Guía para comités de auditoría de alto rendimiento

En su función de supervisión, los comités de auditoría necesitan generar confianza entre los stakeholders y permitir que el consejo de administración tome decisiones estratégicas informadas. Pero, ¿cómo?

Puntos destacados:

• Los miembros del comité de auditoría deben adoptar y mantener una actitud crítica y de escepticismo, así como estar dispuestos a cuestionar a la dirección si es necesario.
• La supervisión de la información corporativa es fundamental para el comité de auditoría, que debe examinar la información financiera y no financiera de la empresa.
• Dado que el comité de auditoría es el que mantiene la relación con el auditor externo, debe hacer que éste rinda cuentas al tiempo que fomentar una comunicación abierta y franca.

Los comités de auditoría son un pilar fundamental del buen gobierno corporativo, ya que permiten a las empresas construir confianza con sus stakeholders. Como comités del consejo de administración (o consejo de supervisión en una estructura dual), son responsables de supervisar si la compañiía proporciona información corporativa de alta calidad que expresa la imagen fiel y precisa del desempeño de su negocio.

En el caso de las empresas que cotizan en bolsa y otras entidades de interés público, los requisitos para los comités de auditoría están establecidos por las leyes nacionales, los códigos de buen gobierno y las normas de los mercados de valores. Como resultado, estos requisitos pueden variar significativamente entre jurisdicciones. Lo que es común en todo el mundo, sin embargo, es que los comités de auditoría tienen un mandato amplio y en constante evolución. En la actualidad, este cometido se está ampliando aún más con la introducción en muchos mercados de la obligación de elaborar información sobre sostenibilidad y sujetarla a verificación. Además de supervisar los procesos relacionados con la información corporativa de su empresa, los comités de auditoría supervisan los controles internos, la gestión de riesgos y el proceso de auditoría externa. También, pueden tener responsabilidades en relación con la ciberseguridad, la fiscalidad y el cumplimiento normativo, entre otros ámbitos.

Ser miembro de un comité de auditoría es un trabajo arduo que exige una considerable dedicación de tiempo, así como competencias muy específicas de quienes asumen el cargo. Entonces, ¿cómo pueden los miembros del comité de auditoría desempeñar su función con la mayor eficacia posible, tanto individualmente como en su conjunto? Una nueva publicación de EY, la Guía del Comité de Auditoría (pdf), explora esta cuestión en profundidad, ofreciendo consejos prácticos para los miembros del comité de auditoría, independientemente de dónde geográficamente desempeñan sus funciones y de su antigüedad. Este artículo explora algunas de las principales ideas de la guía.

¿Qué hace un buen miembro de un comité de auditoría?

En línea con su importante papel en la generación de confianza, la integridad y los altos estándares éticos son atributos exigibles a todos los miembros del comité de auditoría. También deben estar dispuestos y ser capaces de hacer preguntas difíciles a la dirección, así como tenaces en su búsqueda de respuestas.

La independencia es un requisito común para todos los miembros del comité de auditoría. Cuando los miembros del comité de auditoría son independientes, es más probable que mantengan una actitud escéptica y estén dispuestos a desafiar abiertamente a la Dirección. Además, ser independientes les permite cuestionar libremente la información corporativa o los procesos internos de la empresa, sin verse indebidamente influenciados por las consecuencias potencialmente negativas para la empresa y sus ejecutivos.

La proporción requerida de miembros independientes en un comité de auditoría puede variar desde, al menos, uno hasta su totalidad. Las jurisdicciones evalúan la independencia de diferentes maneras, pero, con carácter general, la consideración de independencia excluye :

• Cualquier forma de implicación o cargo de dirección en la empresa o negocios vinculados a ella.
• Relación comercial significativa con la empresa o una empresa asociada.
• Miembros de la familia que puedan estar vinculados de manera similar con la empresa.
• Haber sido recientemente socio de la firma que está realizando la auditoría externa.

El período de “cooling-off” (la duración del tiempo que debe transcurrir después de que haya terminado cualquiera de las relaciones anteriores) puede ser de hasta cinco años en algunos casos.

La independencia también puede verse potencialmente afectada por la permanencia prolongada en el comité o, en general, en el consejo. Por ejemplo, de acuerdo con el Código de Gobierno Corporativo del Reino Unido, es probable que formar parte del consejo de administración durante más de nueve años menoscabe, o podría parecer que menoscaba, la independencia de un consejero no ejecutivo.

Dado su ámbito de competencia, a menudo se requiere que los miembros del comité de auditoría tengan experiencia y conocimientos financieros. Muchas jurisdicciones esperan que, al menos, uno de los miembros del comité sea un experto en finanzas. A modo de ejemplo, el Código de Gobierno Corporativo alemán exige que, al menos un miembro del comité de auditoría tenga experiencia en el campo de la contabilidad, y que, al menos otro tenga experiencia en el campo de la auditoría. Cuando no se exige independencia a todos los miembros, a menudo se requiere experiencia financiera al miembro que se considera independiente.

Las competencias y experiencias adicionales requeridas de los miembros del comité de auditoría diferirán según el sector y las jurisdicciones en las que opere su empresa, así como las responsabilidades específicas asignadas al propio comité de auditoría. Dado el creciente incremento de las responsabilidades del comité de auditoría, no es suficiente que los miembros tengan únicamente competencias financieras. Cada vez más, se espera que posean una gama más amplia de habilidades y conocimientos. Por ejemplo, la tecnología se considera un área de conocimiento adicional que es vital para la eficacia del comité de auditoría, dado que la ciberseguridad es uno de los riesgos de creciente importancia que los comités de auditoría deben supervisar. De hecho, los comités de auditoría que supervisan los riesgos de ciberseguridad deberían contar con un miembro con experiencia en tecnología.

"Tone at the top"

Por lo general, el consejo en pleno supervisará la cultura corporativa. Sin embargo, el comité de auditoría a menudo tendrá la tarea de supervisar los aspectos de cumplimiento de la cultura corporativa y de promover la importancia de la gestión de riesgos.

Para ayudar a establecer el tono adecuado en la empresa, el comité de auditoría debe fomentar el cumplimiento del código de conducta y promover una cultura de integridad, así como supervisar el sistema interno de información. Debe tener como objetivo promover un entorno en el que las personas se sientan capaces de admitir errores y en el que la mentalidad colectiva esté orientada hacia el aprendizaje, en lugar de al reproche.

El fraude y la corrupción plantean importantes riesgos financieros y de reputación para las empresas y pueden amenazar su viabilidad. Según el Informe a las Naciones 2022 de la Asociación de Examinadores de Fraude Certificados, las organizaciones pierden el 5% de sus ingresos por fraude cada año[1]. Por lo tanto, el comité de auditoría requiere una buena comprensión de los incentivos y presiones que pueden llevar a la Dirección o a los empleados a cometer fraude o involucrarse en sobornos y corrupción. También debe ser consciente de los riesgos asociados al uso indebido de los datos.

Los comités de auditoría también pueden establecer el tono adecuado a través de sus propias interacciones con los stakeholders  internos y externos. Por lo general, se relacionan con altos ejecutivos, como el CFO y el responsable de riesgos, así como con la representación de los trabajadores. Desde una perspectiva externa, el presidente del comité de auditoría es responsable de abordar las preocupaciones de los accionistas de manera efectiva y transparente. También puede haber casos en los que el presidente interactúe con los supervisores, por ejemplo, cuando hay una inspección del informe anual de la empresa.

Supervisión de la presentación de la información corporativa

La supervisión de los estados financieros auditados es un aspecto central de las competencias de todo comité de auditoría. Al supervisar el proceso de presentación de la información financiera, las responsabilidades del comité de auditoría incluyen:

• Evaluar la idoneidad general de las políticas contables. Esto es especialmente importante cuando la Dirección ha aplicado su juicio y se ha desviado de los PCGA y de las normas de la industria. Debe analizarse minuciosamente cualquier cambio voluntario en las políticas contables, especialmente las que son más importantes para los estados financieros o se relacionan con juicios y estimaciones.
  
  
• Comprender cómo la Dirección calculó las estimaciones de materialidad. El comité de auditoría debe cuestionar los juicios emitidos por la Dirección para llegar a la valoración propuesta. También debe garantizar que han sido utilizados puntos de dato externos, objetivos y creíbles, en caso de haber estado disponibles, y que se ha recabado el criterio de especialistas en la materia, si así hubiera procedido.
  
  
• Analizar detalladamente los asuntos con impactos materiales, incluidos eventos “one-off”, tales como una adquisición o enajenación, una transacción inusual con una estructura compleja o un acuerdo fuera de balance.
  
  
• Velar por la toma en consideración de los principales riesgos. El comité de auditoría debe verificar que la Dirección haya reflexionado adecuadamente sobre el grado en el que los principales riesgos, incluidos los riesgos relacionados con el clima, afectan a los estados financieros.
  
  
• Supervisar la selección de medidas alternativas de rendimiento (APM). Las empresas suelen utilizar las APM, como el EBITDA, el beneficio operativo y el beneficio por acción, en sus informes. Sin embargo, si las APM se definen de manera inadecuada, se presentan de manera incoherente o se las da preferencia sobre medidas basadas en principios de contabilidad, pueden proporcionar una imagen distorsionada de la empresa. El comité de auditoría debe supervisar cómo se seleccionan, calculan y utilizan las APM. También debe cuestionar si su uso ayuda a mejorar la transparencia y contribuye a presentar una imagen fiel del rendimiento de la empresa.
  
  
• Revisar las operaciones con partes vinculadas (RPTs). Las RPT conllevan un mayor riesgo de fraude. Por lo tanto, el comité de auditoría debe asegurarse que todas las RPT han sido identificadas y transparentadas. Si la Dirección afirma que las transacciones se llevaron a cabo en condiciones de mercado, el comité debe confirmarlo.
  
  
• Analizar la narrativa del informe financiero anual, que a menudo incluirá una revisión del desempeño financiero de la empresa y una variedad de métricas, tanto medidas PCGA como APM. El comité de auditoría debe analizar estas secciones del informe y asesorar al consejo sobre si el tono y las afirmaciones son consistentes con su propia comprensión de los estados financieros. Además, el comité de auditoría debe examinar todo el informe anual para asegurar que no haya inconsistencias con las asunciones incluidas en los estados financieros.
  
  
• Examinar la evaluación de going concern (empresa en funcionamiento). Los estados financieros normalmente se preparan sobre la premisa de que la empresa seguirá operando en el futuro previsible. Dado que pueden acaecer circunstancias que pongan en duda esta premisa, la Dirección prepara una evaluación que considera la capacidad de la empresa para continuar operando en el futuro de forma regular. El comité de auditoría debe revisar esta evaluación, considerando diferentes factores, incluida la razonabilidad de las asunciones relacionadas con previsiones mensuales y fuentes de ingresos.
  
  
• Cada vez más, los comités de auditoría también supervisan los informes en materia medioambiental y social (E&S) de sus empresas, incluso en la UE, donde están legalmente obligados a supervisar los informes de sostenibilidad en virtud de la Directiva sobre presentación de información en materia de sostenibilidad por parte de las empresas. Cuando los comités de auditoría son responsables de supervisar la información en materia medioambiental y social, por lo general, evalúan si los procesos de recogida de datos que sustentan la información son robustos y garantizan que la información sea fiable y de calidad. Además, valorarán el origen de los datos, la razonabilidad de las asunciones subyacentes y si se han cumplido todas las exigencias normativas relacionadas con la información. También supervisarán la coherencia entre los informes en materia ambiental y social y los estados financieros, así como la auditoría externa, cuando corresponda.

Supervisión de la gestión de riesgos y controles internos

El entorno empresarial dinámico y rápidamente cambiante de hoy en día (via ey.com Reino Unido) exige que los consejos de administración supervisen un amplio espectro de riesgos que podrían afectar a su organización. Los riesgos incluyen tanto los relacionados con cuestiones económicas, financieras y geopolíticas, como los asociados con la tecnología y los riesgos ambientales y sociales inherentes a las cadenas de suministro.

Tradicionalmente, los comités de auditoría han tendido a ocuparse de la supervisión de los riesgos relacionados con la información financiera y los controles internos conexos. Sin embargo, de forma creciente están supervisando una gama mucho más amplia de riesgos. Tanto es así que muchas veces se hace referencia a los comités de auditoría como "comités de riesgo y auditoría". 

El cambiante entorno empresarial actual requiere que los comités de auditoría supervisen una gama mucho más amplia de riesgos que podrían afectar a su organización.

Como resultado, los comités de auditoría están dedicando más tiempo a comprender los principales riesgos a los que está expuesta su organización, cómo los diversos riesgos están interconectados y cómo se realiza el seguimiento de estas conexiones. También se aseguran de que su empresa cuente con procesos para identificar los "riesgos emergentes". Los riesgos emergentes son riesgos nuevos o futuros, con un impacto potencial que no es posible estimar aún de manera confiable, pero que podría ser relevante.

Además de asegurarse de que la compañía está identificando y evaluando los riesgos, un comité de auditoría eficaz supervisa las medidas de respuesta al riesgo implementadas por la Dirección. Analizarán con actitud de escepticismo si estas respuestas al riesgo están en línea con el apetito de riesgo de la empresa establecido por el consejo. Cuando el diseño de las medidas de respuesta al riesgo sea adecuado, el comité de auditoría buscará evidencia de que las mismas están funcionando según lo previsto.

Los controles internos son cruciales para la gestión de riesgos, por lo que la supervisión de dichos controles es una de las responsabilidades más importantes del comité de auditoría. Al ejercer esta responsabilidad, el comité tiene en cuenta la evaluación realizada por la Dirección sobre la eficacia del diseño de los controles. También solicitará informes para evaluar si esos controles se han implementado y están funcionando según lo previsto. Para proporcionar una supervisión eficaz de los controles internos, el comité de auditoría necesita información periódica y sólida del equipo financiero y de la función de auditoría interna, así como la opinión del auditor externo de la empresa.

A menudo, la función de auditoría interna actúa como si fuera los ojos y oídos del comité de auditoría en la organización. Por esta razón, el comité de auditoría suele ser responsable de supervisar la función de auditoría interna y evaluar periódicamente su desempeño. Además, el presidente del comité de auditoría normalmente interviene en el nombramiento, evaluación y sustitución del director de auditoría interna. No es infrecuente que el director de auditoría interna tenga una doble línea de reporte: de un lado al comité de auditoría y, de otro, al CFO o CEO.

El papel del comité de auditoría en relación con la auditoría externa

Es el comité de auditoría, no el director financiero, el interlocutor en la relación de la empresa con el auditor externo, siendo responsable de su nombramiento, retribución y supervisión. Se trata de un deber sustancial, dado que el propósito de la auditoría externa es proporcionar una garantía independiente, basada en estándares profesionales, de que los estados financieros de una empresa están libres de inexactitudes materiales, proporcionan una representación fiel de su rendimiento y posición financiera y, por lo tanto, son una buena fuente de información sobre la que los stakeholders pueden adoptar decisiones.

El proceso de nombramiento de un auditor requiere una considerable reflexión y preparación. Cuando el comité de auditoría licita la auditoría de su empresa, tendrá en cuenta varios factores, entre ellos:

• Tiempos
  
  Los plazos para la licitación y rotación de auditores varían según la jurisdicción. Sin embargo, las empresas pueden optar por licitar o cambiar de firma de auditoría antes de que por ley estén obligadas a hacerlo, por ejemplo, con carácter previo a la jubilación anticipada del director financiero. Además, en algunos sectores y países, puede haber un número limitado de auditores con la experiencia y las habilidades necesarias para realizar la auditoría de una empresa en particular. Como resultado, los comités de auditoría a veces tendrán en cuenta cuándo va a rotar el auditor de otra empresa a la hora de planificar la sucesión de su auditor.
  
  
• Independencia
  
  Ciertos servicios están sujetos a un período de ”cooling-off”. Normalmente, esto significa que un nuevo auditor externo no puede haber prestado estos servicios en los 12 meses anteriores al inicio del primer ejercicio para el que ha sido nombrado auditor externo.
  
  
• Criterios de selección
  
  El comité de auditoría elaborará una lista de criterios de selección, que pueden incluir la capacidad técnica, la presencia geográfica, el uso de herramientas tecnológicas avanzadas en la auditoría, las competencias del personal clave y la relación calidad-precio.

Después de llevar a cabo el proceso de licitación, que generalmente implicará reuniones, visitas a las instalaciones y fábricas, el comité de auditoría generalmente reducirá el número inicial de las firmas de auditoría licitadoras a una lista corta de dos, a las que solicitará una presentación, sobre la base de la cual el comité de auditoría hará una recomendación al consejo. 

El comité de auditoría debe asegurarse de que el auditor pueda acceder a la información que necesita para realizar la auditoría de conformidad con los más altos estándares.

Una vez nombrado, es vital que el comité de auditoría establezca un canal de comunicación efectivo, directo y bidireccional entre la Dirección, el auditor externo y el comité de auditoría. El comité también debe asegurarse de que el auditor pueda acceder a toda la información que necesita para ejecutar la auditoría de conformidad con los más altos estándares. Además, el comité debe examinar el plan de auditoría para realizar el alcance del trabajo y los procesos de revisión planificados. 

El comité de auditoría es responsable de revisar los hallazgos del auditor y cuestionar los datos y procesos de la Dirección a la luz de las incidencias detectadas durante el proceso de auditoría. También debe considerar cómo supervisará el plan de la Dirección para abordar las conclusiones de la "carta de recomendaciones" del auditor, un resumen de las observaciones que surjan de la auditoría. 

A lo largo del proceso de auditoría, el comité es responsable de supervisar la eficacia del auditor y la calidad de la auditoría. Una forma de hacerlo es mediante el uso de indicadores de calidad de auditoría (ICA) reconocidos. Algunos ICA se refieren al desempeño general  de la firma (en ciertos casos, a nivel consolidado), mientras que otros se relacionarán con el encargo específico. Algunos ejemplos de ICA son los informes de inspección, experiencia técnica, carga de trabajo y capacidad de respuesta de los socios, y el calendario de ejecución de la auditoría, incluido el progreso en relación con los hitos marcados. El comité también debe asegurar que el auditor cumpla con todos los requisitos de independencia pertinentes y que la política de la empresa sobre contratación de servicios distintos de los de auditoría refleja tales requisitos. 

El comité de auditoría como un equipo de alto rendimiento

Una buena dinámica colectiva es la base del desempeño de comités de auditoría eficaces, así como del resto de equipos de alto rendimiento. Si bien la colegialidad es importante, un comité de auditoría eficaz no debe ser homogéneo. De hecho, todo lo contrario. 

En un comité de auditoría eficaz se escuchan las opiniones distintas, se debaten las posturas contrapuestas y se fomenta la discusión abierta. Se cultiva la diversidad de opiniones y se hace hincapié en el diálogo constructivo. 

Por lo general, los comités de auditoría constan de tres a cinco miembros, que son nombrados entre los miembros del consejo. En algunas jurisdicciones, la normativa puede prever que otros stakeholders de la empresa, como los empleados, estén representados en los comités de auditoría. Sin embargo, el comité, en su conjunto, debe tener la experiencia financiera y el conocimiento del sector de actividad de la empresa necesarios para cumplir eficazmente con sus funciones principales. También debe estar comprometido con la formación y actualización continua de sus conocimientos para que pueda mantener un alto rendimiento en una era de rápidos cambios. 

El comité de auditoría necesita un plan de trabajo anual sólido para garantizar que cumple con todos los requisitos normativos y de cumplimiento que son exigibles, dedicando en las reuniones tiempo suficiente para debatir y analizar los asuntos materiales . Los comités de auditoría deben utilizar sus reuniones para debatir asuntos clave, habiendo leído previamente la documentación de soporte pertinente. Las reuniones deben ser lo suficientemente largas como para permitir que el comité de auditoría pueda abordar los puntos cruciales de un asunto en particular, pero no deben ser tan largas como para que los niveles de energía disminuyan. 

Un comité de auditoría de alto rendimiento aprovechará las opiniones de terceros. Sin embargo, debe tener cuidado al permitir que otros miembros del consejo, que no sean miembros del comité, participen en sus reuniones. En particular, la presencia del consejo en pleno podría inhibir la capacidad del comité para funcionar eficazmente, especialmente si el presidente del consejo asume inadvertidamente un papel de liderazgo en la reunión y, por lo tanto, perjudica indebidamente la independencia del comité de auditoría. 

La autoevaluación es la base de la eficacia del comité de auditoría. A fin de garantizar que puedan seguir cumpliendo sus importantes responsabilidades, los comités deberían realizar evaluaciones periódicas de su funcionamiento, las cuales pueden llevarse a cabo de forma interna o externa. A partir de los resultados de la evaluación, el presidente podrá desarrollar un plan para abordar los hallazgos detectados.