1

CONTROL INTERNO EL PILAR DEL GOBIERNO CORPORATIVO: CASO PORTUGAL / ESPAÑA

Georgina C. Tamborino Morais Profesora Adjunta, de auditoría y control interno

Departamento de Contabilidad y Auditoria do ISCAC – Instituto Superior de Contabilidade e Administração de Coimbra- IPC- Coimbra- Portugal

Quinta Agrícola- Bencanta 3040-316 Coimbra Portugal

Área Temática: H) Responsabilidad Social Corporativa Palabras clave: control interno, gobierno corporativo, gestión de riesgo, informes del gobierno corporativo

108h

2

CONTROL INTERNO EL PILAR DEL GOBIERNO CORPORATIVO:

CASO PORTUGAL / ESPAÑA

Resumen

Control interno es un tema que está provocando cambios normativos a todos los niveles, sea en el entorno de las organizaciones o en la auditoría. Los escenarios dinámicos de las organizaciones no solo se encuentran presionados por los objetivos propios del negocio, sino por la incertidumbre existente en la economía. Por otro lado las personas que toman decisiones no disponen de la información exacta sobre la consecuencia de sus acciones, pero tiene responsabilidad de esas decisiones que se producen, de forma mayoritaria, en el entorno de incertidumbre lo que hace aumentar la complejidad de los problemas. Desde que existe actividad económica, se han establecido controles para asegurar la consecución de los objetivos organizacionales, la búsqueda de la eficiencia, productividad y competitividad. Los procesos de globalización no han hecho sino incrementar la importancia de la evaluación del sistema de control interno, como una cuentón de responsabilidad social. La cuestión que se plantea es que para obtener un gobierno corporativo apropiado es necesario un buen sistema de control interno desarrollado en una buena gestión del riesgo. El objetivo del trabajo es hacer un análisis y estudiar el caso de Portugal y España con base en análisis de contenido de los informes del gobierno corporativo de las empresas del PSI 20 y IBEX 35. Palabras clave: control interno, gobierno corporativo, gestión de riesgo, informes del gobierno corporativo

Abstract

THE RESPONSIBILITY OF INTERNAL CONTROL IN CORPORATE GOVERNANCE: CASE STUDY PORTUGAL AND SPAIN

The Internal control is an issue which is causing regulatory changes at all levels, whether in the context of the organizations or in audit. The dynamic scenarios of organizations aren’t only pressured by the objectives of the business, but also by the uncertainty in the economy. On the other hand, the decision makers don’t have the exact information about the consequences of their actions; however they have responsibility for all such actions that are produced, mostly in environment of uncertainty, which increases the complexity of the problems. Since the beginning of economic activities that were established controls to ensure the attainment of organizational goals, in pursuit of efficiency, productivity and competitiveness. The globalization processes have triggered an increase in the importance of the evaluation of internal control, as a matter of social responsibility. The question that arises is that to get proper corporate governance it is needed a proper internal control system, which in turn, has to contain a good risk management. The purpose of this study is to analyze and study the case of Portugal and Spain on the basis of content of the reports of corporate governance of companies in the PSI 20 and IBEX 35. Key words: internal control, corporate governance, risk management, reports of corporate governance

3

INTRODUCCIÓN

Los escenarios dinámicos de las organizaciones no solo se encuentran presionados por los objetivos propios del negocio, sino por la incertidumbre existente en la economía. Por otro lado las personas que toman decisiones no disponen de la información exacta sobre la consecuencia de sus acciones, pero tiene responsabilidad de esas decisiones que se producen, de forma mayoritaria, en el entorno de incertidumbre lo que hace aumentar la complejidad de los problemas. Desde que existe actividad económica, se han establecido controles para asegurar la consecución de los objetivos organizacionales, la búsqueda de la eficiencia, productividad y competitividad. Los procesos de globalización no han hecho sino incrementar la importancia del sistema de control interno y de su evaluación, lo que esta provocando cambios normativos sea para las organizaciones sea para los auditores. Si es importante una buena implementación del sistema, no menos importante es mantenerlo, para lo que es imprescindible hacer una evaluación continuada por quien posea los conocimientos y habilidades adecuadas.

La cuestión que se plantea es de que para se obtener un gobierno corporativo apropiado es necesario un bueno sistema de control interno que, a su vez, ha de realizar una buena gestión del riesgo. En el trabajo se pretende hacer una revisión de la literatura en el entorno del control interno en el gobierno corporativo, una análisis comparativa de los normativos en el caso de Portugal e España y se estudia a través de la análisis de contenido los informes del gobierno corporativo par confirmar la responsabilidad basada en el cumplimiento de las recomendaciones relacionadas con el control interno y las comisiones que lo supervisión, en las empresas del PSI 20 y IBEX 35. 1. – El control interno en el gobierno corporativo

El control interno es una cuestión de responsabilidad social, el gobierno corporativo es la forma como las organizaciones responde a esa responsabilidad y el control interno es un pilar de un bueno gobierno corporativo.

1.1. – Encuadramiento y importancia del control interno en las organizaciones

Chambers, y Ridley, (1998), consideran que “todos los días la responsabilidad del control interno está nombrada en la gestión”; entonces al digamos “control interno” queremos significar “control de gestión”. El control de gestión se diferencia del control externo, pues, este último, incide sobre el negocio y dirección, cuando ejercido por grupos de intereses – accionistas, acreedores, etc.

Jensen y Payne, (2003) los administradores de las organizaciones establecen sistemas de control para reducir los costes de agencia inherentes estas organizaciones. Los sistemas de control incluyen mecanismos de control interno y externo algunos de los cuales pueden ser vistos como sustitutos entre sí. IIA define que, “el control es cualquier acción emprendida por la gestión, por el Consejo y otras entidades para dirigir el riesgo y mejorar la posibilidad del alcance de los objetivos y metas de la organización.(IIA, 2006), entonces Harris y Raviv (2005) argumentan que las informaciones de los gestores pueden ser mejor exploradas cuando eles están envueltos en el control. El concepto más actual y universalmente acepte hay sido emanado pelo COSO- The ommittee of Sponsoring Organizations of the Treadway Commission, en 1992, organismo que hay obtenido el consenso de los varios organismos profesionales, nombradamente los

4

ligados a la área de gestión y de auditoría. Este transmite el mensaje de que el control interno es un proceso continuo, flexible y simples, liderado por toda la organización, a fin de, minimizando los riesgos y alcanzar los objetivos establecidos. (COSO, 1992) Pickett, (2005), defiende que tras del concepto de los controles surgen cuestiones que pasan por, nombradamente: todos los controles tienen un coste correspondiente y los beneficios deberán compensar el desembolso requerido, un control excesivo es tan malo como un control insuficiente, si no se revisan y actualizan con regularidad los sistemas de control tienden al desmoronamiento, la cultura de la empresa afecta las caracterís ticas pues se puede tener una naturaleza burocrática o flexible. Cappelletti, (2006), en su estudio mostró que la aplicación de la normalización del control interno e de la reglamentación es más facilitada cuando el control interno está organizado como una función. El cambio de una gestión proactiva y permanente del control interno es facilitada por una institucionalización da función del control interno. (Cappelletti, 2006). Así el control interno existe porque las organizaciones existen y tiene objetivos, luego control interno no tienen significado sin los objetivos relacionados. 1.2. – Evolución histórica del control interno y concepto La preocupación con el control interno no es una realidad tan reciente como muchos podrán ser llevados a pensar. Organismos profesionales como AICPA, IFAC, IIA, han lanzado sus normas en que contemplaban el control interno, pero que al longo de los tiempos fueran siendo actualizadas. Varios conceptos de control interno fueron desarrollados al luengo del tiempo por distintos organismos, incluso por los que constituyen el comité COSO, y se han materializado en proyectos de ley, reglamentos, normas profesionales y directrices las informaciones públicas y privadas. Con el fin de integrar estos diversos conceptos, se ha desarrollado un estudio empírico para llegar a una interpretación común por parte de estos organismos implicados y así ayudar la las organizaciones la ejercer un control más eficaz sobre sus actividades. En 1992, ese organismo publicó el informe Internal Control Integrated Framework.. Ha sido considerado el más moderno, completo e exhaustivo informe de control interno, universalmente aceptado por todos los organismos profesionales, incluso los de auditoría.

“El control interno es un proceso llevado a cabo por el Consejo de Administración, Dirección y otros miembros de una entidad, diseñado con el objetivo de proporcionar un grado de confianza razonable en el alcanzar de los objetivos, relativamente a :

Eficacia y eficiencia de los recursos; Fiabilidad de la información financiera; Cumplimiento de las leyes y normas aplicables. “(COSO, 1992)

Los años 90 han constituido así, un marco conceptual del control interno. Hasta los años 90 la preocupación se centraba en los controles contables y administrativos, en la limitación del riesgo de ocurrencia de errores y fraudes, en lo cumplimiento de las leyes e regalamientos debido, esencialmente al problema de los informes financieros fraudulentas y prácticas de soborno. Después de los años 90 y con la publicación del informe COSO, el control interno se centra en todas las actividades organizacionales, relacionadas con la consecución de los diversos objetivos económicos y con las actividades inherentes al cumplimiento de los mismos. El control interno hay sido en seguida objeto de estudio en otros países, principalmente en Canadá, Reino Unido y Australia, donde resultaron informes mundialmente reconocidos, cuya concepción siguió la filosofía del primer informe de E.U.A.. Sin embargo, muchos otros fueron surgiendo y otros revistos por todos los continentes. En la tabla 1 se presentan un resumen de los informes más reconocidos que contemplan el tema de control interno.

5

Tabla 1 – Informes más reconocidos que incluyen materia del control interno, después de los años 90 AÑO ORGANISMO PAÍS DESCRITIVO

COSO Estados Unidos da América

Concepto de control interno publicado en el informe COSO, con el consenso de varios organismos que constituyen el Comité. COSO publicó “Internal Control-Integrated Framework” aunque actual y recomendado por otros organismos, nombradamente los ligados al mercado bolsista (SEC, con SOX en 2002). 1992

ICAEW - Cadbury Committee Reino

Unido (UK)

Informe sobre control interno y informe financeiro: Control interno es todo un sistema de controles, financieros y otros, establecidos de modo a providenciaren una seguridad razonable de: operaciones efectivas e eficientes; control interno financiero; concordancia con leyes y regalamientos.

1994 I.I.A. Estados

Unidos da América

El control interno es una parte del proceso de gestión. Ele existe para providenciar una seguridad razonable para que los siguientes objetivos sean logrados: la protección de los recursos; el uso económico y eficiente de los recursos; la integridad y la confianza de la información; la concordancia con políticas, planos, procedimientos, leyes e reglamentos; la realización de las operaciones y programas previamente establecidos;

CICA - CoCo

Canadá

Guidance on Control - control abarca varios elementos de una entidad, nombradamente sus recursos, sistemas, procesos, cultura, estructuras y tareas que, cuando en harmonía, ayudan las personas a alcanzar los objetivos de la entidad. Eses objetivos inciden en una o más de las siguientes categorías: efectividad y eficiencia de las operaciones; confianza de los informes externos e internos; conformidad con las leyes y reglamentos aplicables y con las políticas externas.

1995

Vienot I

França

También por la Europa proliferó la preocupación con el control interno y, en Francia un grupo de trabajo, representando diversos intereses, publicó el informe Vienot, con varias recomendaciones, entre las cuales se destaca los derechos, obligaciones y responsabilidades de supervisión y control, basadas en las reflexiones de Comisión Treadway.

1996 COBIT ISACF- Institute and the Information Systems Audit and Control Foundation

Estados Unidos da América

COBIT- Control Objectives for Information and Related Technology - Adaptó la definición de control interno del COSO: “Las políticas, procedimientos, prácticas y estructuras organizacionales, son creadas para proporcionar seguridad razonable de que los objetivos del negocio serán alcanzados y que se irá prevenir, detectar o corregir eventos indeseables.”.

1999 ICAEW Turnbull

Reino Unido (UK)

Internal Control: Guidance for Directors on the Combined Code - Considera el control interno como un proceso establecido, operacional y supervisado, por el governance y gestión de la entidad. Este hay visto el control interno como un sistema de políticas, procesos, tareas, comportamientos y otros aspectos de la entidad. Considera importante todos los tipos de control, sean operacionales de cumplimiento o financieros. Entiende que un abordaje basada en el riesgo es importante para establecer un sistema de control interno.

2002 SEC SOX – The Sarbanes-Oxley Act

Estados Unidos da América

Aplicable a todas las empresas con títulos cotizados en bolsa (mismo las no americanas) de valores de Estados Unidos de América - efecto extraterritorialidad. Los requisitos del SOX potencia el Corporate Governance; y contempla la SEC. 302 y 404 que focaliza la responsabilidad control interno, evaluación y divulgación.

2003 Código Combinado Reino Unido UK

Se basa en el principio del “comply or explain”- esencialmente ensancha y define las competencias, estructura de los Comités de auditoría, reforzando su papel en la supervisión del control interno

PCAOB-SOX (SEC) Estados

Unidos da América

En Juno de 2004 la SEC aprobó la norma nº 2 do PCAOB (Public Company Accounting Oversihgt Board) – requisitos a aplicar por el auditor, comprometiendo la auditoría y el informe de gestión en lo que respeta al efectivo control interno de la entidad y su concepto 2004

COSO Estados

Unidos da América

Publicó – informe Entreprise Risk Management (ERM)- Integrated framework en lo cual el control interno constituye una parte integral de la gestión de riesgos corporativos.

COBIT Versão 4.1 ISACF

Estados Unidos da América

Se alarga el ámbito y pasa a englobar 4 dominios, los cuales incluyen: 36 procesos de alto nivel y 215 objetivos de control en ambientes IT, revé concepto de control interno, pasando a considerarlo en una perspectiva integrada de la organización.

Recomendação da Comissão Europeia EU

La recomendación de 15 de Febrero de 2005, refuerza la supervisión del control interno a través de la recomendación de creación de Comités de auditoría con el papel, entre otros de supervisión del control interno y responsabilizando la auditoría interna por la divulgación al Comité de auditoría de las debilidades del control interno. 2005

ICAEW Turnbull (revisão) Reino

Unido UK

Publicada la versión final en Octubre de 2005. Esta revisión sustancial desde su introducción y considerada necesaria su actualización, contribuyó para una mejor comprensión y gestión de riesgo y mejorías en el control interno, se enfocando en su interconexión y en los riesgos más significativos. Pasó a tener que ser divulgadas las acciones que fueron o están a ser tomadas para corregir cualquier debilidad o fallo significativo identificado a partir de su revisión de la eficacia del sistema de control

6

interno e incluir en el informe anual tal información. Fuente: Elaboración propia

COSO hay estudiado el control interno y la gestión del riesgo por más de veinte años, y en esta pesquisa se hay llegado a dos firmes conclusiones: un bueno control interno es parte integrante de las organizaciones bien sucedidas; y todas las organizaciones pueden lograr un control interno efectivo. (Rittenberg, 2006)

1.3. – La responsabilidad del control interno en e l gobierno corporativo

Sarens e Beelde, (2006) hay citado por PWC, 2005, que en su estudio del “8 annual global CEO survey”, hay revelado que Gobierno, gestión del riesgo y cumplimiento son conductores de valor y una fuente de ventajean competitiva, sin embargo no son fácilmente alcanzables.

1.3.1.- El control interno en el gobierno corporativo

Las necesidades del capitalismo moderno han conducido a una separación entre la propiedad y el control de los activos de las empresas. (Berle y Means, 1932) Korac et al (2001), la teoría de la agencia se fundamenta en un confito de intereses entre la propiedad y la dirección y el gobierno corporativo pretende preservar los intereses de los accionistas, seleccionar a alta dirección y su rendimiento, revisar sus análisis y separar la gestión y control. Gobierno corporativo es la forma como el Consejo de Administración organiza, dirige y supervisa la entidad a fin de garantizar que los principios de integridad, trasparencia y responsabilidad son asegurados en los negocios, su estructura permite identificar derechos de los accionistas (propiedad) en oposición con los deberes de los Directivos (como si controlan los activos). Este, se hay puesto en marcha en Estados Unidos en los años 80, a partir de la Comisión Treadway1 creada con la finalidad de evitar los Estados Contables Fraudulentas que publicó las primeras recomendaciones en 1987, de las cuales se destacan “La necesidad de contar con una función de auditoría independiente tanto interna como externa” y “La responsabilidad del órgano gestión para asegurar una información fiable y uno buen sistema de control interno.”(COSO, 1987) “El gobierno corporativo es un sistema a través del cual las organizaciones son dirigidas y controladas. La estructura de gobierno corporativo especifica la distribución de derechos y responsabilidades entre las diferentes clases corporativas: el Consejo de Administración, los administradores, los Accionistas y otros stakeholders, delimita los procedimientos para la tomada de decisión sobre los aspectos corporativos. Proporciona una estructura para establecer los objetivos empresariales, los medios para obtenerlos y seguir su consecución.” (OCDE, Abril 1999). Según la OCDE, (2004) los principios del gobierno corporativo son en el sentido de:

• Promover mercados transparentes y eficientes; • Proteger y facilitar el ejercicio del derecho de los accionistas y asegurar el derecho equitativo de los mismos; • Cautelar los derechos legales y contractuales de los stakeholders y encorajar su cooperación con la sociedad; • Asegurar la divulgación atempa da y objetiva de todas las informaciones relevantes para la sociedad; • Asegurar la gestión estratégica de la empresa, el acompañamiento y fiscalización eficaz de la gestión.

OCDE, (2004), resalta que no existe un modelo único de gobierno una vez que los modelos tienen que adaptarse a la cultura, tradiciones y encuadramiento legal institucional de cada

1 National Commission on Fraudulent Financial Reporting

7

país y de cada empresa; bien como las prácticas de gobierno irán, inevitablemente, desarrollando en función de las constantes y múltiplos cambios registradas en la envolvente. IIA, (2007) define governance como “Combinación de procesos y estructuras implementados por el Consejo, con el objetivo de informar, dirigir, dirigir y supervisar las actividades de la organización para el alcance de los suyos objetivos.” Alguna literatura refiere que un control interno fuerte y mejorado es frecuentemente sugerido como una solución eficaz para los problemas del gobierno corporativo (Maijoor 2000:108) Muchos informes de organismos internacionales (OECD de 2004, Winters, Higgs, Aldama entre otros) revelan que el control interno es un pilar del gobierno corporativo, el control interno, siendo misma una cuestión de responsabilidad social. En la Europa, muchos Códigos de Bueno Gobierno han sido publicados a partir del informe pionero del Británico Informe Cadbury (1992), existiendo una diferencia entre Sistema anglo-saxónico y el sistema Continental. A título de ejemplo se refiera que solo en cinco estados miembros da Europa entre 1991-2005 fueran publicados 80 códigos de buen gobierno (Silva, et al, 2006). Lo que muestra la complexidad en este tema. Sin embargo, solo a partir de parte de los años noventa es que se producirán los códigos más importantes. En França Vienot I (1995), Vienot II(1999) y Bouton (2002) entretanto agregados num único Código em 2003. Alemanha Cromme (2002), actualizado en 2003. En la Bélgica Cardon (1998) y Lippens (2004). Itália Preda (1999), actualizado en 2002. Holanda Peters (1997) y el Tabaksblat ( 2003). España Olivencia (1998), Aldama (2003) y Código Combinado (2005). El Turnbull del Reino Unido en 1999 y la 2ª revisión en 2005 han sido los informes de referencia para la Europa. En 2004 IFAC, en co-operación con el Chartered Institute of Management Accountants (CIMA), hay publicado un informe designado Enterprise Governance—Getting the Balance Right, que hay focalizado las causas de fallas del gobierno corporativo en ciertas organizaciones y divulga los requisitos para evitar esas fallas y “hacerlo bien” El informe presenta dos dimensiones de gobierno de las sociedades: la conformidad y el performance. Conformidad abarca cuestiones tales como la junta estructuras y funciones, remuneración ejecutiva, gestión del riesgo y control, y el cumplimiento con la normativa. La dimensión de conformidad se centra en cuentas y garantía de performance, mientras que la dimensión de performance se centra en la estrategia y la creación de valor. (IFAC - PAIBC2, 2006) Argumenta que la esencia del gobierno de las sociedades es un bueno gobierno corporativo, pero por sí solo no puede hacer una empresa con suceso, pues las empresas deben equilibrar conformidad con performance. (Fahy et al, 2005), van más adelante y argumentan que el concepto emerge para una tercera dimensión para que pueda crear valor sostenible. La tercera dimensión es la responsabilidad que abarca áreas de gestión medioambiental, social e cultural, protección de los intangibles y reputación. La versión draft del informe del IFAC, 2008, sobre “la evaluación y mejoría del gobierno en las organizaciones- Guía de buenas prácticas” es compuesta en dos dimensiones conformidad y performance, perseguido el argumento de 2006. Pickette, (2005) refiere que una buena gobernabilidad depende de una gestión que sea capaz de comprender los riesgos a los que se enfrenta y de mantener la empresa bajo control. Así, control interno es el concepto más importante y fundamental que un auditor debe comprender (Moeller y Witt, 1999) Además de otros organismos (COSO, IIA), también el IFAC enfatiza que un bueno gobierno, gestión de riesgo y control interno son importantes para todas las entidades sean pequeñas medianas o grandes. (IFAC, 2006) y un bueno gobierno requiere un sistema eficaz de control interno. Sin embargo, varios autores critican y entre elles Zaman, (2001), el gobierno

2 PAIBC- Professional Accountants in Business Committee del IFAC

8

corporativo de multinacionales, cotizadas el de interesé público, en el enfrentan los mismos problemas de control interno y transparencia en información que la pequeña y mediana empresa y propone medidas diferentes. IFAC argumenta que es importante el debate internacional3 sobre lo que comprende la gestión de riesgos y control interno y cómo se pueden mejorar, mejor facilitado si aplicable a todas las organizaciones, grandes y pequeñas.(IFAC,2006)4 Berbia, (2008), argumenta que aquellas organizaciones que han optado por una mayor transparencia, credibilidad y énfasis en el gobierno corporativo se han beneficiado sustancialmente: con una mayor responsabilidad del órgano de gestión y de los comités de auditoría al liderar la implementación del sistema de control interno, así como mayor comprensión sobre la importancia del sistema de control interno como parte integral del control de procesos, la identificación de los riesgos y el monitoreo de las actividades, entre otros. Sarens y Beelde, (2006) como Krogstad et al, (1999) y Spiran y Page, (2003) asumen la visión de que un sistema de control interno de una empresa tiene un papel clave en la gestión de riesgos que son significantes para la concretización de los objetivos del negocio y promoción de los procesos de gobierno eficaces. (Gillan y Martin, 2007) afirman que los controles internos más fuertes, junto con una reducción potencial de conflictos de interés por parte del auditor externo podría haber limitado la capacidad de gestión para la empresa de ocultar la verdadera situación financiera y es probable que limitan aspectos de la conducta fraudulenta de seguir por adelante. Diz e Serantes, (2005), concluyen que un comportamiento moral en la organización se fortalece con el establecimiento de un sistema de control adecuado. IFAC publicó la versión draft del proyecto Evaluating and Improving Governance in Organizations -International Good Practice Guidance, 2008, con enfoque en una estructura de buenas prácticas con 12 principios fundamentales. El nono principio es (I)”la eficacia y eficiencia de gestión de riesgo corporativo formando una parte integral del sistema del gobierno de las organizaciones. Su contenido refiere que uno dos requisitos centrales del gobierno de las organizaciones es claramente la relación que existe entre la gestión de riesgo y el cumplimiento de los objetivos de la organización. La gestión del riesgo corporativo está integrada con la gestión del riesgo y control interno en el proceso de tomada de decisión e en todas las actividades subsecuentes al todos los niveles considerando los puntos fuertes y las oportunidades, bien así como los puntos débiles y las amenazas, a través de una estructura de identificación, evaluación y minimización del riesgo.

1.3.2.- Sarbanes Oxley Act (SOX) como un nuevo marco para el control interno y gobierno corporativo

Fruto de los varios escándalos iniciados en Estados Unidos y ocurridos un poco por todo el mundo (EE UU y Europa), se generó una crisis de confianza en los mercados, debilitando la credibilidad y reputación de los administradores con implicaciones también para los auditores. De una forma genérica se puede considerar que los fallos de control interno fueron la principal causa, por ejemplo entre las numerosas críticas apuntadas a la Enron el gran problema se debió a los fallos en su sistema de control interno (Verschoor, 2002). Surge entonces la Ley de Sarbanes-Oxley Act5 (SOX) el 30 de Julio de 2002 con el objetivo de proteger los inversionistas, evitar problemas con el reporting financiero y garantizar a los 3 Estudio, del IFAC de 2007, sobre internal control from a Risk-based perspective y con varios interventores profesionales de todo o mundo 4 IFAC constituyó en 2006, un Comité solo para la investigación de las PYME - Small and Medium Practices (SMP) Committee 5 Elaborada pelo demócrata Paul Sarbanes y pelo republicano Michael Oxley, reglamentación y implementación a cargo de SEC (Securities Exchange Commission) y del PCAOB (Public Company Accounting Oversight Board)

9

utilizadores información financiera de conformidad y tuvo ramificaciones en varios países fuera de Estados Unidos, se asumiendo con un efecto extraterritorial (IFAC, 2006). Considerada la reforma más importante en el mercado capitales desde los años 30 (crisis financiera 1929) y hay introducido grandes cambios principalmente al nivel de la armonización, revisión, restructuración y desarrollo de normas y recomendaciones, con dos secciones sólo centradas en el control interno y en los informes de gestión con información del sistema de control interno y su evaluación. La referida ley refuerza el control interno en la información que se dispone a los mercados y recomienda que las organizaciones evalúen su sistema de control interno basada en la estructura del COSO – Internal control- integrated Framework, (1992), que está explicita en la SA no..2 y no.5 del PCAOB6. SOX se divide en seis grandes áreas (Secciones), en las cuales se destaca, en esta materia, la sección 2 - Refuerzo de la responsabilidad del Corporate Governance, la 3 - Mayor exigencia en la conducta y comportamiento ético y la 4 -Incremento de la supervisión a la actuación de las empresas cotizadas; Pero para el tema de de responsabilidad y evaluación del control interno, se destaca en la tabla 2 el contenido de la Sec302 y 404.

Tabla 2 -Contenido da SEC 302 e 4047

LEI SOX – SEC. 302 Responsabilidad por los informes financieros

LEI SOX – SEC. 404 Evaluación de los control internos hecho pela gestión

Regula las responsabilidades directas y individuales (CEO) y (CFO) de la información que envían al mercado incluso la eficacia y la eficiencia del control interno y certifican aunque toda la información relevante fue adecuadamente reportada y los principales cambios y alteraciones habían sido consideradas. Deben poner de manifiesto todas las deficiencias significativas en el diseño la realización de los controles internos y aunque cualquier fraude, material en el, que implique la gestión el otros empleados.

Es responsabilidad directa de la gestión establecer y mantener una adecuada estructura de control interno y procedimientos para el informe financiero. La existencia de pruebas de la evaluación regular sobre la eficacia del sistema de control interno. El informe deberá contener una evaluación del control interno y los auditores deberán emitir un informe de auditoría anual para atestar la evaluación hecha por la gestión. Deben por de manifiesto la efectividad de la estructura de control interno en relación a la información financiera, todas las debilidades conocidas del control interno y todas las fraudes identificadas.

Fuente: adaptado de SEC- Ley SOX: 2002

La norma n º 2 del PCAOB, estableció los requisitos a aplicar para auditar el control interno sobre el relato financiero y la relación de esa auditoría con la auditoría de los estados contables, comprometiendo la auditoría y lo informe de gestión en lo que respeta al efectivo control interno de la entidad.(SEC, 2004) La norma n. 5 del PCAOB, adopta una abordaje basada en el riesgo, autorizando las entidades a decidir onde colocar la énfasis en los controles clave y permite que los auditores externos puedan confiar en el sistema de supervisión continuada de evaluación del control interno. (SEC, 2007). Aunque que existen algunos informes a partir del COSO que recomienden divulgar el informe del control interno, solo a partir de las disposiciones que desarrollan la Sarbannes-Oxley Act, 2002, empieza a ser obligatoria la información sobre control interno incluso sus debilidades. Más recientemente, esta inquietud por el control interno cuenta con importantes referencias, aunque con diferente enfoque: la americana (la SOX y disposiciones posteriores), y la europea (el Informe Winter, cuyo desarrollo corresponde a cada país de la Unión). La SEC establece que se remita un informe de la dirección sobre el control interno contable que exprese, al menos:· La responsabilidad de los gestores en el establecimiento y mantenimiento de los controles internos que propicien un adecuado reporte financiero; Las conclusiones de la dirección, al final de cada ejercicio, sobre la efectividad de esos controles internos; Si los auditores externos han analizado e informado sobre la evaluación que la dirección ha hecho de los sistemas de control interno contable. (SEC, 2002)

6 PCAOB – Public Company Accounting Oversight Board, Comisión criada en 2004, pela y debajo la supervisión de la SEC. 7 Sec. se aplico desde 302 desde Julio de 2002 y la Sec404 Julio de 2005, siendo que las empresas cotizadas no americanas la obligatoriedad fue a partir de Julio 2006.

10

Las reglas establecidas por la SOX y PCAOB requieren que la gestión documente y evalúe la eficacia de los controles internos y que el auditor ateste el informe de evaluación de la gestión (Sec. 404). La Sec. 404 es considerada la más significativa mudanza del financiero reporting y el mayor conductor de costes directo del SOX.(Zhang, 2007), pero con SOX el gobierno corporativo y el control interno se reforzaran. Un estudio realizado por KPMG (2006) revela, que tras el primer año de aplicación de la normativa SOX – 404, el 76% de las sociedades consultadas consideran que han mejorado su control interno. Las empresas con menor cumplimiento de los nuevos requisitos reglamentares tienen mayor problema de agencia y tienen mayor beneficio a partir de regulación y tienen costos más elevados con los cambios (Greenstone et al, 2006) Patterson (2007) estudiaran que como resultado del SOX la robustez del control interno incrementa, la dimensión de la fraude disminuí y que el SOX hay tenido influencia en las interacciones del auditor y gestor. La aplicación de SOX puede beneficiar las empresas con un mayor rigor para los controles internos y la reducción del comportamiento oportunista, mas también es asociada con aplicación inicial substancial y subsecuente continuación de los costos. (Zang, 2007). Ge y McVay (2005) y Zhang, (2007), sugieren que las empresas con más líneas del negocio y negocios más complejos podrán incurrir en mayores costos de cumplimento. (Zhang, 2007) Va más largo y estudió las que tienen operaciones o transacciones extranjeras podrán incurrir en mayores costos dado que las transacciones so más complejas y la documentación y evaluación de los controles internos son más dispendiosas. Estudios efectuados revelan que los costes asociados a la Sec. 404 de SOX son elevados, pero los beneficios están siendo significativamente comprendidos y en el futuro tienen que decrecer. Sólo después de dos o tres años irá ser mejor balanceado el coste/beneficio pues las empresas irán desarrollar mejores sistemas de información y procesos de supervisión para garantizar que los controles están operacionales. (Jackson, 2005, entrevista al Rittenberg) El énfasis de los testes de la gestión podrán ser substituidos por una garantía del proceso de supervisión impidiendo deficiencias del control y que sean tomadas medidas correctivas oportunas, luego el control necesita de ser visto como un modelo del proceso y no sólo como una serie de checklists para sean rellenadas. (Rittenberg, 2005) SOX ha sido un nuevo marco conceptual en lo referido a control interno, protección del inversor minoritario y calidad de la información, pero hay dado a cada empresa la suficiente autonomía para determinar sus propias pautas a seguir. SOX extravasa la territorialidad y rápidamente tiene impacto en todo el mundo, donde los países criaran o alteraran su propia regulación aliñada con este. Inicialmente en la Europa surgirán corrientes controversias sobre SOX, muchos a han visto como un imperialismo legislativo, desnecesaria e indeseable como una intrusa de la jurisprudencia de los Estados Unidos. (Baker, 2005) En Julio de 2003 la FEE, enfatiza la gestión de riesgo y refiere que “ Los sistemas de control interno y gestión de riesgo son fundamentales para el éxito de la operación de cualquier empresa, no sólo para los objetivos de informe financiero, pero también para las operaciones corrientes de la empresa para ayudar a alcanzar los objetivos de negocio”.(IFAC,2006) En Marzo de 2005 la FEE, declara que no apoya la implementación de uno equivalente al SOX sec.404 para Europa, porque no se justifica con los costes muy elevados. Argumenta que hay alternativas para requisitos legales más rápidos y sólidos, que pueden ser más eficientes en traer cambios en el comportamiento, en particular en las Jurisdicciones donde los accionistas tienen poderes efectivos. Al revés, defiende mecanismos que encorajan la gestión de riesgo más amplio y control interno. La FEE considera ser necesaria una discusión y recogimiento evidencia para encorajar la coordinación y convergencia del desarrollo de la gestión de riesgo y control interno a nivel de Europa, buscando el mejor modelo para presentaren los informes. (IFAC, 2006) IFAC hay apoyado el punto de vista de FEE, concluyendo que la regulación a lo largo de las líneas de SOX es inadecuada, y que un adecuado equilibrio entre la conformidad y

11

performance, el cumplimiento y aspectos de los informes de la gestión de riesgos y control interno, podrán no ser debidamente enfatizados. Un referencial importante en materia de control interno (en función de la importancia y especificidad del sector) es la reglamentación a partir del Comité de Supervisión Basilea8 en que refuerza la importancia del control interno en el gobierno del sector financiero. En 1998 emanó un documento9, estructura de un sistema de control interno, lo cual sirvió de base para un otro documento, publicado en 2003, buenas-prácticas para la supervisión y gestión del riesgo operacional. El documento, Sound Practices for the Management and Supervision of Operational Risk10, presenta diez principios divididos en cuatro prácticas, nombradamente,: desarrollo de un ambiente apropiado para la gestión del riesgo, con identificación, evaluación, supervisión y control/minimización del riesgo, Los principios 1 a 7 y el 10, interceptan con las buenas-prácticas de gobierno corporativo. Por otro lado establece que el Comité de auditoría recibe los informes de los auditores internos y externos, se asegura que se toman las medidas correctoras adecuadas ante cualquier debilidad de control interno y incumplimiento de normas internas y las externas.

Pero, en 2006, el documento International Convergence of Capital Measurement and Capital Standards, refuerza la necesidad de uno sistema de control interno11 para reducir/minimizar cualquier tipo de riesgo, enfatizando el riesgo operacional. Refuerza todavía la importancia del Reporting y el papel de la auditoría interna y externa como supervisoras del sistema de control interno y de gestión de riesgo, las considerando como un pilar del gobierno corporativo12 En la Unión Europea, la Recomendación de la Comisión de la U.E. (2005/162/CE), (2005), hay reforzado la supervisión del control interno la través de la recomendación de la creación de Comités de auditoría, su estructura, composición, cualificaciones y con el rol, entre otros de supervisión del control interno y responsabilizando los auditores internos el externos, por la divulgación al Comité de auditoría de las debilidades del control interno. La octava directiva (2006/43/CE) 2006, refiere en el Art. 41 que cada entidad de interese público debe tener un Comité de auditoría, pelo menos un miembro del comité debe ser independiente e tener competencias en el dominio de contabilidad y/o auditoria, a quien compete entre otros proceder al control de la eficacia del sistema de control interno, de la auditoría interna siempre que aplicable, y de la gestión de riesgo de la entidad. El auditor debe informar el comité de auditoría sobre, nombradamente, debilidades materiales del control interno en el proceso de informe financiero. (UE, 8ª directiva, 2006) La Directiva 2006/46/CE del Parlamento Europeo (14/6/2006), requiere que las entidades faciliten a los mercados una descripción de los principales elementos de los sistemas de control interno y gestión de riesgos en relación con el proceso de emisión de la información financiera en materia de consolidadas o individuales. Donde, la auditoría interna con la externa, la gestión ejecutiva, y el comité de auditoría del Consejo de Directores, son los pilares del gobierno corporativo (Gramling, et al. 2004) Un estudio reveló que la utilización de la auditoría interna está asociada a factores relacionados con la gestión de los riesgos, controles internos fuertes y fuerte gobierno corporativo. (Goodwin-Stewart e Kent, 2006) Kenechel et al, (2007), demostraran que cuando el gobierno corporativo y control no están profundamente reglados y la propiedad está concentrada, existe un aumento en todas las formas de control, incluyendo la auditoría externa.

8 Establecido en 1974, por diez gobernadores de los siguientes bancos centrales: Bélgica, Canadá, Francia, Alemana, Italia, Japón, Luxemburgo, Holanda, España, Suecia, Suiza, Reino Unido y Estados Unidos da América, a fin de reglamentar la supervisión bancaria. 9 Basel Committee on Banking Supervision, Internal Control Systems, Framework for Internal Control Systems in Banking Organizations’, Sept. 1998. 10 Basel Committee on Banking Supervision, Bank For International Settlements, Sound Practices for the Management and Supervision of Operational Risk, February, 2003. 11 Ver parágrafo 727, 730, 731, 744, 745 e 752 del documento. 12 Ver parágrafo 443 e 727 del documento.

12

Hay, et al (2008:p.9), demostraran que controles, gobierno y auditoría, son complementarios, no sustitutos y que el crecimiento en uno de ellos provoca crecimiento en los otros. Así, los auditores y los Comités de auditoría constituyen una alianza esencial para el gobierno corporativo. El estudio empírico de Krishnan, (2005), sobre la asociación entre la calidad de los Comités de auditoría y la calidad del control interno, hay comprobado existir una asociación entre los comités de auditoría independientes y con experiencia financiera con menor problemas del control interno. Los comités de auditoría revelaran estar en una mejor posición para hacer la supervisión de los controles internos y comprender los varios asuntos financieros y operacionales que posan surgir, (Zhang et al, 2007) Existe una vinculación entre los tres conceptos y que se complementan, la figura 1 explica esa vinculación (Pickette, 2005)

Figura 1 –vinculación entre la gestión del riesgo y control interno

Fuente: adaptada de (Pickett, 2007)

2- EL CASO DE PORTUGAL Y ESPAÑA

2.1 Análisis comparativo de los normativos reglamentos

Tanto en España como en Portugal la reflexión sobre el gobierno de las sociedades no hay surgido en la secuencia de escándalos societarios internos, al contrario do que hay sucedido en otros países, pero pela armonización de los mercados financieros, nivelando los parámetros de seguridad y de la organización de los agentes de los mercados. Sin embargo, la actual regulación es más desarrollada en España, con el Código Unificado de buen gobierno que incluye 58 recomendaciones do que en Portugal, que empieza ahora a estar más desarrollado con el nuevo Código de Gobierno da las sociedades de la CMVM (reglamento 1/201013) que amplia para 53 recomendaciones desde 2010. En España toda la materia de la gestión de riesgos y control están en el capítulo de Comités de Auditoria, como se fuera la sombrilla y define específicamente reglas para los que evalúan el control interno (auditoría interna, externa). En Portugal en materia de control interno está ahora más desarrollado, pero aparece en capitulo de órganos de administración y fiscalización y aunque con una abordaje en capitulo de auditoría, externa, en entorno de evaluación y reporte de las deficiencias del control al órgano de fiscalización. En la tabla 3 se presenta una comparación. En España se hay publicado en Junio de 2010, la versión definitiva de “Control interno sobre la información financiera en las entidades cotizadas”, que constituí un marco de referencia de principios y buenas prácticas de control interno sobre la información financiera para ayudar las entidades cotizadas de modo a que permita reforzar la fiabilidad de la información financiera. También la Ley de Auditoria de Cuentas e la Ley de Economía Sostenible (2010) hacen abordaje en materia de la necesidad de supervisión del control interno y a la 13 Publicado em Diário da republica II série de 1/2/2010

Estrategias Corporativas y

Revisión

Controles internos Gestión de riesgos

Estructura del control interno

Comités de auditoria, Auditoria Externa; Auditoria Interna, etc

Códigos de la gobernabilidad corporativa

Estructuras corporativas

Acuerdos para la revelación de información normalmente

13

descripción de las principales características de los sistemas de control y gestión de riesgos respectivamente.

14

Tabla 3 – Comparación del gobierno de las sociedades Portugal/España España

Portugal

Data Descritivo

Data Descritivo

1995 El primero estudio hay sido con el título “Reflexiones sobre la reforma de los consejos de administración”- recomendaciones centradas sobe los consejos administraciones para conseguir un bueno gobierno corporativo.

1999 Las primeras 17 recomendaciones del gobierno sociedades surgirán pela CMVM, en que en su informe anual de gestión deberían referir el su grado de adopción de las recomendaciones.

1998

Informe Olivenza – con el título “El gobierno de las sociedades: Un código ético para los Consejos de Administración” Contenía 23 recomendaciones y eras una buena parte una recopilación de todo lo que hay dicho y escrito en el mundo occidental, informes COSO, Cadbury, Greenbury, Hampel, Vienot, etc. Sobre gobierno corporativo. Incremento del control, de la transparencia. Adopción voluntaria.

2001

Criado el reglamento 7/2001 da CMVM que introduce pela primera vez, la filosofía de “comply or explain ”, reduce para 15 las recomendaciones, con objetivo de mayor transparencia de la información

2003

Informe Aldama con el titulo ”El informe de la Comisión Especial para el fomento de la transparencia y seguridad en los mercados y en las sociedades cotizadas” Una de las principales diferencias con respecto al anterior es que a pesar de no ser cumplimiento obligatório, funcionan a través del principio de comply or explain . El hecho de tener que justificar el porqué de no se seguir en las recomendaciones, las dota de un peso más importante, a efectos prácticos. Aclara las competencias del Comité de auditoría en relación auditoría interna y externa y control interno.

2003

Criado el reglamento 11/2003 reducía a 11 recomendaciones (cambios y actualizaciones, destaque para divulgación de la información vía internet, transparencia y obligatoriedad de divulgación de información relativa a los honorarios de los auditores discriminados por auditoria e otros.

2006

Código Unificado de Buen Gobierno14 Es una junción del informe Olivenca y Aldama con los Principios de OCDE y transposición de las recomendaciones de Comisión Europea y recomendaciones de buen gobierno del Comité de Basilea. Siegue el marco Europeo que es el Turnbull do Reino Unido. Continúa voluntario con sujeción al principio de comply or explain . Se reducía el numero de recomendaciones y distinguido estas de las definiciones. Los Comité de auditoría tienen que criar mecanismos de control para proteger los denunciantes, esto porque es posible criar canales de denuncia , inspirados en la experiencia estados Unidos, Reino Unido y otros. Alarga competencias de Comité de Auditoría y auditoría interna y externa con objetivo de sistemas de control interno eficaces. Establecer una política de control y gestión de riesgo que identifique, entre otros un sistema de información y control interno que se utilizaran para controlar y gestionar los citados riesgos, incluidos los pasivos contingentes o riesgos fuera del balance.

2005

Criado el reglamento 10/2005 , de Noviembre, incrementó el número de recomendaciones. Las modificaciones efectuadas incidirán sobre la mejoría del sistema de fiscalización interna de las sociedades (inclusión de los pontos 5-A, 8-A e 10-A).

Otra regulación sobre Buen

Ley de Mercado Valores Mobiliarios Art. 116 establece aplicación del principio de cumplir o explicar. Ley Financiera – Ley 44/2002- Medidas de reforma del sistema financiero, que Reguló a obligatoriedad del Comité de la auditoria para sociedades cotizadas y completó régimen legal

2006 e 2007

Instituto Portugués de Corporate Governance15, publicó el Libro Blanco sobre Corporate Governance en Portugal, donde es presentado un conjunto de recomendaciones sobre el gobierno de las sociedades, teniendo por base las mejores prácticas internacionales y estudios efectuados, de las cuales se destaca “ Se recomienda que el Consejo de Administración mantenga un sistema adecuado de control interno,

14 Para mejor comprensión consultar Código en www.cnmv.es 15 En este momento esta en discusión publica el anteproyecto de un Código de Bueno Gobierno de las Sociedades.

15

gobierno

de auditoría de cuentas y normas de conducta en los mercados valores.. Ley de Transparencia – Ley 26/2003 – Incorpora algunas recomendaciones del informe Aldama e define normas sobre os Comités de auditoría (estructura, deberes, competencias) y se incluye en su competencia el conocimiento del proceso de información financiera y de los sistemas de control interno de la sociedad. Obligatoriedad de emitir un informe anual de gobierno corporativo y publicar información en página web. Orden ECO/3722/2003, de 26 de diciembre, sobre el informe anual de gobierno corporativo y otros instrumentos de información de las sociedades anónimas cotizadas y otras entidades. Esta Orden completa la regulación del contenido y estructura del informe anual de gobierno corporativo de las sociedades anónimas cotizadas y otras entidades con valores admitidos a negociación en mercados secundarios oficiales —que no revistan el estatuto de caja de ahorros— y regula el contenido mínimo que habrá de tener la página web de las sociedades anónimas cotizadas en orden a cumplir con las exigencias de transparencia que derivan de la Ley 26/2003. Circular 1/2004 de 17 de Marzo, de la Comisión Nacional del Mercado de Valores, sobre el informe anual de gobierno corporativo de las sociedades anónimas cotizadas y otras entidades emisoras de valores admitidos a negociación en mercados secundarios oficiales de valores, y otros instrumentos de información de las sociedades anónimas cotizadas. Circular 4/2007 de 27 Diciembre de la Comisión Nacional del Mercado de Valores, modifica, adaptando el modelo del informe anual de Gobierno Corporativo que las sociedades cotizadas tienen que presentar para dar cabida a los nuevos requisitos de información introducidos por el Código Unificado, aumentando el nivel de transparencia del principio de cumplir o explicar. Circular 6/2009 de 21 Diciembre de la Comisión Nacional del Mercado de Valores, sobre control interno de sociedades gestoras de Instituciones de Inversión colectiva (IIC) y sociedades de inversión, con el objetivo de, nombradamente, extender las obligaciones de control interno a todas las operaciones con IIC, asegurar que los riesgos principales son gestionados y los controles para los mitigar y aunque fortalecer el control interno de las sociedades gestoras. En Junio de 2010 la CNMV publico la versión definitiva del “Control interno de la información financiera en las entidades cotizadas”, Objetivo es aliñar con las Directivas comunitarias y ser un marco normativo so bre esta temática, de modo a comparar con las buenas praticas, contribuir para la mejoría de la información.

en orden a proteger los intereses de los accionistas, las inversiones de la empresa y los suyos activos, y además, con periodicidad al menos anual, revea la efectividad y la eficiencia de ese sistema, reportando a los accionistas los resultados de esta acción.”

En Septiembre de 2007 la CMVM publicó el “Código de Gobierno de las sociedades de CMVM” estructurado en tres capítulos e con cuarenta e tres puntos. en lo cual se destaca el II.1.1.2. Las sociedades deben criar sistemas de control, para la detección eficaz de los riesgos ligados a la actividad de la empresa, en salvaguarda de su patrimonio y en beneficio de la transparencia de su gobierno societario.

El reglamento n º 1/2007,16reglamenta el “Informe sobre el gobierno de las sociedades”, criando un modelo para las empresas y que asiente en el referencial del Código de Gobierno de las sociedades de CMVM.. Esta revisión atribuyó uno titulo más concreto y una nueva orden de las materias sistematizadas, ajustando con las nuevas designaciones introducidas en el Código de las Sociedades Comerciales y el articulo 245ª del CVM Estructurado en cuatro capítulos, tiene en el total cincuenta y cuatro alineas muy más amplio que el anterior, en lo cual se destaca II.4 -.Descripción de los sistemas de control interno y de gestión del riesgo implementados en la sociedad, designadamente, cuanto al proceso de divulgación de información financiera. El reglamento n º 1/2010 ,17amplia lo anterior y permite a las entidades adoptaren el código de gobierno más adecuado a las suyas necesidades y características, pero lo tienen que decir y respectar los principios de boas practicas de gobierno societario. También establecer información a divulgar en entorno de remuneraciones de la Administración y Fiscalización. Amplia el requisito de control interno: II.5 (…) , al modo de funcionamiento diste sistema y a la su eficacia. Crea otro requisito para el Control interno y gestión de riesgo, pero cuanto a la responsabilidad del órgano de Administración y fiscalización (II.6) en la creación, funcionamiento, evaluación y ajustes necesarios a entidad.

Fuente: Elaboración propia

16 CMVM, 2007, Reglamento nº 1/2007 – Gobierno de las Sociedades Cotizadas, publicado DR II serie en 21/11/2007 ( a vigorar a partir de 1/1/2009, una vez que solo se aplica a los informes anuales de 2008 y revoca el reglamento nº 7/2001) 17 CMVM, 2010, Reglamento nº 1/2010 – Gobierno de las Sociedades Cotizadas, publicado DR II serie en 01/02/2010 ( a vigorar a partir de 1/1/2009, una vez que solo se aplica a los informes anuales de 2008 y revoca el reglamento nº 7/2001)

16

Tanbien el Banco de Portugal (BP) hay tenido un rol relevante en esta materia y emanó el aviso N º 3/2006 de 9 de Mayo de 2006, asiente en la filosofía de la obligatoriedad de comply or explain, donde reglamenta la creación y la actualización del sistema de control interno, bien como la verificación de su puesta en marcha y eficacia, que deben ser directamente acompañados por el órgano de administración de la institución, adaptado a la dimensión, naturaleza y a lo tipo de actividades ejercidas, a través de la minimización de los riesgos y debe elaborar anualmente informe sintético sobre el sistema de control interno (BP, 2006). Exigía la declaración de ausencia de deficiencias detectadas en el SCI y la divulgación de las acciones a desarrollar para superar esas debilidades. (BP, 2006). Sin embargo, en 2008 el BP hace un cambio relevante y hay publicado el aviso Nº 5/2008 de 25 de Juno de 2008, lo cual reconoce la importancia de un sistema de control interno adecuado e eficaz para garantizar un efectivo cumplimiento de las obligaciones legales y deberes a que las instituciones están sujetas y una apropiada gestión de los riesgos inherentes a las actividades desarrolladas. Los requisitos aplicables en materia de control interno, fueran actualizados en trinchera con el reglamento anterior. Así, se hay promovido una sistematización de los principios básicos en la implementación de un sistema de control interno, seguido de los conceptos, reconocidos y aceptes a nivel internacional, definidos en el Internal Control - Integrated Framework publicado por el COSO, las recomendaciones emitidas por el Comité de Supervisión Bancaria de Basilea a través del Framework for Internal Control Systems in Banking Organizations y las orientaciones en materia de Internal Governance divulgadas por el Comité de las Autoridades Europeas de Supervisión Bancaria (CEBS). Comparativamente con lo anterior, es ahora adoptado un abordaje más prescriptivo, a través de la enumeración de los requisitos mínimos que el sistema de control interno de cada institución debe respetar y de las responsabilidades del gobierno corporativo en este dominio. Este abordaje, posibilita la integral harmonización de los informes de control interno exigidos por el Banco de Portugal y la CMVM, permitiendo la elaboración de un informe único y se hay también simplificado los informes del control interno, pasando el contenido a estar focalizado en las debilidades, entendidas como un conjunto de las insuficiencias existentes, potenciales o reales, o de las oportunidades de mejorías que permitan fortalecer el sistema de control interno, en substitución de la descripción de los procedimientos que incluya lo reglamento anterior. 2.2. – La responsabilidad basada en el grado de cumplimiento de las recomendaciones de controlo interno y comisiones de supervisión en los informes del gobierno corporativo en las empresas del PSI 20 y IBEX 35 Se analizó el contenido de los informes publicados del gobierno corporativo de las empresas del PSI 20 en Portugal y IBEX 35 en España de los años de 2007,2008 y 2009. En el Código de gobierno de las sociedades cotizadas de la CMVM (2010) incluye, en el capítulo de órganos de Administración y Fiscalización, la descripción de los sistemas de control interno y de gestión de riesgos implementados en la entidad, nombradamente, en lo que concierne al proceso de divulgación del informe financiero, al modo de funcionamiento del sistema y a la eficacia del mismo (II.5). (…) II.6 hace referencia a la responsabilidad del órgano de Administración y de fiscalización en la creación y marcha de los sistemas de control interno y de gestión de riesgos, bien como a la evaluación de su funcionamiento y los ajustes a las necesidades de la entidad. Así, el órgano de administración debe crear comisiones y o órganos de supervisión del control interno y riesgos. Los informes anuales sobre gobierno de las sociedades cotadas publicados en la CMVM(2010) del año de 2008 y 2009, han sido preparados con base en el reglamento de 1/2007 pues que el reglamento 1/2010, no si puede aplicar antes de 2011 en la su totalidad. El cumplimiento de las recomendaciones del gobierno de las sociedades, en 2009, en la globalidad, ha un continuado crecimiento de su cumplimiento en 87.0% contra 62,5% del

17

año anterior, todavía hay un largo camino a perseguir, una vez que hay múltiplos aspectos distantes de las buenas practicas de buen gobierno. En lo que concierne a la descripción del un sistema de control interno y riesgos si registra un aumento relevante comparativamente con el año anterior y logrado los 100%, todavía la información relativa al funcionamiento y eficacia es muy insuficiente o mismo inexistente. Aproximadamente 10% de las empresas cotizadas no tienen Unidades de auditoría interna, lo que podrá colocar en causa la supervisión del control interno. Cuanto al existencia de Comisión de Auditoría que evalúa el sistema de control interno y riesgos, se registra igualmente un aumento significativo de 44,7% del año anterior para 70% en 2009.Existen Comisiones de Auditoria de naturaleza obligatoria (código de sociedades comerciales en el Decreto lei 76-A 2006), debido a la estructura organizativa de Administración y fiscalización de la entidad, aproximadamente 50% y las otras son de naturaleza voluntaria, en que 90% de sus miembros son integralmente independientes.

La figura 2 y la tabla 4 resumen la evolución del cumplimiento de las recomendaciones del gobierno de las sociedades cotizadas en bolsa en Portugal, en la globalidad y cuanto a la descripción del un sistema de control interno y riesgos y a la existencia de la Comisión de auditoría como órgano de más alto nivele de supervisión del control interno y riesgos.

Para las empresas del IBEX35 se aplica, desde 2007, el código unificado de buen gobierno, lo cual en su recomendación nr. 49 refiere que la política de control y gestión de riesgos debe identificar al menos (…) los sistemas de información y control interno que se utilizarán para controlar y gestionar los citados riesgos, incluidos los pasivos contingentes o riesgos fuera de balance. Tanbien en la recomendación nr. 50 la recomendación refiere, son funciones del Comité de Auditoría en relación con los sistemas de información y control interno (…) revisar periódicamente los sistemas de control interno y gestión de riesgos, para que los principales riesgos se identifiquen, gestionen y den a conocer adecuadamente, (…) velar por la independencia y eficacia de la función de auditoría interna y (…) recibir regularmente del auditor externo información (…).El código destaca de una forma relevante en la recomendación 47 la existencia de la función de la auditoría interna que bajo la supervisión del Comité auditoría, vele por el buen funcionamiento de los sistemas de información y control interno.

Analizados los contenidos de los informes anuales de gobierno corporativo de las sociedades españolas del IBEX 35 desde ejercicio de 200718 hasta 2009, han realizado un importante esfuerzo para adaptar sus practicas de gobierno corporativo a las recomendaciones del Código Unificado, una vez que una gran mayoría de sociedades han 18 De notar que 2007 es el primero año en que las sociedades tomaran como referencia las recomendaciones del Código Unificado de buen gobierno

Años Recomendaciones 2007 2008 2009

1 ) Tiene un sistema de control interno y de gestión de riesgos implementado(SCIGR) 82,2% 83,0% 100,0% 2) Tiene Comisión de Auditoría que evalúa el sistema de control interno y riesgos (CA). 46,7% 44,7% 70,0% 3) Grado de cumplimiento global 59,1% 62,5% 87,0%

Tabla 4 – Evolución del cumplimiento de las recomendaciones

Figura 2- Grado de cumplimiento de las recomendaciones

18

incorporado algunas recomendaciones a su normativa interna(CNMV, 2010), convirtiendo el carácter voluntario en principios de obligado cumplimiento a través de los reglamentos internos. Así, se hay producido un incremento notable en el nivel de transparencia de las sociedades del IBEX, pues que todas excepto uno caso, han cumplido los requisitos de elaborar y difundir en el informe anual el grado de seguimiento de las recomendaciones del Gobierno corporativo, que son de carácter voluntario. Las recomendaciones son basadas en el principio de cumplir o explicar o que torna la análisis un poco diferente. Así, 38,2% de las sociedades declaran cumplir integralmente en más de 90% las recomendaciones comparativamente con 23% del año anterior, 90% declaran cumplir entre 70 a 90% contra 63% del año 2008 y 100% declaran cumplir pelo menos de 70%contra 86% del año anterior, conforme tabla 5.

En la recomendación del control de riesgos, lo que pasa es que la mayoría de las entidades que forman parte del IBEX han adoptado el informe COSO (2004) Enterprise Risk Management- integrated Framework (ERM), desde 2006, y así las empresas que siguen este modelo de referencia al desglosar la información sobre los sistemas de control de riesgos en sus informes anuales de gobierno corporativo, explican su enfoque a respecto a los factores que son las componentes del modelo. Así, informan cuanto al entorno de control, establecimiento de objetivos, evaluación y mapa de riesgos, actividades de control, información y comunicación, Las empresas del IBEX tienen todas el Comité de auditoria y las cuestiones que se analizan es la composición del comité, la topología de consejeros y no si tienen o no Comité como pasa en Portugal, lo mismo se pasa con el sistemas de gestión y control de riesgos. En la tabla 6 resume el grado de cumplimiento de las recomendaciones relacionadas con la temática estudiada.

Los resultados, muestran que las recomendaciones relacionadas con la responsabilidad del control interno y gestión de riesgos, tanto por la creación de sistemas como por funciones de supervisión la mayoría de las sociedades cumplen con estas responsabilidades divulgadas en los informes anuales de gobierno corporativo y que los sistemas de control están siempre conectados con gestión de riesgo, incluso en España se utilizan ya el modelo integrado de riesgo y control (ERM).Sin embargo no es posible afirmar si son eficaces, cual el impacto del cambio en la entidad o en la sociedad en general, la información es muy escasa o inexistente. Todavía, 64,6% de las empresas que tienen mecanismos de control interno y gestión de riesgos no identifican los riesgos que los afectan ni divulgan la probabilidad de ocurrencia o el posible impacto de riesgos que enfrentan.

Año 2009 Recomendaciones totales

Cumplen más de 90%

Cumplen entre 70-90%

Cumplen menos de

70%

Grado de cumplimiento global 38,2% 90,0% 100,0%

Año 2009

Recomendaciones Cumplen

No cumplen o cumplen

parcialmente

Grado cumplim

iento

Recomendación 49 35 0 100% Recomendación 50 31 4 89% Recomendación 47 35 0 100%

Tabla 5 – Grado de cumplimiento de recomendaciones en 2007

Tabla 6 – Grado de cumplimiento de recomendaciones en 2007

Figura 3- Grado de cumplimiento en 2009

0%

25%

50%

75%

100%

Grado de cumplimiento en 2009

Recomendación 47

Recomendación 49

Recomendación 50

19

CONCLUSIÓN El trabajo desarrollado hay permitido confirmar la importancia y la complexidad del control interno en el contexto actual y su responsabilidad frente a las exigencias de los diversos stakeholders Se hay confirmado, en la revisión de la literatura, que existe consenso de que ninguna entidad puede garantizar que tenga lo más sofisticado e eficaz control interno y que los auditores y comités de auditoría son parte integrante de esa responsabilidad, porque su trabajo de supervisión es determinante para un buen gobierno corporativo así como un bueno sistema de gestión de riesgo. Ccontroles, gobierno y auditoría, son complementarios, no sustitutos y que el crecimiento en uno de ellos provoca crecimiento en los otros. Así, los auditores y los Comités de auditoría constituyen una alianza esencial para el gobierno corporativo. Si bien que, los normativos y reglamentos de Portugal y España estiban en niveles diferentes de desarrollo y adhesión a las recomendaciones de gobierno corporativo, se constató que existe un esfuerzo significativo de las sociedades en cumplir con su responsabilidad de control interno sea por creación y divulgación de mecanismos o por la supervisión. El trabajo hay permitido obtener perspectivas que serán líneas de investigación a testar y a desarrollar en futuro, como por ejemplo profundar el estudio envolviendo los gestores, auditores y comités; comparaciones con contenido de informes de otros países; introducir comparaciones con variables cuantitativas, entre otros. BIBLIOGRAFÍA Baker, Neil, (2005), Global debate over controls, Internal Auditor, June 2005, pp.50-54, IIA Banco de Portugal (BP), (2006), Aviso nº 3/2006 de 9 de Maio, I Instituições de Crédito, sociedades e grupos financeiros – sistema de controlo interno, www.bportugal.pt Banco de Portugal (BP), (2008), Aviso nº 5/2008 de 1 de Julho, Instituições de Crédito, sociedades e grupos financeiros – sistema de controlo interno, www.bportugal.pt Basel Committee on Banking Supervision, (2003), Bank For International Settlements, Sound Practices for the Management and Supervision of Operational Risk , February, 2003. Basel Committee on Banking Supervision, (1998), Internal Control Systems, Framework for Internal Control Systems in Banking Organisations, September 1998. Berbia, Patrícia, (2008), Evaluación eficaz del sistema de control interno; Florida, The Institute of Internal Auditors Research Foundation(IIARF) Cappelletti, Laurent, (2006), Vers une institutionalisationde la function contrôle interne?, Comptabilité, controle audit, Tome 12, vol.1 Mai 2006, p.27-43 Chambers, Andrew e Ridley, Jeffrey, (1998), Leading Edge internal auditing, ICSA Publishing Ltd, UK CMVM, (2007), Regulamento nº 1/2007 – Governo das Sociedade Cotadas, publicado DR II série em 21/11/2007 CMVM, (2010), Relatório Anual sobre o Governo das Sociedades Cotadas em Portugal 2007,2008 e 2009, www.cmvm.pt consulta em Maio 2010 CNMV, (2009), Informe anual de gobierno Corporativo de las compañias del IBEX-35 del ejercicio de 2007, 2008 e 2009, www.cnmv.es consulta em Novembro 2009 COSO - The Committee of Sponsoring Organizations of the Treadway Commission, (1987), Report of the National Commission on Fraudulent Financial Reporting, Available at: http: / /www.coso.org/ publications.htm COSO - (1992), Internal Control Integrated Framework, COSO, Jersey City COSO -Committee of Sponsoring Organizations, (2004). Applying COSO’s enterprise risk management-integrated framework. (September 29). Slideshow. Available at: http: / /www.coso.org/ publications.htm. Directiva 2006/43/CE do Parlamento Europeu do Conselho de 17/5/06, Revisão das contas anuais e consolidadas, publicada no JOUE nº L157/87 em 9/6/2006, pp 87-107

20

Directiva 2006/46/CE do Parlamento Europeu do Conselho de 14/6/, publicada no JOUE nº L224 em 16/8//2006, pp 1-7 Diz, Juan Luis Castromán e Serantes, Nélida Porto, (2005), Responsabilidad social y control interno, Revista Universo Contábil - V1 n.2 pp.86-101 Jmaio/Ago. de 2005 Fahy, Martin et al, (2005), Beyond Governance, John Wiley & Sons,Ltd, England Gillan, Stuart L. y Martin, John D., (2007), Corporate governance post-Enreon: Effective reforms, or closing the stable door?, Journal of Corporate Finance 13 (2007) p.929-958 Goodwin-Stewart, J., Kent ,P., (2006), “The use of internal audit by Australian companies,” Managerial Auditing Journal 21 (1), pp. 81-101. Greenstone, M., Oyer, P., Vissing-Jorgensen, A., (2006). Mandated disclosure, stock returns, and the 1964 Securities Acts amendments. Quarterly Journal of Economics 121 (2), 399–460. Harris, M. y Raviv, A., (2005), A theory of Board control and size, Working paper, University of Chicago and Northwestern University Hay, David, Knechel, W.Robert and Ling, Helen, (2008), Evidence on the impact of internal control and corporate Governance on Audit Fees, International Journal of Auditing, Int.J.Audit. 12:9-24, USA IFAC, (2006), Internal Control - A Review of Current Developments, Professional Accountants in Business Committee, http://www.ifac.org/Store/Details.tmp?SID=11559337241982775 em 24 de Abril de 2008 IFAC, Chow, Edward, (2007), Internal control from a risk-based perspective, The Professional Accountants in Business Committee- IFAC, www.ifac.org IFAC, (2007), Guide to using international standards on auditing in the Audits of Small-and –medium-sized Entities, Implementation Guide, Small and Medium Practices Committee, IFAC, http://www.ifac.org/Store/Details.tmp?SID=1197644225547443 em 24 de Abril de 2008 IFAC, International Federation of Accountants, (2008), Evaluating and Improving Governance in Organizations, Exposure Draft, Professional Accountants in Business Committee, IFAC, http://www.ifac.org/Guidance/EXD-Details.php?EDID=0115, em 2 de Julho de 2008 IIA, (1987), Position Statements of the IIA, Internal Auditing and the Audit Committee: Working Together Toward Common Goals, Documento publicado pelo IIA IIA, (2006), Sarbanes-Oxley Section 404:A guide for management by internal controls practitioners, IIA IIA, (2007), The professional practice framework, The Institute off internal auditors research foundation Jackson, Russell A., (2005), There is no shortcut to good controls- Larry Rittenberg, Internal auditor August 2005, IIA Jensen, Kevan L. e Payne, Jeff L., (2003), Management Trade-offs of internal control and external auditor expertise, Auditing: a Journal of practices and theory, vol22n .2 , September 2003, pp 99-119 Knechel, TW.R., et al, (2007), A stakeholder model of competing demands for control and auditing, Working Paper, University of Florida, USA Korac-Kakabadse, et al, (2001), Board governance and company performance any correlations, Corporate Governance,I, I, pp.24-30 KPMG, (2006), Sarbanes-Oxley Section 404 Benchmark Study, Winter/Spring 2006, KPMG International Krishnan, Jayanthi, (2005), Audit Committee Quality and Internal control: an empirical analysis, the accounting review, vol 80, vol.2 , pp649-675 Krogstad, J., A.J. Ridley, and L.E. Rittenberg, (1999), Where We’re Going, Internal Auditor. October 1999. Maijoor, S. (2000). The internal control explosion. International Journal of Auditing 4, 101–109 OCDE – Organisation de Coopération et de Développement Economiques, (2004), Principes de gouvernement d’entreprise de l’OCDE, www.ocde.org/document/ Patterson, Evelyn R. e Smith, .Reed, (2007), The effects pf Sarbanes-Oxley on auditing and internal control Strngth, The Accounting Review, vol 82 (2), pp 427-455 PCAOB, Public Company Accounting Oversight Board, (2004), Auditing Standard no. 2- An audit of internal control over financial reporting performed in conjunction with an audit of financial statements, Release No. 2004-001, March 2004, p.141-301, www.pcaob.org PCAOB, Public Company Accounting Oversight Board, (2007), Auditing Standard No.5 – An audit of internal control over Financial Reporting that is integrated with an audit of financial Statements, November 2007

21

Pickette, K.H.Spencer, (2005), Auditing the Risk Management Process, Wiley & Sons Recomendação da Comissão 2005/162/CE, da Comissão das Comunidades Europeias de 15/2/05, Papel dos administradores não executivos ou membros do conselho de supervisão de sociedades cotadas e aos comités do conselho de administração Cou de supervisão, publicada no JOUE nº L52 em 25/2/05, pp 51-63 Rittenberg, Larry E., (2006), Internal control: No small matter, Internal auditor, October/2006, p.47-51 Sarens, Gerrit e Beelde, Ignace De (2006), Internal auditors’perception about their role in risk management, Managerial auditing Journal, vol 21,nr1, 2006, pp63-80 SEC- Securities and Exchange Commission, (2002), Public Law 107-204 de 30 de Julho de 2002, Ley de Sarbanes Oxley (SOX) Silva, Artur et al, (2006), Livro Branco sobre Corporate Governance em Portugal, Instituto Português Corporate Governance, Lisboa Verschoor, C.C., (2002), Reflections on the audit committee’s role, Internal Auditor, 59 April, pp26-35, IIA Zaman, M.(2001), Turnbull-generating undue expectations of the corporate governance role of audit committees, Managerial Auditing Journal, 16/1, pp5-9 Zhang, Ivy Xiying, (2007), Economic consequences of the Sarbanes-Oxley Acto f 2002, Journal of accounting & Economics, 44, p.74-115 Zhang, Y., Zhou J. e Zhou N., (2007), Audit Committee quality, auditor independence and internal control weakness, Journal of Accounting and Public Policy, 26: 300-327