial relevancia cuando lo que se está evaluando es el propio fraude, por incumplimiento, de la ley que obliga a prevenir los delitos en las organizaciones.

El modelo de auditoría elegido se basa en la obtención de evidencias que apoyen una opinión al respecto de la identificación de los elementos esenciales que no pueden faltar en un CMS.

Los procedimientos que establece la norma son similares a los que se fijan en las normas de auditoría, tendentes a la obtención de evidencias lo más significativas posibles para certificar los extremos que el alcance del informe determine (puede ser informe abreviado o completo, según la norma), minimizando el riesgo de que los procedimientos, muestras y testeos de las evidencias examinadas no sean representativos del nivel general de cumplimiento de la organización.

Adjuntamos como ejemplo la Nota de Compliance Audit de la empresa alemana Thyssen auditado de conformidad con el IDW 980. [2]

3. POSICIÓN DE GARANTE DEL COMPLIANCE OFFICER

Hasta aquí todo está claro, el problema radica en la gestación del modelo de auditoría de compliance que está llamado a ser el que se aplique como best practice en el sector en los próximos años.

Y es que el estándar nació en 2011 como respuesta a dos escándalos, uno menos sonado pero no por ello menos importante, en los que empresas alemanas se vieron involucradas en casos de responsabilidad corporativa:
 
  • El caso de Siemens que sufrió la más severa sanción por soborno de las aplicadas hasta el momento por la SEC, ya que cotiza en la bolsa de Nueva York.
  • El asunto de la Sentencia del Tribunal Supremo alemán BGH de 17 de julio de 2009, por la que se condenó al jefe de asesoría jurídica, auditoría y revisión interna de la empresa berlinesa BSR, una empresa de derecho público, encargada del servicio de limpieza de la ciudad.

Lo importante del precedente estriba en el reconocimiento de la culpa del responsable de cumplimiento por la posición de garante que le venía dada en sus funciones de prevenir e impedir delitos más que por la que le pudiera corresponder por injerencia (responsabilidad por peligro).

Se condenó al que hacía las veces de oficial de cumplimiento porque no realizó acción alguna tendente a impedir la estafa en el cobro indebido de tasas de basura, más allá de la mera comunicación al superior, la cual después convalidó en junta a sabiendas de la ilicitud del cobro no oponiéndose a la aprobación de las tarifas fraudulentas.

Los puntos principales en que se basa la condena son la posición de garante que asume el Compliance Officer no solo frente a la propia empresa sino frente a terceros, aspecto en el que habrá que estar atento a las definiciones de puestos de trabajo, y será muy conveniente acudir a una eficiente gestión por competencias. La resolución lo razona del siguiente modo:

“La asunción de un área de competencia puede implicar una obligación de garantía en el sentido del art. 13, apartado 1, del Código Penal alemán. La posición de garante resulta del supuesto de que la persona sea depositaria de un deber de tutela en relación con cierto peligro (véase Roxin, Strafrecht (derecho penal) AT II 2003, pág. 712)”.

Esta sentencia junto a otra más reciente de 2011 fijan lo que habrá de esperarse de un Compliance Officer en el futuro; algo más que un mero avisador, un comportamiento proactivo, no ya frente al delito cometido, sino además frente al riesgo o indicio observados.

Se perfila como una obligación de impedir delitos en la organización. Y no ya frente a la propia empresa, sino al resto de stakeholders con intereses legítimos sujetos a protección de la función de cumplimiento. Y se define como la vigilancia de comportamientos inadecuados en su seno (se refiere a Corporate crimes, concepto que por oposición a similares como White collar crimes, por ejemplo, aún dista de estar completamente determinado).

4. SOBRE EL MODELO DE AUDITORÍA

Ahora bien, el germen del modelo de revisión alemán encierra su fallo o error de planteamiento, y me explico; como nació por y para auditores motivada en parte por la sentencia que se viene de comentar, se la acusa de centrarse más en “salvarle el pellejo” al auditor, que en auditar con propiedad la eficacia del compliance en la empresa. Cosa por otra parte, muy humana, en función de la tendencia ya denunciada, a derivar sistemáticamente la responsabilidad a la función de compliance (cuando veas las barbas de tu vecino pelar ,,,) pero de deseable mejora en pos de una correcta fijación de los principios de la disciplina que está naciendo.

A mayor abundamiento, se recomienda la lectura de lo publicado al respecto por Alain Casanovas [4] en cuyo blog se adjunta la sentencia comentada traducida al castellano, así como de la no muy abundante bibliografía en inglés y alemán sobre el tema.

5. BIBLIOGRAFÍA CONSULTADA

- [1] IAASB (International Auditing and Assurance Standards Board). “ISAE 3000 (Assurance Engagements Other than Audits or Reviews of Historical Financial Information)”.
ISAE 3000

- [2] Thyssen. “Nota de Compliance Audit”.  Empresa alemana auditada de conformidad con el IDW 980.
IDW 980 Thysen

- [3] Institut der Wirtschaftsprüfer in Deutschland (IDW) [Institute of Public Auditors in Germany, Incorporated Association]. “Assurance Standards (IDW AssS)”.
IDW AssS 980

- [4] Alain Casanovas. “Responsabilidades personales en el ámbito del cumplimiento legal”. Serie de cuadernos sobre cumplimiento legal. Apéndice II. Sentencia del BGH de 17 de julio de 2009. TRIBUNAL FEDERAL (BGH). KPMG.

6. DERECHOS DE AUTOR
Imágenes bajo licencia 123RF internacional.
 
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
 
Sobre el autor:
 
Ricardo Seoane Rayo es abogado, miembro de la Sección Penal del ICAM.
Con más de catorce años de experiencia en Derecho Penal, fiscal-financiero, internacional, mercantil y civil, ha asesorado desde una visión integral del Derecho, la economía y la estrategia empresarial a un gran número de sociedades, pymes y particulares.
En los últimos tiempos ha focalizado su carrera en el Derecho Penal económico, Derecho Penal preventivo, corporate compliance, el delito fiscal y la asesoría financiero-fiscal.
Ha participado en algunos de los procedimientos penales más importantes de los últimos años con proyección internacional, por delito fiscal, societario, blanqueo de capitales, salud pública y estafa.
Es fundador del grupo Derecho Penal Económico&Compliance en Linkedin, red de intercambio de conocimiento en la materia, con presencia de algunos de los más eminentes expertos mundiales.
Es autor de innumerables artículos sobre Derecho Penal Económico en publicaciones especializadas y en el diario El País. 
La primera publicación de este artículo ha sido en el blog del autor, Business Criminal Law  


 
 



No hay comentarios:

Publicar un comentario