AUDITORÍA INTERNA
DECLARACIÓN
Este es quizás mi artículo más delicado y difícil porque habla de la parte más vilipendiada de una función, que es al mismo tiempo la más necesaria y la más temida por las empresas.
Este artículo es una continuación de la pestaña anterior:
Orígenes de la auditoría interna
Este artículo se refiere a la Sentencia de diciembre de 2022 que lo expliqué en la pestaña Orígenes de la Auditoría Interna:
Sentencia de la Corte Suprema de Estados Unidos que sanciona al Auditor Jefe, al Director Ejecutivo de Auditoría y al Director de Riesgos (CRO) de Wells Fargo
, aquí está el enlace:
https://www.radicalcompliance.com/2022/12/08/judge-blasts-ex-wells-fargo-execs/
por no haber denunciado internamente las irregularidades y actos ilegales que se cometieron en el banco, ya que claramente no cumplieron con los deberes de sus funciones.
Esto es lo que el juez escribió: los ejecutivos «por separado y colectivamente participaron en prácticas bancarias inseguras o poco sólidas al no identificar individualmente y abordar eficazmente controles inadecuados sobre problemas conocidos de riesgos relacionados con la presión de los objetivos de ventas en el banco». Al hacerlo, evitaron intencionadamente escalar las preocupaciones y engañaron a los reguladores «con respecto a la eficacia de los controles sobre los riesgos relacionados con la presión de los objetivos de ventas»,...
Esta sentencia es
aviso para navegantes, porque
establece la negligencia del auditor interno, al no cumplir con su deber de no reportar ni escalar preocupaciones, riesgos y fallos e irregularidades con respecto a la eficacia de los controles sobre los riesgos (en este caso, de las presiones de los objetivos de ventas). Y también por engañar a los reguladores.
Basándonos en este argumento, cualquier auditor interno corre un riesgo, ya que no es tan sencillo identificar todos los riesgos y los que no se identifican no se pueden ni comprobar ni evidenciar, y menos aún escalar. Por ello, creo que todos los auditores internos deberían tener esta sentencia encima de su mesa
Además, todo auditor interno que de alguna manera sea indebidamente influenciado, o coaccionado, para no reportar en su informe, o vía su línea de reporte al Consejo de Administración, en cumplimiento de su deber, se puede encontrar con una sorpresa aún más desagradable si no cumple con su deber. Y entiendo muy bien las presiones que se reciben para no reportar.
Esta sentencia también resalta la importancia de la función de auditoría interna, función que la ley obliga a cumplir a las empresas que cotizan en la Bolsa de Nueva York y en el Mercado de Valores NASDAQ.
Esta función tiene responsabilidades ante el Consejo y los reguladores y no realizar el trabajo de esa función de manera diligente puede considerarse negligencia. No puedo insistir más en esto.
Así pues, el
auditor interno debe estar preparado para informar al Consejo de Administración de cualquier irregularidad o riesgo de irregularidad, y algunos pueden tener que ponerse incluso en contacto con las autoridades o reguladores.
En este reporte mi preferencia ha sido siempre que el área auditada conociera de antemano lo que iba a reportar y que era resultado de mis pruebas de auditoría. Reconozco que en situaciones delicadas cabría muy bien no actuar así.
Curiosamente, a las empresas les preocupa que cualquier irregularidad salga a la luz pública. Sin embargo, es cuando no se abordan las irregularidades y que las reporta el auditor interno, que las cosas acaban estallando muy públicamente. Tener un auditor interno que informe al Consejo de Administración puede evitar esto.
Y sí, hay personas que exponen públicamente las irregularidades de la empresa acudiendo a la prensa, los llamados denunciantes, normalmente empleados que ven algo por casualidad. Estas personas están explícitamente protegidas por la ley.
No creo que un auditor interno pueda ser un denunciante de irregularidades ante la prensa, ya que el auditor interno tiene sus propios canales de información al Consejo de Administración (e incluso a las autoridades), de acuerdo con las funciones de su cargo. No lo he visto yo misma, ni he sido consciente de que ninguno de mis colegas hiciera algo así.
Yo he reportado fraude, corrupción, soborno, y otros delitos al Consejo de Administración vía mis informes de auditoría interna y siguiendo la línea de reporte de mis jefes Responsables de Auditoría Interna. Nunca me planteé siquiera el reportar públicamente. Y reconozco que muchas veces, ni el Consejo de Administración, ni las autoridades ni los reguladores, ni tampoco los tribunales, han estado a la altura de las circunstancias. Obviamente, los ejecutivos:
Y aquí hago un inciso. Nunca he visto, en ninguna de las irregularidades y delitos que he reportado, al conserje, recepcionista, ….o cargos similares, involucrados. Lo que constantemente me he encontrado es a altos ejecutivos involucrados.
Y obviamente, estos ejecutivos no me agradecieron, en general, el haber cumplido diligentemente con mi función de auditora interna, salvo en una ocasión.
Bueno, como dice Cynthia Cooper, una de mis rol model, junto con Sherron Watkins, "no lo hacemos para que nos den las gracias". Lo hacemos para cumplir con un deber que cubre una necesidad que tienen accionistas, inversores y la sociedad en general, de asegurarse que no se cometen delitos en las empresas y que la sociedad, no sufre, en general, las consecuencias de los mismos.
Desde aquí también hago un llamamiento a legisladores, reguladores y autoridades, para proteger una función necesaria que aún hoy en día no está protegida y a cuyos profesionales muchas veces se les deja de lado, sufriendo las represalias de los ejecutivos de la empresa.
Ni la directiva europea de protección al denunciante ni PIDA (Public Interest Disclosure Act en UK) protegen al auditor interno, porque, primero, no están pensadas para proteger a un profesional cuyo deber es ir a buscar posibles irregularidades o delitos para reportarlos diligentemente al Consejo de Administración. Estas legislaciones solo tratan de promover que si una persona, un empleado, ve algo irregular por casualidad, se sienta tranquilo para reportarlo sin temor a represalias.
Y segundo, porque las empresas van unos cuantos pasos por delante de la ley, y ya tienen desarrolladas herramientas que les permiten bordear estas legislaciones, vía los llamados (eufemísticamente a veces) planes de mejora, dando mal feedback del auditor interno (que su estilo de redacción es un problema, que no sabe cómo hablar ante los altos ejecutivos…) y en general, amenazándole con socavar su carrera y su modo de supervivencia.
Y aún a pesar de mostrar evidencia ante autoridades, reguladores, tribunales, de la falsedad de dichos planes de mejora o del falso feedback, nadie los desafía. Y es curioso que los que más tratan de hundir al auditor interno son precisamente los ejecutivos del área auditada. Lo fascinante es que nadie se plantee la falsedad o trampa de información negativa que se da contra el auditor interno.
Sería como si se permitiera que un juez pueda ser evaluado por cualquiera de las partes en el juicio. Obviamente, la parte que haya perdido el juicio no hablará bien del juez. Lo que es fascinante es que estas situaciones se permitan que pasen con los auditores internos.
No digo que un auditor interno no deba ser evaluado y corregido si su desempeño no es del estándar que corresponde. No entiendo, y es difícil de defender y justificar, que la evaluación de ese desempeño tenga que hacerse por el área auditada, que pueden ser profesionales muy buenos en sus funciones, pero que no tienen ni idea de auditoría interna.
Tolerando y aceptando que estas situaciones se den, lo único que hacemos es poner en peligro los beneficios derivados de esta función de auditoría interna, tan necesaria, si no, ¿para qué la habrían puesto obligatoria para las empresas que cotizan en los mercados de Nueva York y del Nasdaq?
