a uditorÍa interna...auditoría interna disponga de pautas y crite-rios claros que le permitan...

El INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.

LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.

El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el intercambio de conocimientos entre los socios.

AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO

A U D I T O R Í A I N T E R N A

LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA

MIEMBROS DE LA COMISIÓN TÉCNICA

Marzo 2018

Instituto de Auditores Internos de España

Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es

Depósito Legal: M-5372-2018

ISBN: 978-84-945594-9-5

Diseño y maquetación: desdecero, estudio gráfico

Impresión: Grafilia

Propiedad del Instituto de Auditores Internos de España. Se permite la reproducción total o parcial y la comunicación

pública de la obra, siempre que no sea con finalidades comerciales, y siempre que se reconozca la autoría de la obra

original. No se permite la creación de obras derivadas.

3

Durante los últimos años han aumentado los requerimientos sobre la exten-sión y calidad de la información que las empresas comunican a los diferentesgrupos de interés.

Los inversores saben que el éxito de un proyecto empresarial depende cadavez más de la estrategia, de la calidad de gestión y del posicionamiento. Sonfactores que aumentan el valor de un proyecto por encima de su valor conta-ble/financiero.

La comisión técnica que ha elaborado este documento parte de un contextogeneral, definiendo la información no financiera, sus atributos y estándares,para después analizar su aseguramiento a través de la definición del alcancey responsabilidades del modelo de control interno.

A la hora de implantar una auditoría interna de la información no financierahay que considerar que el rol del área dependerá de la madurez del procesode reporting de esta información.

Estos aspectos, y las consideraciones tecnológicas para auditar indicadoresno financieros, en las que también ahonda el documento, servirán de ayuda alos auditores internos en el aseguramiento de la información no financieraante el Consejo de Administración, responsable último de toda la informa-ción publicada.

Instituto de Auditores Internos de España

5

ÍndiceINTRODUCCIÓN

La relevancia de la información no financiera ..................................................... 06

INFORMACIÓN NO FINANCIERA: DEFINICIÓN Y ATRIBUTOS

ESTÁNDARES DE INFORMACIÓN NO FINANCIERA

ASEGURAMIENTO DE LA INFORMACIÓN NO FINANCIERA

Modelo de Control Interno: alcance y responsabilidades ............................... 16

Las Tres Líneas de Defensa en el diseño del modelo de control de la información no financiera ............................................................................. 17

IMPLANTACIÓN DE UNA AUDITORÍA INTERNA DE LA INFORMACIÓN NO FINANCIERA

El rol de Auditoría Interna en la revisión de la información no financiera ....18

Competencias para auditar la información no financiera ................................ 20

Procesos para auditar indicadores no financieros .............................................. 20

Consideraciones tecnológicas para auditar indicadores no financieros ....... 25

SUPERVISIÓN POR EL CONSEJO DE ADMINISTRACIÓN

ANEXO I · EJERCICIO DE ANÁLISIS:INFORMACIÓN INCLUIDA EN EL INFORME DE RSC

ANEXO II · MARCO PARA LA SUPERVISIÓN POR EL CONSEJO DE ADMINISTRACIÓN

ANEXO III · EVOLUCIÓN DE INFORMACIÓN NO FINANCIERA

06

08

10

16

18

27

29

31

37

6

La información nofinanciera tieneimplicación directa enla planificación,ejecución y reporte dela Dirección deAuditoría Interna.

IntroducciónEste documento presenta el panorama actual,la regulación y las tendencias en informaciónno financiera, y sirve de guía en la supervisiónde dicha información por los auditores inter-nos y los Consejos de Administración.

En los siguientes apartados se presentan laevolución de la información no financiera enlos últimos años en términos de estándaresde información y regulación; las bases meto-dológicas más adecuadas para la evaluación yaseguramiento de la información no financie-ra; y recomendaciones de actuación para au-ditores internos y para el Consejo de Adminis-tración.

Los inversores y demás grupos de interés hanincrementado su demanda de información alas empresas. La información financiera no hasido suficiente para la toma de decisiones, porlo que se requiere complementarla con infor-mación no financiera para entender mejor elmodelo de negocio de cada organización, suestrategia y su posicionamiento. Esto ha ge-nerado un incremento significativo de la pu-blicación de la información corporativa porparte de las grandes empresas.

Sin embargo, en muchos casos no se ha res-pondido adecuadamente a dicha demanda,ya que se percibe que la información corpora-

tiva generada es confusa, fragmentada y des-

conectada de las decisiones. De la misma for-

ma que sucedió tras la crisis de 1929, la de fi-

nales de 1980 o tras la caída de Enron, surge

la necesidad de avanzar en la mejora de la

rendición de cuentas de las empresas.

Los reguladores defienden que una mejor in-

formación corporativa protege más al inversor

y a los mercados. Se han desarrollado diferen-

tes medidas regulatorias para controlar el

contenido de los reportes de información no

financiera. La más novedosa y relevante, debi-

do a su próxima aplicación, es la Directiva Co-

munitaria 2014/95 de Divulgación de Infor-

mación No Financiera e Información sobre Di-

versidad.

Ante la divulgación de más información y la

necesidad de mejorar la transparencia y trans-

mitir confianza a los mercados, los consejos

de Administración han aumentado su respon-

sabilidad y necesitan, entre otros, la colabora-

ción de los auditores internos para la revisión

de los nuevos reportes. La relevancia de la in-

formación no financiera tiene una implicación

directa en la planificación, ejecución y reporte

de las direcciones de Auditoría Interna.

Actualmente, el modelo empresarial respondea la necesidad de restablecer el equilibrioadecuado entre la generación de confianza,

la legitimidad social y la necesidad de bus-car nuevas fuentes de diferenciación quesean duraderas y puedan sustentar un mode-

LA RELEVANCIA DE LA INFORMACIÓN NO FINANCIERA

7

El Consejo debesupervisar toda lainformación, financierao no financiera,relevante para losstakeholders.

1. http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52017XC0705(01)&rid=5

2. https://www.cnmv.es/DocPortal/Legislacion/Guias-Tecnicas/GuiaTecnica_2017_3.pdf

lo económico y empresarial productivo y efi-ciente.

La clave del éxito es ganarse la confianza, ad-miración y respeto de los diferentes grupos deinterés y, como consecuencia, su apoyo, paralo que es imprescindible. En este proceso esimprescindible una gestión excelente de losactivos y recursos intangibles, como la co-municación, la cultura corporativa, la marca yla reputación.

Para gestionar y mejorar estos activos y recur-sos intangibles, es imprescindible que se pue-dan medir, impulsando métricas y herramien-tas que permitan definir indicadores no fi-nancieros, para analizar junto con los indica-dores financieros tradicionales.

En los informes reportados por las organiza-ciones esta información no financiera se in-cluirá junto con la financiera con el objetivoúltimo de ofrecer una mayor transparencia ygarantías a los mercados.

La Directiva 2014/95/UE, en vigor desde el 6de diciembre de 2014 pero aplicable a partirde 2018 con la información correspondienteal ejercicio 2017, cambia significativamente laforma de reportar la información no financie-ra. En julio de 2017 la Comisión Europea pu-blicó las Directrices sobre la presentación deinformes no financieros (metodología para lapresentación de información no financiera),no vinculantes, y creadas para ayudar a lassociedades a divulgar información no finan-ciera de alta calidad, útil, coherente y máscomparable1. Los beneficios de esta reformadependerán de la calidad de los informesemitidos, por lo que es necesario definir y cla-

rificar los mecanismos de supervisión de estosinformes para mejorar la transparencia de lainformación comunicada.

En noviembre de 2017 se publicó en el Bole-tín Oficial del Estado el Real Decreto-ley 18/2017, de 24 de noviembre, por el que se mo-difican el Código de Comercio, el texto refun-dido de la Ley de Sociedades de Capital apro-bado por el Real Decreto Legislativo 1/2010,de 2 de julio, y la Ley 22/2015, de 20 de julio,de Auditoría de Cuentas, en materia de infor-mación no financiera y diversidad. El objetivode este Real Decreto-ley es adaptar la norma-tiva española vigente hasta la fecha a la Di-rectiva de la Unión Europea.

En términos de gobierno corporativo, el Con-sejo de Administración debe supervisar todala información relevante para los diferentesgrupos de interés, con independencia de lanaturaleza de la información reportada (fi-nanciera o no financiera).

Así lo vió la Comisión Nacional del Mercadode Valores (CNMV) en el Código de Buen Go-bierno de las Sociedades Cotizadas publicadoen 2015, donde se incluía una recomendaciónrelativa a la supervisión de la información nofinanciera por parte de una comisión del Con-sejo de Administración.

En la práctica, muchas sociedades han optadopor atribuir esta supervisión a la Comisión deAuditoría, que se apoya en Auditoría Internapara desarrollar sus funciones. En junio de2017 la CNMV publicó la Guía Técnica 3/2017sobre Comisiones de Auditoría de Entidadesde Interés Público2, que establece como res-ponsabilidad de la Comisión de Auditoría re-

8

visar la claridad e integridad de toda la infor-mación financiera y no financiera publicadapor la sociedad.

Por todo lo expuesto, parece necesario queAuditoría Interna disponga de pautas y crite-rios claros que le permitan colaborar con los

consejos de Administración y sus comisionesen la supervisión de la información no finan-ciera.

El papel a desempeñar dependerá de la ma-durez del proceso de reporting de la informa-ción no financiera.

La información nofinanciera no estádefinida por una normade Contabilidad obasada en una normacontable.

Información no financiera: definición y atributos

3. ECCLES, R.; KRZUS, M. y SERAFEIM, G. Market Interest in Nonfinancial Information. HBS Working Paper. Septiembre2011, number: 12-018, p. 3-4.

Es complejo definir de forma consensuada lainformación no financiera ya que, en reali-dad, depende mayoritariamente de la natura-leza de la actividad de cada sociedad o delsector en que se enmarca. Normalmente sedefine como todo aquello que no es estricta-mente información financiera. Se trata de un“término amplio aplicable a toda la informa-ción destinada a accionistas y otros grupos deinterés que no está definida por una normade Contabilidad o un cálculo de una medidabasada en una norma contable3”.

El concepto ha evolucionado desde los infor-mes de gestión hasta los informes de Sosteni-bilidad o de Responsabilidad Social Corporati-va, y una de las expresiones más utilizadas re-

cientemente es el informe ambiental, social yde buen gobierno (Environmental, Social andGovernance -ESG). Probablemente, la explica-ción más exhaustiva de la información no fi-nanciera la encontramos en el estándar de in-formación, Global Reporting Initiative (GRI),que propone contenidos generales y específi-cos agrupados en las dimensiones económica,ambiental y social, y que se detalla en el si-guiente capítulo.

Integrar la información financiera y no finan-ciera para ofrecer una visión global de una or-ganización conlleva dificultades debido a ladiversidad de la información no financiera,a la hora de obtener información homogéneay comparable.

9

Esta información se caracteriza por:

· Tener orígenes muy dispares.

· Contar con unidades de medición.

· No disponer de sistemas de registro inter-

conectados entre sí.

En el Anexo I se incluye un análisis de los In-

formes de Responsabilidad Social Corporativa

bajo los estándares del Informe Integrado de

tres empresas del sector seguros. De este ejer-

cicio se desprende que la respuesta de cada

compañía es única ante el mismo reto de in-

formar al mercado, independientemente de la

metodología y los estándares adoptados.

A esta dificultad “inherente” hay que añadir

el hecho de que los estándares de la informa-

ción no financiera (véase apartado siguiente)

no presentan el mismo nivel de madurez que

los estándares de la financiera (por ejemplo,

IFRS, International Financial Reporting Stan-dards), aunque se han conseguido importan-

tes logros en los últimos años. Esto dificulta

enormemente comparar entre compañías, e

incluso dentro de una misma compañía, entre

distintos periodos de tiempo.

No obstante, la información financiera está

regulada y la no financiera no suele estarlo en

países de nuestro entorno, salvo algunas ex-

cepciones relativas a la naturaleza de las acti-

vidades (regulación sectorial) o al hecho de

ser entidades de interés público (principal-

mente sociedades cotizadas, entidades públi-

cas, sociedades de cierto tamaño o que se de-

dican a ciertas actividades reguladas).

Las Directrices sobre la presentación de infor-mes no financieros, recientemente publicadas,

constituyen un importante avance al incluir

una metodología para presentar la informa-

ción no financiera para conseguir que sea decalidad, útil, coherente y comparable.

En concreto, estas directrices identifican en sucapítulo 3 los siguientes atributos que debetener la información no financiera:

· Información significativa. Se identificanfactores a considerar para evaluar la impor-tancia relativa de la información:

- Modelo de negocio, estrategia y retosprincipales.

- Principales cuestiones sectoriales.

- Intereses y expectativas de las partes in-teresadas pertinentes.

- Impacto de las actividades.

- Factores relacionados con las políticaspúblicas y con la regulación.

· Información fiel, equilibrada y comprensi-ble. Debe reflejar de manera fiel los aspec-tos favorables y no favorables, y la informa-ción debe prepararse y presentarse de ma-nera imparcial.

· Información completa, pero concisa. Debeproporcionar una imagen completa de lasociedad en el año al que se refiere el infor-me. Debe divulgarse, como mínimo, infor-mación significativa sobre cuestiones me-dioambientales y sociales, así como relati-vas a personal, respeto de los derechos hu-manos y asuntos relativos a la lucha contrala corrupción y el soborno.

· Información estratégica y prospectiva. Seespera que ayude a conocer el modelo denegocio de una sociedad, su estrategia yejecución, y que explique las repercusionesde la información comunicada a corto, me-dio y largo plazo.

GRI proponecontenidos generales y específicos agrupadosen las dimensioneseconómica, ambiental y social.

10

· Información orientada a las partes intere-sadas. Es conveniente tener en cuenta lasnecesidades de información de todas laspartes interesadas.

· Información coherente y sistemática. De-be ser coherente con otros elementos delinforme de gestión.

La aplicación de estándares con mayor gradode madurez en los reportes de informaciónpermite que ésta sea más rica y detallada, yaque:

· permite comparar mejor su evolución a tra-vés de los periodos en una misma empresa,

· posibilita comparar indicadores cuantitati-vos de distintas organizaciones, y

· dota a los actores del mercado de herra-mientas mejores y más transparentes paratomar decisiones.

Hay 5 estándares de información no financie-ra que, en términos de madurez y nivel deadopción, pueden considerarse como referen-cias a escala mundial:

· Global Reporting Initiative (GRI).

· Comunicaciones de Progreso del PactoMundial de Naciones Unidas.

· Informes específicos sobre emisiones de ga-ses de efecto invernadero de CDP.

· Las nuevas normas SASB - SustainabilityAccounting Standards.

· El marco de informes integrados de Inter-

national Integrated Reporting Council (en

adelante IIRC).

Adicionalmente, se incluye un resumen de las

exigencias derivadas de la nueva directiva de

información no financiera aprobada por el

Consejo de la Unión Europea.

Global Reporting Initiative (GRI)

Creado por CERES (Coalition for Enviromen-

tally Responsible Economies) a finales de los

90 con apoyo financiero de las Naciones Uni-

das, hoy es el modelo de reporte más seguido

en todo el mundo.

En España, el 94% de los informes de infor-

mación no financiera que publican las cien

primeras compañías siguen este estándar.

Estándares de información no financiera

11

4. El conjunto de principios y aspectos requeridos por la guía G4 de GRI puede consultarse en la web: https://www.glo-balreporting.org/resourcelibrary/GRIG4-Part1-Reporting-Principles-and-Standard-Disclosures.pdf

5. https://www.unglobalcompact.org/participation/report/cop

Este estándar guía a las empresas en la ela-boración de informes corporativos sobre losimpactos ambientales, sociales y económicos.Estos informes, generalmente publicados bajola denominación de Informes de Sostenibili-dad, presentan de forma estructurada infor-mación cualitativa –valores, gobierno y vincu-lación de la estrategia con los objetivos dedesarrollo sostenible–y cuantitativa, en formade indicadores de desempeño.

Su éxito radica en desarrollar el contenido delinforme usando un set de indicadores cuanti-tativos que pueden contextualizarse en unaestructura flexible de información cualitativa.Esta característica favorece que las empresasconstruyan su propia y diferenciada “historia”alrededor del informe, conservando las posibi-lidades de comparación que ofrece el uso deindicadores definidos.

Desde su creación, sucesivas actualizacioneshan creado 4 versiones del estándar. La últi-ma versión, denominada G44, se compone dediez principios y define indicadores sobre 46aspectos diferentes.

Comunicaciones de Progreso del Pac-to Mundial de Naciones Unidas

Creado en el año 2000, el Pacto Mundial es-tablece diez principios para alinear el compro-miso de las organizaciones con las priorida-des de la Naciones Unidas. Los firmantes secomprometen a promover su cumplimiento ydeben reportar anualmente sus avances a tra-

EVOLUCIÓN DEL NÚMERO DE INFORMES PUBLICADOS CONFORME A LAS DISTINTAS VERSIONES DE GRI

2001

2002

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2000

1999

4000

3500

3000

2500

2000

1500

1000

500

0

GRI - G1 GRI - G2 GRI - G3 GRI - G3.1 GRI - G4

Fuente: Elaboración propia

vés de un documento denominado Informe deProgreso, más conocido por sus siglas en in-glés CoP - Communication on Progress.

Aunque en un principio los informes de pro-greso no tenían una estructura pautada, elsistema de Naciones Unidas ha desarrolladouna política propia5, así como mecanismospuente con otros estándares de reporting co-mo GRI.

12

Su importancia radica en el importante núme-ro de compañías que han suscrito estos prin-cipios en el mundo –más de 20.000, cerca de1.500 en España– y en la diversidad de tama-ño que tienen las organizaciones adheridas.

La política de adhesión al Pacto Mundial esta-blece los contenidos mínimos que deben in-cluirse en el CoP:

· Comunicado expreso por parte de la orga-nización de su apoyo continuo al PactoMundial de Naciones Unidas y la renova-ción constante de su compromiso por partedel primer ejecutivo.

· Descripción de acciones prácticas que laempresa ha adoptado o piensa adoptar pa-ra aplicar los diez principios en cada área(derechos humanos, trabajo, medio am-biente, lucha contra la corrupción).

· Indicadores que muestren los progresos ob-tenidos en los resultados.

Cada organización desarrolla su CoP según elgrado de avance de sus prácticas y sistemasde información en alguno de los siguientesniveles de aplicación:

· GC Learner: durante los primeros 12 mesesde adhesión al Pacto Mundial, las organiza-ciones gozan de 12 meses de “periodo degracia” (denominación del Pacto Mundial),en el que se permite que el CoP no cumplaalguno de los requisitos indicados más arri-ba.

· GC Active: el CoP cumple todos los requisi-tos indicados anteriormente.

· GC Advanced: además de cumplir con to-dos los requisitos, la organización realizauna autoevaluación más exhaustiva6.

En la actualidad, el80% de los firmantesdel Pacto Mundialrealiza su CoP en elnivel Active

6. https://www.unglobalcompact.org/docs/communication_on_progress/GC_Advanced_COP_selfassessment_ES.pdf

En la actualidad, el 80% de los firmantes delPacto Mundial realiza su CoP en el nivel Acti-ve.

Advanced: 1.825

7% 13%

80%

Learner: 3.636

Active: 21.414

NIVEL DE APLICACIÓN DE CoP


Informes específicos sobre emisionesde gases de efecto invernadero: CDP

Anteriormente denominada Carbon Disclosu-re Project, tiene sede en el Reino Unido y tra-

baja con inversores y compañías. Inicialmente

nació para promover la transparencia sobre

emisiones de gases de efecto invernadero, pe-

ro ha ampliado su espectro de actuación para

cubrir también aspectos como el agua, los

bosques y las cadenas de suministro.

CDP dispone de cuatro modelos de evalua-

ción, entre los que destacan:

· Climate Change: cuestionario que recoge

información sobre las políticas y el desem-

13

peño ambiental de las empresas para po-nerla a disposición de inversores institucio-nales, que la incorporan a sus sistemas deevaluación de riesgos.

· Supply Chain: es otro cuestionario, integra-do con el de Climate Change (algunas pre-guntas son comunes), en el que se recogeinformación sobre el desempeño ambientalvinculado a las actividades concretas queuna empresa realiza para su cliente. Recogela información de más de 4.000 empresasde todo el mundo.

Las nuevas normas SASB - Sustainabi-lity Accounting Standards

Es una organización estadounidense sin finesde lucro que desarrolla y difunde normas queayuden a las empresas cotizadas a informarsobre aspectos no financieros de interés paralos inversores.

Desde 2013, ha publicado guías sectorialespara ayudar a las empresas a identificar losfactores de sostenibilidad que son importan-tes para la organización, y proporcionan unmodelo para la presentación de informes útilpara los inversores.

Se pretende que las empresas que cotizan enla SEC usen las normas SASB para cumplircon información relevante a incluir en sus de-claraciones, y para comprender y mejorar elrendimiento de los factores que más puedanafectar a la capacidad para crear valor.

Sus normas se estructuran en dos partes: (1)orientación - divulgación y (2) las normas pa-ra el uso en sus declaraciones anuales (For-mulario 10-K o 20-F) que ayuden a asegurarque la divulgación es estandarizada, pertinen-te, comparable y completa.

El marco de informes integrados delIIRC - International Integrated Repor-ting Council

Es una coalición mundial de reguladores, in-versores, empresas, organismos de normaliza-ción, la profesión contable y organizacionesno gubernamentales. Se creó en 2011 en res-puesta a las reclamaciones por parte de la co-munidad de inversores ante la falta de infor-mación útil para realizar una valoración razo-nada que permita tomar decisiones de inver-sión fundadas sobre las empresas. La coali-ción promueve la comunicación de la creaciónde valor como el siguiente paso en la evolu-ción de la información empresarial.

El IIRC publicó la versión definitiva de su guíade reporte a finales de 2014.

A diferencia de los demás estándares, que sebasan más en indicadores, la guía de IIRCaplica principios y conceptos que se centranen lograr mayor cohesión y eficacia en la ela-boración de informes y adoptar un “pensa-miento integrado”, como una forma de rom-per los silos internos departamentales y redu-cir la duplicación de la información que seofrece al mercado.

Es decir, el marco establece principios y conte-nidos para realizar el informe, no indicadores,e identifica la información a incluir para eva-luar la habilidad de la organización para crearvalor. Su enfoque tiene como punto de parti-da la creación de valor y los “capitales” utili-zados por la empresa para crearlo con eltiempo.

El éxito de IIRC radica en el efecto tractor y lainfluencia que ha ejercido sobre los regulado-res de todo el mundo, que han tomado laguía de <IR> como referencia a la hora de

La guía de IIRC aplicaconceptos para lograrmás cohesión y eficaciaen los informes yadoptar un“pensamientointegrado”

14

Nueva directiva de información no fi-nanciera

La aprobación de la Directiva 2014/95/UE so-bre la divulgación de información no financie-ra por parte del Consejo de la Unión Europea,ha supuesto un hito en el reporte de la infor-mación no financiera de las grandes empresaseuropeas ya que, bajo el principio de cumpliro explicar, se calcula que aplicará a más de10.000 empresas en Europa.

El nuevo informe cubre tres áreas: informa-ción económica, social y medioambiental. Así,la Directiva exige a las empresas desglosar in-formación sobre políticas, riesgos y aspectosrelacionados con asuntos medioambientales,sociales, laborales, de derechos humanos, lu-cha contra la corrupción y diversidad del Con-sejo de Administración.

La Directiva contempla dos formas de cumpli-miento:

· Inclusión de un “estado no financiero” enel Informe de Gestión que incluya, al me-nos, la información que se detalla en elgráfico de la página siguiente.

· La existencia de informes no financieros se-parados basados en marcos de referencia ypublicados conjuntamente con el Informede Gestión en un plazo inferior a seis me-ses.

El objetivo de la UE es que la mayor transpa-rencia y exposición pública de las empresasconlleve mecanismos de competitividad entreellas y establezca incentivos que contribuyana una mejor gestión de los riesgos y las opor-tunidades de carácter no financiero. En últimotérmino, que contribuya eficazmente a la

7. http://integratedreporting.org/when-advocate-for-global-adoption/find-out-what-is-happening-in-your-region/

¿Se califica su informe anual como Informe Integradoo sigue las pautas del IIRC?

55% NO

3% NO se califica como integradopero hace referencia a las pautas del IIRC

2% NO se califica como integradopero hace referencia a la tendencia hacia el modelo integrado

9% SÍ se califica como integradopero no sigue las pautas del IIRC

31% SÍ se califica como integradoy sigue las pautas del IIRC

Número actual de informes integrados: Top países

91

Sudáfrica Holanda

Base: N100 empresas

27 2721 13

España Japón Suecia

EVOLUCIÓN EN LA ADOPCIÓN DEL INFORME INTEGRADO COMO ESTÁNDAR DE REPORTE

Fuente: KPMG, Survey of Corporate Responsibility Reporting, 2015

desarrollar normativas de reporte no financiero. Actualmente múltiples países alrededor del mun-do7 han adoptado el IIRC.

15

creación de empleo y al crecimiento económi-co a largo plazo.

Existe una clara diferencia entre esta Directivay el informe integrado. La primera se centraen desgloses financieros y sociales, mientrasque el informe integrado va más allá, requi-riendo la integración de la información finan-

ciera, medioambiental, social y otra informa-ción de manera comprensiva y coherente.

A continuación, se incluye un resumen de losrequisitos de la Directiva 2014/95/UE. Se re-presentan los asuntos que deben tratarse ylos contenidos que deben tener cada uno deellos.

El informe integradorequiere integrar lainformación financieracon la social,ambiental, etc., deforma comprensiva ycoherente

ASUNTOS

Med

io

ambi

ente

Socia

les

Perso

nal

Dere

chos

hu

man

os

Corru

pció

n y s

obor

no

Dive

rsida

d en

órg

anos

Modelo de negocio

Políticas + debida diligencia

Resultados y situación

Riesgos

Impacto

Indicadores clave

CON

TEN

IDO

S

REQUISITOS DE LA NUEVA DIRECTIVA


La Directiva todavía presenta algunas incógni-tas, fundamentalmente vinculadas a las deci-siones que tome cada país miembro de la UEen la trasposición (por ejemplo, tienen la li-bertad de exigir o no la verificación de la in-formación no financiera por parte de un ter-cero independiente), y a la metodología apli-cable.

El 25 de noviembre del 2017, el BOE publicóel Real Decreto-ley 18/2017 que modificó elCódigo de Comercio y la Ley de Sociedadesde Capital con el objetivo de adaptarlas a laDirectiva de la Unión Europea. En lo que serefiere a la verificación de la información nofinanciera por parte de un tercero, se estable-

ce que los auditores de cuentas únicamentedeben comprobar que se haya facilitado el es-tado de información no financiera.

En España, a partir de 2017 las Entidades deInterés Público deben informar de su compro-miso en materia medioambiental y social (se-gún la legislación nacional, son Entidades deInterés Público las empresas cotizadas, las en-tidades financieras, las compañías de segurosy aquellas que sin ser de las enumeradas an-teriormente tengan un número medio de em-pleados mayor a 500, un balance de más de20 millones de euros o unos ingresos superio-res a 40 millones de euros anuales).

16

Si bien desde el punto de vista teórico el con-cepto de control interno ha evolucionado,desde el punto de vista práctico existen im-portantes diferencias entre el control internosobre la información financiera y el control in-terno sobre la información no financiera. Eneste contexto cabe reflexionar sobre lo si-guiente: ¿cuántas organizaciones empresaria-les incluyen en su modelo de control internola información no financiera?

Según la encuesta Sabor del Mes elaboradapor el Instituto de Auditores Internos al res-pecto en mayo de 2015:

· En el 11% de las compañías no existe unmodelo formalmente definido de control in-terno, ni sobre la información financiera nisobre la información no financiera.

· En el 30%, el modelo de control internoexistente es el mismo sobre la informaciónfinanciera y la no financiera.

· En el 59%, existe un modelo sobre la infor-mación financiera, pero no sobre la infor-mación no financiera.

En el mismo estudio se desprende que solo el27% de las compañías encuestadas define elcontrol interno sobre la información no finan-ciera en su organización como control gestio-

nado, mientras que el 39% indica que existencontroles no documentados, y el 5% indicaque no es parte de la cultura de la organiza-ción. Los consejos de administración jueganun importante papel en la supervisión delcontenido de los informes reportados por lascompañías. Por lo tanto, el desarrollo de unmodelo de Control Interno sólido es funda-mental, y que éste sea efectivo y eficiente seha convertido en un objetivo prioritario enmateria de gobierno corporativo8.

En relación a la información financiera, lascompañías han realizado un importante es-fuerzo durante los últimos años para desarro-llar un modelo de control interno sólido (engran medida motivado por la regulación, fun-damentalmente por la ley Sarbanes-Oxley).Sin embargo, en un contexto donde la infor-mación no financiera gana más relevancia, sedebería ampliar el alcance del control interno.

En 2013 el Committee of Sponsoring Organi-zations of the Treadway Commission (COSO)publicó la segunda versión de su Marco Inte-grado de Control Interno (COSO 2013). Sibien no cambia la definición de control inter-no, los objetivos son más amplios que el cum-plimiento del reporting financiero, incluyendo,entre otros, la información no financiera9.

Existen importantesdiferencias entre elcontrol interno sobre lainformación nofinanciera y sobre la no financiera

Aseguramiento de la información no financiera

MODELO DE CONTROL INTERNO: ALCANCE Y RESPONSABILIDADES

8. HILB, M., 2005. New Corporate Governance: from good guidelines to great practice. Corporate Governance, 13 (5), p. 569-581.

9. RITTENBERG, L y CAMPBELL, L.. COSO Internal Control. Integrated Framework. Turning principles into positive action.Florida. Institute of Internal Auditors Research Foundation. 2013. ISBN 0894137425

17

Dentro de los objetivos de información se ha-ce referencia a la información financiera y nofinanciera, interna y externa, y abarca aspec-tos de confiabilidad, oportunidad, transparen-

cia y otros conceptos establecidos por los re-guladores, organismos reconocidos o políticasde la propia entidad.

LAS TRES LÍNEAS DE DEFENSA EN EL DISEÑO DEL MODELO DE CONTROL DE LA INFORMACIÓN NO FINANCIERA La Confederación Europea de Institutos deAuditores Internos (ECIIA, por sus siglas eninglés)promueve la aplicación del Modelo de

Tres Líneas de Defensa en el proceso de re-porting de la información no financiera10.

10. ECIIA. Non-Financial Reporting: Building trust with internal audit.

Responsables de recolectar los da-tos e implementar el programa anticorrupción. Controlan el proceso y realizan ac-ciones correctivas si es necesario.

Responsables de recolectar los da-tos sobre aspectos medioambienta-les y definir los principales indicado-res.Controlan el proceso y realizan ac-ciones correctivas si es necesario.

Responsables de recolectar los da-tos sobre asuntos sociales.Controlan el proceso y realizan ac-ciones correctivas si es necesario.

FUNCIONES DE LAS LÍNEAS DE DEFENSA PARA CADA BLOQUE DE INFORMACIÓN NO FINANCIERA A REPORTAR*

ECONÓMICO

PRIM

ERA

LÍN

EASE

GU

NDA

LÍ

NEA

TERC

ERA

LÍN

EA

AMBIENTAL SOCIAL

Definen el formato del reporte. Con-trolan el proceso y asisten a la Pri-mera Línea. Cumplimiento desarrollael proceso para recopilar los datos.

Definen el formato del reporte. Con-trolan el proceso y asisten a la Pri-mera Línea. Seguridad desarrolla elproceso para recopilar los datos.

Definen el formato del reporte.Controlan el proceso y asisten a laPrimera Línea. Recursos Humanosdesarrolla el proceso para recopilarlos datos.

Proporciona aseguramiento sobre la efectividad de la organización en asegurar y gestionar los riesgos y sistemas decontrol interno relacionado, incluyendo la forma en la que operan la Primera y Segunda Línea de Defensa.

* Conforme a las exigencias de la Directiva Europea sobre divulgación de información no financiera (ver detalle en apartado 3.3)

Fuente: ECIIA. Non-Financial Reporting: Building trust with internal audit, p.9

Dependerá de la madurez del proceso de re-porting de esta información. ECIIA distinguedos roles11:

- En empresas en una fase temprana deimplementación de reportings de informa-ción no financiera, Auditoría Interna jugaríaun rol de consultor y revisaría el programade gestión del cambio implantado con el

fin de asesorar sobre si los objetivos delprograma cubren las necesidades de repor-ting.

- En empresas con un proceso implantadode reporting de información no financiera,Auditoría Interna desarrollaría un rol deasegurador.

18

En relación a la información no financiera, lasresponsabilidades de cada Línea de Defensason las siguientes:

· La Primera Línea de Defensa posee la in-formación no financiera y es responsablede los informes emitidos en esta materia.

· La Segunda Línea de Defensa facilita ycontrola la implementación de un procesoefectivo de reporting de la información nofinanciera.

· Auditoría Interna, como Tercera Línea deDefensa, proporciona una garantía inde-pendiente al Consejo de Administración ydemás órganos de gobierno. Respecto alproceso de reporting de la información no

financiera y sus desgloses, Auditoría Internapuede proporcionar garantías de que losriesgos están siendo mitigados mediantecontroles implementados al encontrar nue-vos interlocutores con la Segunda Línea deDefensa. También deberá encontrar siner-gias y alternativas de planificación con de-partamentos como Calidad, Compliance,Comunicación Corporativa, Asuntos Públi-cos, Recursos Humanos, ResponsabilidadSocial/Sostenibilidad y Reputación Corpora-tiva, Seguridad de Información, Prevenciónsobre higiene, seguridad, y salud ocupacio-nal, Asesoría Jurídica y con Gestión de Ries-gos.

Como Tercera Línea de Defensa, AuditoríaInterna proporcionauna garantíaindependiente al Consejo deAdministracióny otros órganos

Implantación de una auditoría internade la información no financiera

EL ROL DE AUDITORÍA INTERNA EN LA REVISIÓN DE LA INFORMACIÓN NO FINANCIERA

11. ECIIA. Non-Financial Reporting: Building trust with internal audit.

19

ROL DE CONSULTOR

- Formación sobre las nuevas exigencias de reporte de información no financiera.

- Emisión de recomendaciones para adaptarse a los cambios.

- Promover coordinación entre las distintas áreas involucradas (tomando como base el Modelo de las Tres Líneas de Defensa).

- Revisar, junto con la Segunda Línea de Defensa, el diseño de los controles establecidos.

ROL DE ASEGURADOR

- Definir la confianza y colaboración con otras líneas (aseguramiento combinado).

- Revisar el proceso de reporting (riesgos y controles internos).

- Asegurar la efectividad y eficiencia del proceso.

- Emitir recomendaciones para reducir los riesgos de información incorrecta y fomentar la creación de valor.

A continuación, se incluyen ejemplos reales del rol desempeñado por Auditoría Interna en dife-rentes procesos de revisión de información no financiera en distintas empresas:


Fuente: Chartered Institute of Internal Auditors. The role of Internal Audit in non-financial and integrated reporting, Julio 2015

The Crown Estate Informe Integrado

SAB Miller Informe Anual

Philips Informe Integrado

Marks and SpencerInforme de Sostenibilidad

La compañía estableció un plan a tres años para definir el enfoque del informeintegrado. Auditoría Interna se involucró en el segundo año trabajando conjun-tamente con una firma de auditoría. El principal reto fue identificar qué infor-mación debería considerarse en base a su materialidad. Se concluyó que la in-formación material era aquella importante para el Consejo de Administración,con independencia de la naturaleza de la misma.

Auditoría Interna realizó una revisión de la información narrativa que acompañalas cuentas para concluir si el informe anual era justo, equilibrado y comprensi-ble y si proporcionaba la información necesaria para los accionistas sobre eldesempeño, el modelo de negocio y la estrategia de la Sociedad.A partir de su revisión, el informe anual incluye un manifiesto confirmando ex-presamente lo anterior.

La revisión de la información incluida en el informe integrado ha ido evolucio-nando a lo largo de los ejercicios. En su primer año de emisión, el informe inte-grado contó con una revisión limitada de la información no financiera por partedel auditor de cuentas. Posteriormente, se inició un proyecto para incrementarel nivel de aseguramiento. Auditoría Interna contrató a un especialista con elobjetivo de ir asumiendo la revisión realizada por el auditor hasta la fecha.

Auditoría Interna trabajó conjuntamente con el auditor de cuentas en la revi-sión de la información. Este se centró en la revisión de los indicadores con ma-yor impacto para los accionistas y Auditoría Interna, en el resto.

EMPRESA INFORME REVISADO ROL DE AUDITORÍA INTERNA

20

El aseguramiento de la información no finan-ciera es un área en desarrollo. El perfil del au-ditor interno deberá enriquecerse para poderrevisar áreas específicas y distintas a las co-múnmente revisadas. Será necesario reforzarlos equipos y formarlos con capacidades nue-vas para asumir los nuevos retos y detectaroportunidades de mejora.

El equipo de Auditoria Interna deberá contarcon competencias técnicas sobre estándaresde reportes de información no financiera parael correcto cálculo de reportes técnicos espe-cíficos como cálculos de huella hídrica o decarbono, metodologías de medición de ries-gos, y la gestión de intangibles.

Esta experiencia técnica implica conocer lasprácticas de departamentos usualmente nocubiertos por actividades de aseguramientode Auditoría Interna.

El auditor interno, con equipos cada vez másmultidisciplinares, deberá reforzar habilidadesen:

• Nuevas metodologías de compilación, va-loración y control en nuevas disciplinas

que impactan en la planificación, la ejecu-ción y soporte de evidencia de control y elreporte. El uso de expertos externos apoya-rá el desarrollo de esta competencia.

• Reforzar su confidencialidad al comenzara tratar información a futuro sensible, espe-cialmente crítica en el ámbito de riesgossobre objetivos estratégicos y nuevos pro-yectos de inversión.

• Revisar su independencia de actualizaciónante la información no financiera, garanti-zando no haber participado en la prepara-ción de la información analizada. Esta com-petencia puede ser crítica en departamen-tos que compartan funciones de Gestión deRiesgos con Auditoria Interna.

• Mejorar competencias en otras cuestionescomo la documentación de evidencias di-versas, la negociación de planes de accióncomplejos, las habilidades analíticas al vi-sualizar nuevos riesgos e interacciones, y lacomunicación a áreas generalmente conmenor contacto y confianza previa.

El auditor internorevisará suindependencia deactualización,garantizando no haberparticipado en lapreparación de lainformación analizada

COMPETENCIAS PARA AUDITAR LA INFORMACIÓN NO FINANCIERA

PROCESOS PARA AUDITAR INDICADORES NO FINANCIEROSEn la práctica, deben tenerse en cuenta mu-

chas consideraciones para el aseguramiento

de la información no financiera. A continua-

ción se incluyen recomendaciones para el tra-

bajo de campo del auditor interno.

La metodología distingue 5 pasos a tener en

cuenta para auditar (con un rol de asegura-

dor) la información no financiera.

Determinación del alcance y orienta-ción al riesgo

Las organizaciones tienen el desafío de ges-tionar el volumen y la complejidad de infor-mación ambiental, social, de transformación,modelos de negocios y sus riesgos. Por su di-versa naturaleza, no toda la información nofinanciera tiene la misma relevancia y las mis-

21

mas consecuencias de incumplimiento. Losriesgos de producir y de comunicar demasia-da información no financiera no son siempretomados en cuenta, y los atributos de mate-rialidad e integridad deben complementar losde la información financiera.

El alcance debe determinarse a partir de unmapa de riesgos que asegure que los objeti-vos del correcto reporte se ajustan al coste delos esfuerzos de control.

Recomendamos comenzar con un mapa dealcance del trabajo en función de riesgos deincorrecta toma de decisiones y de no confor-midad con requerimientos internos y externos.Se proponen dos alternativas: basada en pro-cesos y basada en reportes emitidos. Ambaspermitirían justificar el Plan Anual de Audito-ría y facilitar su aprobación por la Comisiónde Auditoría.

A) ALTERNATIVA BASADA EN PROCESOS

El punto de partida para configurar losmapas de aseguramiento son los procesosque gestionan la información no financie-ra. Los pasos a seguir son los siguientes:

· Identificación de los principales proce-sos vinculados a la preparación de losreporting de información no financiera.A cada uno de los procesos identifica-dos se le asociará un riesgo.

· Identificación de los agentes involucra-dos en la implantación de cada uno delos procesos, tomando como base elModelo de las Tres Líneas de Defensa.

· Evaluación del riesgo por cada agenteintegrante de la Segunda Línea de De-fensa. Para ello podría considerarse unaescala del 1 al 5 (representando 1 unriesgo muy bajo y 5 uno muy alto).

· Ponderación de los riesgos identificadospor la Segunda Línea de Defensa. Paracada riesgo se obtendrá una evaluaciónmedia y ésta determinará las áreas demayor riesgo en las que deberá centrar-se la Tercera Línea de Defensa. Los re-sultados podrían categorizarse en tresniveles: riesgo bajo (niveles 1-2), riesgomedio (nivel 3) y riesgo alto (niveles 4-5). Así el auditor interno podrá enfocarsu Plan de Auditoría Interna en los pro-cesos que presentan un mayor riesgo.

EJEMPLO DEL MAPA DE RIESGO PROPUESTO SEGÚN ALTERNATIVA BASADA EN PROCESOS

CICLO Y RIESGOACTIVIDAD PRINCIPAL DESCRIPCIÓN DEL RIESGO

SEGUNDA LÍNEA DE DEFENSATERCERA

LÍNEA


CONTROL SEGURIDAD COMPLIANCE SISTEMAINTERNO DE LA INTEGRAL

INFORMACIÓN DE GESTIÓN

Comunicaciónanual

del ReporteSocial

Estratégico

Operacional

De Información

De Compliance

Gestión de Recursos Humanos no alineada a la estrategia comunicada

Consolidación incorrecta de datos

Inconsistente definición del concepto empleado

Incumplimiento de comunicación de hechos relevantes

NÓMINA - DUEÑO DEL PROCESO: RECURSOS HUMANOS

3 4 332

4 3 333

1 1 111

5 4 4,545

22

Este enfoque permite identificar a los agentesinvolucrados en la revisión de los principalesprocesos que generan información no finan-ciera y facilitar así un aseguramiento combi-nado. Permite optimizar el trabajo de asegu-ramiento al comparar el total de los riesgosevaluados en las líneas de defensa con unatolerancia consensuada con el dueño del pro-ceso y alineada a la establecida por el Conse-jo de Administración.

B) ALTERNATIVA BASADA EN REPORTES

Bajo este enfoque, el punto de partidapara la configuración del mapa de riesgoson los distintos informes que se generanen la actualidad y contienen informaciónno financiera.

Los pasos a seguir para configurar los ma-pas son:

· Preparación de un inventario de infor-mación no financiera producida por lasdistintas áreas de la empresa en modode reportes, incluyendo, como ejemplo,comunicación corporativa, responsabili-dad social corporativa/sostenibilidad,reputación corporativa, asuntos públi-cos, desarrollo de negocios, gestión deriesgos, recursos humanos y departa-mentos técnicos.

· A cada uno de los informes incluidos eneste inventario se le asignará un dueño,responsable último de su elaboración.Se identificará el marco normativo quele aplica, la periodicidad de su publica-ción y el destino del mismo (pudiendoser un informe de uso interno o exter-no).

· A partir de entrevistas realizadas conlos dueños de cada proceso, se identifi-carán los controles existentes y las vali-daciones internas o externas realizadassobre ellos. En base a lo anterior, seasignará un coste estimado promediode error o fraude.

· Se asignará la probabilidad de error ofraude, que es la estimación de la canti-dad de eventos que esperemos se ma-terialicen en el horizonte de tiempo uti-lizado para el ejercicio (horizonte quedependerá de la periodicidad con laque se efectúe el análisis completo).Tienen una probabilidad más elevadalos procesos con límites técnicos en elmétodo de cálculo que garanticen sufiabilidad. Cuando la información segenera en diferentes sitios y se compilaa través de mecanismos de comunica-ción complejos aumenta la probabili-dad de fraude y error.

La informacióngenerada en variossitios y compilada conmecanismos decomunicacióncomplejos aumenta laprobabilidad de fraudey error

COSTO ESTIMADO PROBABILIDADREPORTE DUEÑO MARCO PERIODICIDAD DESTINO PROMEDIO DE DE ERROR O EXPOSICIÓN

ERROR O FRAUDE FRAUDE INTERNO A 3 AÑOS


Responsabilidad Director Política deSocial RSC sostenibilidad y RSC Anual Externo 500k 20% 100k

Informe huella Directorde carbono técnico ISO 14067 Trim Interno 40k 50% 20k

Reporte Política GRde riesgo CRO ISO 31000 Trim Interno 400k 10% 40k

EJEMPLO DEL MAPA DE RIESGO PROPUESTO SEGÚN ALTERNATIVA BASADA EN REPORTES

23

La exposición resultante, expresada en térmi-nos monetarios (resultado de aplicar la pro-babilidad de error al coste estimado promediode error), será la base para determinar los in-formes a revisar por parte de Auditoría Inter-na y el alcance de la revisión se basará en losriesgos de mal reporte de la información. Elalcance así calculado deberá ser aprobadopor la Comisión de Auditoría para priorizar lasacciones del año.

Planificación

La etapa de planificación consiste en incorpo-rar la revisión de la información no financieraen los programas de Auditoría Interna.

La integración del aseguramiento de esta in-formación con la financiera mejorará la comu-nicación y la coordinación entre departamen-tos con equipos multidisciplinares. Solo el

buen entendimiento de los marcos, alcance,competencias, materialidad, y destinatarios dela información financiera y de la no financie-ra, permite al auditor interno planear sus pro-gramas de trabajo para evitar duplicar tareasde aseguramiento.

La periodicidad de los reportes con informa-ción no financiera identificada en el mapa deriesgos propuesto ayudará a organizar las ta-reas de revisión en la planificación del depar-tamento.

La planificación debe definir el procedimientode Auditoría Interna a seguir para asegurarlos reportes finales con información no finan-ciera, por ejemplo, re-performance de cálcu-los, metodología seguida o revisión de conte-nidos, verificación de supuestos e hipótesis.Estos procedimientos darán como resultadoun programa de trabajo de Auditoría Interna.

REPORTE INDICADORES ALCANZADOS 1T 2T 3T 4T


Responsabilidad Relaciones con la comunidad AuditoríaSocial y programas sociales. completa

Datos socio económicos de plantilla.Desarrollo con proveedores.

Performance de salud y seguridad.

Reporte de riesgo Mapa de riesgos de contratos clave. Auditoría AuditoríaMapa de riesgos de proyectos

del plan de desarrollo.

Informe huella Auditoría de carbono limitada

EJEMPLO DEL MAPA DE RIESGO PROPUESTO SEGÚN ALTERNATIVA BASADA EN REPORTES

Obtención de la evidencia

En la etapa de determinación del alcance, elmarco de control identificado da al auditor in-terno el estándar para comparar la evidenciaefectuada. En esta etapa se debe asegurar la

existencia de un marco de cálculo y reporteadecuado, conocimiento técnico y correctaformalización y aprobación.

La formalización del cálculo y el reporting apartir de normas internas y estándares inter-

24

nacionales permiten dar a la información no

financiera un uso sin ambigüedad, consisten-

te y transparente de términos y definiciones.

La evidencia debe corroborar que se cumple

con los objetivos de integridad, materialidad y

capacidad de respuesta a las necesidades de

los destinatarios, especialmente en el proceso

de medición. La evidencia garantizará el nivel

de suficiencia, competencia y relevancia sufi-

cientes para inferir el nivel de control del pro-

ceso en general y sostener eventuales reco-

mendaciones.

Cuando la evidencia está basada en factores

cualitativos y cuantitativos se produce un de-

safío particular. Tradicionalmente, el auditor

interno obtiene evidencias sobre factores

cuantitativos en el momento de analizar la in-

formación financiera. Los soportes basados en

factores cualitativos, como opiniones subjeti-

vas sobre eventos y riesgos futuros, requieren

que el auditor interno obtenga y documente

evidencias externas a su organización, como

la comparación con estándares de industria.

Análisis de resultados de pruebas decumplimiento y recomendaciones deplanes de mejoras

El análisis de la evidencia, de las recomenda-

ciones, del consenso y de la comunicación de

planes de mejoras es particularmente desa-

fiante en la información no financiera.

El reporte de revisión y auditoría de informa-

ción no financiera deberá tener los mismos

requisitos de calidad que el resto de proyec-

tos emprendidos por Auditoría Interna.

El análisis de resultados y la evaluación de

deficiencias deben comunicarse de forma

consistente entre periodos analizados y los in-tervinientes.

Recomendamos que el auditor interno analicelos resultados en base a las siguientes pre-guntas:

· ¿Toda la información no financiera produci-da es material para asegurar las decisionesde todos los destinatarios implicados paraalcanzar los objetivos estratégicos? (inte-gridad y materialidad).

· ¿Toda la información no financiera incluyelos aspectos positivos y negativos del rendi-miento de la organización? (balance).

· ¿Toda la información no financiera está tra-tada y presentada consistentemente paraque todos los destinatarios implicados pue-dan analizarla históricamente? (compara-bilidad).

· ¿Toda la información no financiera está su-ficientemente detallada para evaluar el ren-dimiento de la organización por todos losdestinatarios implicados? (precisión).

· ¿Toda la información no financiera se ge-neró antes de las decisiones de los destina-tarios implicados de acuerdo a un crono-grama regular? (oportunidad).

· ¿Toda la información no financiera es claray accesible para el conocimiento de los des-tinatarios implicados? (claridad).

· ¿Toda la información no financiera está do-cumentada y clara para garantizar un co-rrecto nivel de calidad y trazabilidad? (do-cumentación).

Reevaluación de proceso

Tras la revisión de indicadores, es recomenda-ble que Auditoría Interna confirme que loselementos del plan de trabajo de asegura-miento han funcionado efectivamente, como

Los soportes basadosen factores cualitativosrequieren evidenciasexternas, como lacomparación conestándares de laindustria

25

se había planeado en sus objetivos. En el pró-ximo periodo de revisión, se recomienda efec-tuar un ajuste si se detectan desvíos sobre elalcance efectivo, los recursos dedicados, losavances de los planes de remediaciones yotras medidas de eficiencia.

Se debe controlar la evolución de los reportespara determinar el universo auditable del pró-ximo Plan de Auditoria Interna, así como laevolución de los requerimientos normativos yde comunicación.

Se recomienda que elauditor interno empleetecnología para revisary generar indicadoresde información nofinanciera

CONSIDERACIONES TECNOLÓGICAS PARA AUDITAR INDICADORESNO FINANCIEROS

La tecnología tiene una gran influencia en elaseguramiento de la información no financie-ra porque, se convierte en un facilitador nece-sario para producir y auditar dicha informa-ción. En esta sección se analizan las conside-raciones necesarias para auditar la informa-ción no financiera desde un punto de vistatecnológico.

Sistemas de reporting

La información no financiera tiene una natu-raleza muy amplia, incluyendo información noestandarizada, con diferentes formatos yfuentes de procedencia. Es recomendable queel auditor interno utilice herramientas tecno-lógicas para revisar y generar indicadores deinformación no financiera.

Ésta se asocia generalmente a sistemas de in-formación independientes como, por ejemplo:

· Gestión de riesgos.

· Responsabilidad social corporativa/sosteni-bilidad.

· Reputación corporativa.

· Cumplimiento normativo.

· Gestión del canal de denuncias.

· Gestión ambiental.

· Gestión de políticas.

· Sistemas de calidad.

· Gestión del talento y conocimiento.

· Comunicación corporativa.

· Asuntos públicos.

La información no financiera tendrá un rol

más relevante a medida que se integre en un

sistema de reporting para la toma de decisio-

nes de la organización.

El sistema de información abarca desde siste-

mas complejos e integrados (ERP-Enterprise

Resource Planning, CRM-Customer Relations-

hip Management, SCM-Software Configura-

tion Management) a otros simples y locales

(MS Excel, MS Access). El auditor interno ob-

tendrá evidencias y soportes dependiendo de

estas características.

Las fuentes de información locales cuentan,

en general, con limitados controles de seguri-

dad que garanticen su integridad. De exten-

derse su uso, esta debilidad de los sistemas

locales incrementará los riesgos asociados a

la modificación, intencionada o no, de la in-

formación a auditar.

26

Es recomendable que el auditor interno revise

las actividades y las operaciones del sistema

de información y de los permisos de acceso

de los usuarios. También deberá asegurarse la

correcta consolidación de la información no

financiera dentro del sistema de información

en base a criterios establecidos y validados

previamente.

El objetivo principal de Auditoría Interna es

garantizar la correcta protección y la seguri-

dad de la información contenida en los siste-

mas de información. Los principios básicos en

los que basará la auditoría y que debe cum-

plir el sistema de información son:

· Confidencialidad: garantiza que la infor-

mación está debidamente protegida, y

que solo puedan acceder a e l la los

usuarios autorizados.

· Integridad: garantiza que la informa-

ción no se modifica de manera no au-

torizada.

· Disponibilidad: garantiza el acceso a

la información cuando los usuar ios

autorizados quieran acceder.

· Autenticidad: garantiza qué usuario ac-

cede y realiza un tratamiento de la informa-

ción disponible.

Aprobación de datos y consolidación

Debido a las distintas fuentes del sistema de

información, es recomendable que el auditor

interno asegure la existencia de workflowspara facilitar la validación de la información

cualquiera que sea su origen. Un workflow es

el flujo de trabajo a seguir para la consecu-

ción de una tarea establecida a través de he-

rramientas tecnológicas.

Los workflows tienen un gran impacto en laagilización y descentralización de las organi-zaciones. Facilitan la obtención de la informa-ción a través de la plataforma tecnológica –cualquiera que sea su origen– identifican alpropietario de la información, y permiten es-tablecer la trazabilidad entre fuentes y recep-tores de información.

El empleo de workflows en las herramientastecnológicas del sistema de información per-mitirá al auditor interno asegurarse el procesode aprobación y consolidación de la informa-ción no financiera y sus indicadores.

Plataforma de consolidación de la in-formación

La integración de los sistemas de informaciónno financiera facilita los objetivos de Audito-ria Interna y mejora la consolidación, la comu-nicación y el control de los datos de fuentesdiversas. Se recomienda al auditor internoasegurarse la correcta parametrización y se-guridad de la consolidación por grupos deempresas, extracción y conversión, y controlesde integridad final.

El empleo de herramientas tecnológicas debepermitir auditar todo el proceso de consolida-ción, identificando al “dueño” de la informa-ción, eliminando que se tomen distintas fuen-tes de datos y que se duplique el trabajo.

También permite establecer ventanas de tiem-po consensuadas en la organización paramostrar la información. No toda la informa-ción que muestren los sistemas de reportingtendrá la misma criticidad para la organiza-ción, pudiendo establecerse reporting men-suales, o diarios, para la información más crí-tica. Los reporting obtenidos fuera de las ven-

Se recomienda que elauditor interno asegure la existencia de workflows para facilitar validar la información

27

tanas de ejecución contarán con informaciónno valida de acuerdo a las planificaciones es-tablecidas.

El uso de cuadros de mandos en los sistemasde reporting permitirá obtener automatizaday homogéneamente la información necesaria,lo que reducirá los errores de manipulaciónde los usuarios que accedan a la información.

Para facilitar la consolidación de la informa-ción, la plataforma tecnológica debe ser flexi-

ble, permitiendo a la organización adaptar lainformación que recoge (procesos, riesgos,controles, indicadores, etc.) a los distintos mo-delos de reporting.

Se debe tener en cuenta que es un tipo de re-porting en evolución y aún sin la madurez delreporting financiero, por lo que la plataformatecnológica no debe suponer un lastre anteposibles cambios de tendencia.

El Consejo es elresponsable último detoda la información,financiera y nofinanciera, publicadapor las compañías

Supervisión por el Consejo de Administración

El aseguramiento de la información no finan-ciera es crítico para garantizar la confianza delos distintos grupos de interés. La ausencia deconfianza podría ser una barrera para el usode esta información no financiera revelada.

El Consejo de Administración es el responsa-ble último de toda la información publicadapor las compañías, tanto de la financiera co-mo de la no financiera.

El marco fundamental de la supervisión de lainformación no financiera por parte del Con-sejo de Administración está comprendido encuatro instrumentos principales.

Ley 31/2014, de 3 de diciembre, porla que se modifica la Ley de Socieda-des de Capital para la mejora del go-bierno corporativo

El artículo 529 terdecies (disposición a), esta-

blece que “el Consejo de Administración delas sociedades cotizadas no podrá delegar lasfacultades de decisión […] la aprobación delplan estratégico o de negocio, los objetivos degestión y presupuestos anuales, la política deinversiones y de financiación, la política deresponsabilidad social corporativa y la políticade dividendos”12.

12. Ver información detallada en Anexo II.

28

Este artículo establece un mandato legal –nouna simple recomendación (que puede seguir-se, o no)– a los Consejos de Administraciónde las sociedades de capital para que seanellos, y no los órganos de gestión, los máxi-mos responsables de los pilares básicos de lainformación no financiera (el plan estratégico,los objetivos de gestión, la política de respon-sabilidad social corporativa o la de dividen-dos). Conviene recordar que son sociedadesde capital las sociedades de responsabilidadlimitada, anónima y la comanditaria por ac-ciones (Art.1.1).

Código de Buen Gobierno de las So-ciedades Cotizadas (CNMV, febrero de2015)

El principio 24 establece tres recomendacio-nes específicas (53, 54 y 55) en materia deresponsabilidad social corporativa y cuatro re-comendaciones (6, 12, 14, 45) que integranésta en otros aspectos empresariales. Lo mássustancial del Código es que incide expresa-mente en la supervisión por parte del Consejode Administración del cumplimiento de las re-glas de gobierno corporativo, de los códigosinternos de conducta y la política de respon-sabilidad social corporativa13.

Guía Técnica 3/2017 sobre Comisio-nes de Auditoría de Entidades de Inte-rés Público (CNMV, junio de 2017)

La tercera sección del segundo apartado deesta Guía (Desempeño de sus funciones porlas Comisiones de Auditoría) hace referenciaa la supervisión de la información financiera y

no financiera. El punto 39 establece que “laComisión de Auditoría debe revisar la claridade integridad de toda la información financieray no financiera relacionada, que la entidadhaga pública, como pueden ser los estados fi-nancieros, informe de gestión, informes degestión y control de riesgos, de gobierno cor-porativo, etc. La Comisión de Auditoría debevalorar en qué casos tiene sentido y puede in-volucrar a los auditores de cuentas en la revi-sión de alguno de los informes adicionales alos estados financieros”.

Directiva Comunitaria 2014/95/UE deDivulgación de información no finan-ciera e información sobre diversidad

El 5 de julio de 2017 se publicaron las Direc-trices sobre la presentación de informes no fi-nancieros (Metodología para la presentaciónde información no financiera). En distintassecciones se menciona la información que po-dría incluirse sobre la supervisión realizadapor el Consejo de Administración.

Por ejemplo, en la sección 4.2 se incluye laposibilidad de explicar la supervisión que ejer-ce el Consejo sobre las políticas incluidas enel estado no financiero. La sección 6 incluyeuna orientación destinada a ayudar a las so-ciedades a preparar la descripción de la políti-ca de diversidad de su Consejo de Administra-ción que deberán incluir en su gobernanzaempresarial, no formando parte la misma delestado no financiero14.



29

La tabla resume la información comunicada por tres empresas del mismo sector en su Informe de Responsabilidad Social Cor-porativa y preguntas básicas que un consejero debería plantearse para cumplir con su responsabilidad.

Anexo IEJERCICIO DE ANÁLISIS: INFORMACIÓN INCLUIDA EN EL INFORME DE RESPONSABILI-DAD SOCIAL CORPORATIVA

MARCO GENERAL DE LA ORGANIZACIÓN

Y FACTORES EXTERNOS

¿Qué hace la organización ybajo qué factores opera?

EMPRESA A EMPRESA B EMPRESA C

Nacional.No Cotizada.

Informe de Responsabilidad So-cial Corporativa.

Guías de Buenas Prácticas ela-boradas por UNESPA.

Multinacional.Cotizada.

Informe de Responsabilidad So-cial.

Directrices internacionales deGlobal Reporting Initiative(GRI), versión 4.

Multinacional.Cotizada.

Informe de ResponsabilidadCorporativa.

Indicadores del Global Repor-ting Initiative (GRI).Indicadores sectoriales de RSCde ICEA.

Se especifica información cuan-titativa sobre la organización,pero no se mencionan los fac-tores externos que afectan a lahabilidad de la organizaciónpara crecer en el corto, medio olargo plazo.

Se especifica información cuan-titativa y cualitativa sobre lacultura, ética, valores, compe-tencia, posición en el mercado,así como los factores externosque afectan a la organización.

Se especifica información, prin-cipalmente cualitativa, sobre lacultura, ética, valores, compe-tencia, posición en el mercado,así como los factores externos yla respuesta de la organizacióna los mismos.

GOBIERNO

¿Cómo contribuye la estructu-ra de gobierno de la organiza-ción a crear valor en el corto,medio y largo plazo?

No se menciona la existenciade ningún área específica desostenibilidad.

Se menciona la existencia de unárea específica de Seguridad yMedioambiente y cómo se inte-gra en la estructura de gobier-no de la empresa.

Se especifica la forma jurídicade la sociedad y los compromi-sos internacionales adoptados.

Se menciona la existencia ycomposición del Comité deResponsabilidad Corporativa,su integración en los órganosde gobierno de la organizacióny compromisos de información.

Se detalla la estructura acciona-rial de la organización.

MODELO DE NEGOCIO

¿Cuál es el modelo de negociode la organización?

No se explica claramente elmodelo de negocio de la orga-nización.

Se especifican servicios presta-dos y un detalle de los produc-tos que se comercializan.

Se identifican las principales so-ciedades que forman la organi-zación y las actividades quedesarrollan.

Se especifica de forma generallas marcas, productos y servi-cios de la entidad; los países enlos que opera; su cadena de su-ministros y las asociaciones yorganizaciones de promoción alas que pertenece.

Se incluyen datos cuantitativossobre el tamaño y magnitudeseconómicas de la organización.

Se detallan ampliamente lasmarcas, productos y serviciosde la organización; los paísesen los que opera; la cadena deproveedores; los programas einiciativas sociales, ambientalesy económicos en los que parti-cipa y las asociaciones a lasque pertenece.Se incluyen datos cuantitativossobre el tamaño y magnitudeseconómicas de la organización.

SOBRE LA EMPRESA

INFORMACIÓN CORPORATIVA

ESTÁNDAR APLICADO

ELEM

ENTO

S DE

L RE

PORT

E IN

TEG

RADO

30

RIESGOS Y OPORTUNIDADES

¿Cuáles son los riesgos y opor-tunidades que afectan a la ha-bilidad de la organización paracrear valor y cómo los gestio-na?

EMPRESA A EMPRESA B EMPRESA C

No se mencionan los riesgos yoportunidades que afectan a laorganización.

Se identifican y se miden facto-res y riesgos ambientales, so-ciales y de gobierno y se aso-cian a las políticas de Riesgosde la sociedad.Se establecen medidas de pre-vención y control y se buscanmedidas de transformación deriesgos en oportunidades.

No se identifican en el informelos riesgos y oportunidades queafectan a la compañía.Se hace referencia al equipo deResponsabilidad Corporativa yal Consejo de Administracióncomo responsables de la identi-ficación y la visión a largo plazode riesgos y oportunidades.

ELEM

ENTO

S DE

L RE

PORT

E IN

TEG

RADO

ESTRATEGIA Y ASIGNACIÓN DERECURSOS

¿Cuáles son los objetivos de laorganización y cómo piensacumplirlos?

Se definen líneas de actuación,pero no se refleja la definiciónde la estrategia.Se identifican y mantiene ciertogrado de comunicación con losGrupos de interés.No se realiza un estudio de ma-terialidad.

Se especifica el plan estratégicode sostenibilidad y el plan es-tratégico de la compañía.Se identifican claramente losgrupos de interés, los compro-misos que se adquieren y loscanales de relación con los mis-mos Se describen los principalesefectos, riesgos y oportunida-des de la sociedad.

Se identifican los objetivos paracada uno de los grupos de inte-rés y se detallan ampliamentelos canales de comunicaciónestablecidos con ellos.Se especifica la publicación in-terna del plan estratégico de laorganización.Se detalla la materialidad delos asuntos clave para el repor-te.

DESEMPEÑO

¿Ha logrado la organizaciónsus objetivos estratégicos?

¿Cuáles han sido los resulta-dos en términos de efectos enel capital?

No se menciona cualitativa nicuantitativamente la consecu-ción de los objetivos de la em-presa, los riesgos que afronta,sus efectos en la organización,en la creación de valor.

Se indican los objetivos del pe-riodo, las actuaciones realiza-das y los logros alcanzados.Se incluyen indicadores cuanti-tativos de consumo de recursosy residuos.Se identifican las consecuenciasfinancieras y otros riesgos yoportunidades para las activi-dades de la organización debi-do al cambio climático.

Se muestran los indicadores dedesempeño de los dos últimosperiodos, su variación y su dis-tribución entre el Grupo y las fi-liales.Se integran las prioridades dela compañía con las de sus gru-pos de interés.

PERSPECTIVA

¿Qué retos e incertidumbresafrontará la organización alseguir su estrategia y cuálesson las implicaciones para sumodelo de negocio y su de-sempeño futuro?

No se mencionan análisis niprevisiones de futuro financie-ras, de riesgos, oportunidades,ni el efecto que pueden teneren la consecución de los objeti-vos estratégicos.No se aportan indicadores niinformación relevante de fuen-tes externas, ni análisis de sen-sibilidad.

Se identifican las principales lí-neas de actuación del Plan Es-tratégico de Eficiencia Energéti-ca y Cambio Climático.

Se identifican los riesgos globa-les y tendencias con las que seenfrentará la organización en laconsecución de su estrategia.

BASES DE PREPARACIÓN Y PRESENTACIÓN

¿Cómo determina la organiza-ción qué materias se incluyenen el reporte integrado y cómose cuantifican y evalúan?

La información no financiera seprepara conforme a las Guíasde Buenas Prácticas del sector.Se realiza una revisión externade ciertos aspectos no financie-ros.

El informe de Sostenibilidad seelabora siguiendo estándaresespecíficos.Se realiza una revisión comple-ta por parte de una entidad ex-terna.

El informe de Sostenibilidad seelabora siguiendo estándaresespecíficos.No se hace mención a ningunaverificación de los contenidosde la memoria por parte de unaentidad externa.


31

Anexo IIMARCO PARA LA SUPERVISIÓN POR EL CONSEJO DE ADMINISTRA-CIÓN

Ley 31/2014, de 3 de diciembre, por la que se modifica la Ley de Sociedades deCapital para la mejora del gobierno corporativo. Artículo 529 terdecies

Establece las facultades indelegables del Consejo de Administración; es decir, define las “compe-tencias exclusivas” del Consejo en relación con determinados ámbitos de responsabilidad. En elpunto primero del artículo 529 terdecies establece que “el Consejo de Administración de las so-ciedades cotizadas no podrá delegar las facultades de decisión a que se refiere el artículo 249 bisni específicamente las siguientes:

a) La aprobación del plan estratégico o de negocio, los objetivos de gestión y presupuesto anua-les, la política de inversiones y de financiación, la política de responsabilidad social corporati-va (en adelante RSC) y la política de dividendos.

b) La determinación de la política de control y gestión de riesgos, incluidos los fiscales, y la su-pervisión de los sistemas internos de información y control.

c) La determinación de la política de gobierno corporativo de la sociedad y del grupo del quesea entidad dominante; su organización y funcionamiento y, en particular, la aprobación ymodificación de su propio reglamento.

d) La aprobación de la información financiera que, por su condición de cotizada, deba hacer pú-blica la sociedad periódicamente.

e) La definición de la estructura del grupo de sociedades del que la sociedad sea entidad domi-nante.

f) La aprobación de las inversiones u operaciones de todo tipo que, por su elevada cuantía o es-peciales características, tengan carácter estratégico o especial riesgo fiscal, salvo que su apro-bación corresponda a la junta general.

g) La aprobación de la creación o adquisición de participaciones en entidades de propósito es-pecial o domiciliadas en países o territorios que tengan la consideración de paraísos fiscales,así como cualesquiera otras transacciones u operaciones de naturaleza análoga que, por sucomplejidad, pudieran menoscabar la transparencia de la sociedad y su grupo.

h) La aprobación, previo informe de la Comisión de Auditoría, de las operaciones que la socie-dad o sociedades de su grupo realicen con consejeros, en los términos de los artículos 229 y230, o con accionistas titulares, de forma individual o concertadamente con otros, de una par-

32

ticipación significativa, incluyendo accionistas representados en el Consejo de Administraciónde la sociedad o de otras sociedades que formen parte del mismo grupo o con personas aellos vinculadas. Los consejeros afectados o que representen o estén vinculados a los accio-nistas afectados deberán abstenerse de participar en la deliberación y votación del acuerdoen cuestión. Solo se exceptuarán de esta aprobación las operaciones que reúnan simultánea-mente las tres características siguientes:

1.º que se realicen en virtud de contratos cuyas condiciones estén estandarizadas y se apli-quen en masa a un elevado número de clientes,

2.º que se realicen a precios o tarifas establecidos con carácter general por quien actúe comosuministrador del bien o servicio de que se trate, y

3.º que su cuantía no supere el uno por ciento de los ingresos anuales de la sociedad.

i) La determinación de la estrategia fiscal de la sociedad.”

Código de Buen Gobierno de las Sociedades Cotizadas (CNMV, febrero de 2015)

El Código en vigor es fruto de los trabajos de una comisión de expertos creada por acuerdo delConsejo de Ministros del 10 de mayo de 2013, para proponer las iniciativas y las reformas nor-mativas que se considerasen adecuadas para garantizar el buen gobierno de las empresas. Tam-bién para prestar apoyo y asesoramiento a la CNMV en la modificación del Código de mayo de2006, el llamado Código Conthe –por referencia al presidente de la CNMV que dirigió el grupode trabajo que lo elaboró.

El código de 2006 refundió las recomendaciones del Código Olivencia y del Informe Aldama, e in-trodujo recomendaciones adicionales de la Comisión Europea en materia de remuneración deconsejeros y del papel de los consejeros no ejecutivos, y otras recomendaciones procedentes delos principios de buen gobierno corporativo de la OCDE.

PRINCIPIOS Y RECOMENDACIONES

El Código de Buen Gobierno de las Sociedades Cotizadas establece un principio (el 24), tres reco-mendaciones específicas (53, 54 y 55) en materia de responsabilidad social corporativa y cuatrorecomendaciones (6, 12, 14, 45) que integran ésta en otros aspectos empresariales. Este articula-do, en definitiva, está directamente relacionado con la información no financiera de las socieda-des cotizadas.

Principio 24

Establece que “la sociedad promoverá una política adecuada de RSC, como facultad indelegabledel Consejo de Administración, ofreciendo de forma transparente información suficiente sobre sudesarrollo, aplicación y resultados”.

En concreto, se afirma que “la apertura y sensibilidad hacia el entorno, el sentido de comunidad,la capacidad innovadora y la consideración del largo plazo, se añaden a la imprescindible crea-

33

ción de valor como fundamentos de la actividad empresarial. Por tanto, es recomendable que lasempresas analicen cómo impacta su actividad en la sociedad y cómo esta impacta, a su vez, en laempresa.

De esta manera, utilizando como referencia la cadena de valor, la empresa puede identificar cues-tiones sociales que permitan la creación de valor compartido. Se plantea la conveniencia de des-arrollar el contenido mínimo recomendado de la política de responsabilidad social, cuya aproba-ción corresponde al Consejo de Administración, y de plasmar el principio de mantener una comu-nicación transparente basada en la necesidad de informar, tanto sobre los aspectos financieroscomo sobre los aspectos no financieros de negocio”.

Recomendaciones directamente relacionadas con la RSC

La Recomendación 53 establece “que la supervisión del cumplimiento de las reglas de gobiernocorporativo, de los códigos internos de conducta y de la política de responsabilidad social corpo-rativa se atribuya a una o se reparta entre varias comisiones del Consejo de Administración quepodrán ser la Comisión de Auditoría, la de Nombramientos, la Comisión de Responsabilidad So-cial Corporativa, en caso de existir, o una Comisión especializada que el Consejo de Administra-ción, en ejercicio de sus facultades de auto-organización, decida crear al efecto, a las que especí-ficamente se les atribuyan unas funciones mínimas”.

La siguiente tabla incluye las funciones establecidas en la recomendación 53 y su relación con lasrecomendaciones 54 y 55.

FUNCIONES DE LA R.53 RELACIÓN CON LAS R.54 Y R.55

a) La supervisión del cumplimiento delos códigos internos de conducta yde las reglas de gobierno corporati-vo de la sociedad.

Dado que tanto el Código interno de Conducta como las reglas de gobierno corporativo de laempresa son normas de autorregulación, que afectan en primer lugar a los empleados, perotambién a los consejeros y a los socios, parece evidente que la función a) de la R53 puede te-ner relación directa con lo dispuesto en los apartados c) y e) de la R54:

c) Las prácticas concretas en cuestiones relacionadas con: accionistas, empleados, clientes,proveedores, cuestiones sociales, medio ambiente, diversidad, responsabilidad fiscal, res-peto de los derechos humanos y prevención de conductas ilegales.

e) Los mecanismos de supervisión del riesgo no financiero, la ética y la conducta empresarial.

b) La supervisión de la estrategia decomunicación y relación con accio-nistas e inversores, incluyendo lospequeños y medianos accionistas.

Sin duda, esta función guarda relación directa con lo dispuesto en los apartados c), d), f) y g)de la R54:


d) Los métodos o sistemas de seguimiento de los resultados de la aplicación de las prácticasconcretas señaladas en la letra anterior, los riesgos asociados y su gestión.

f) Los canales de comunicación, participación y diálogo con los grupos de interés.

g) Las prácticas de comunicación responsable que eviten la manipulación informativa y pro-tejan la integridad y el honor.

34


c) La evaluación periódica de la ade-cuación del sistema de gobiernocorporativo de la sociedad, con elfin de que cumpla su misión de pro-mover el interés social y tenga encuenta, según corresponda, los legí-timos intereses de los restantes gru-pos de interés.

La relación de esta función con la R54 tiene que ver con los grupos de interés. Destacaríamoslos compromisos que la sociedad asume en la política de RSC y el seguimiento correspondien-te, que se establece en los apartados a), b) y d) de la R54, pero también con los mecanismosde supervisión del riesgo que la sociedad asume al integrar o no los legítimos intereses de susgrupos de interés (apartado e) R54); y la participación y el diálogo que mantenga con ellos(apartado f) R54):

a) Los objetivos de la política de responsabilidad social corporativa y el desarrollo de instru-mentos de apoyo.

b) La estrategia corporativa relacionada con la sostenibilidad, el medio ambiente y las cues-tiones sociales.




d) La revisión de la política de respon-sabilidad corporativa de la sociedad,velando por que esté orientada a lacreación de valor.

En general, tiene que ver con toda la R54, ya que en ella se establecen los contenidos mínimosde la política.

e) El seguimiento de la estrategia yprácticas de responsabilidad socialcorporativa y la evaluación de sugrado de cumplimiento.

Toda política de RSC tiene que tener sus mecanismos de seguimiento y control. De hecho, for-ma parte de los contenidos mínimos según la R54. Por ello, esta función, tiene relación con losapartados a), b), c), d) y e):






f) La supervisión y evaluación de losprocesos de relación con los distin-tos grupos de interés.

Una parte importante de la política de RSC tiene que ver con los compromisos y la gestión dela relación con los stakeholders. Un diálogo fluido y transparente, que tenga en cuenta sus le-gítimos intereses. Esta función tiene relación con los apartados c), f) y g) de la R54:




35


g) La evaluación de todo lo relativo alos riesgos no financieros de la em-presa, incluyendo los operativos,tecnológicos, legales, sociales, am-bientales, políticos y reputacionales.

Según la R.54, la gestión del riesgo no financiero (ambiental, social y de gobernanza (ASG)), laética y la conducta empresarial, deben formar parte del contenido mínimo de la política deRSC. Además, la estrategia de Sostenibilidad de la empresa debe tener en cuenta, los cambios(tecnológicos, políticos y sociales) que se producen y se producirán en el entorno en el que laempresa opera, y los impactos (positivos/negativos) de la empresa en ese entorno y del entor-no en la empresa. En este sentido, los apartados a), b), d), e) y f) de la R54 tienen que ver conesta función:






h) La coordinación del proceso de re-porte de la información no financie-ra y sobre diversidad, conforme a lanormativa aplicable y a los estánda-res internacionales de referencia.

Esta función afecta tanto a la R54 como a la R55.

R54:f) Los canales de comunicación, participación y diálogo con los grupos de interés.


R55: Esta recomendación anticipa la transposición al ordenamiento jurídico interno de la Di-rectiva de información no financiera (Directiva 2014/95/UE), al establecer “que la sociedad in-forme, en un documento separado o en el informe de gestión, sobre los asuntos relacionadoscon la responsabilidad social corporativa, utilizando para ello alguna de las metodologíasaceptadas internacionalmente”.

Recomendaciones indirectamente relacionadas con la RSC

El Código también establece otras cuatro recomendaciones (6, 12, 14, 45) que integran la res-ponsabilidad social corporativa en otros aspectos empresariales (Bazán, Cortés y De La Morena,2016). Son éstas:

a) Que las sociedades cotizadas publiquen en su página web con antelación suficiente a la cele-bración de la Junta General, junto con otros documentos, el Informe sobre la política de RSC(R6). Esta recomendación está relacionada con la R53.

b) Que el Consejo de Administración procure conciliar el propio interés social con, según corres-ponda, los legítimos intereses de sus empleados, sus proveedores, sus clientes y los de los res-tantes grupos de interés que puedan verse afectados, así como el impacto de las actividades

Fuente: BAZÁN, CORTÉS, DE LA MORENA. Guía para la integración de la Responsabilidad Social Corporativa. Bosch editorial, 2016.

36

de la compañía en la comunidad en su conjunto y en el medio ambiente (R12). Esta recomen-dación guarda relación con el P24 y sus recomendaciones.

c) Que la política de selección de consejeros promueva el objetivo de que en el año 2020 el nú-mero de consejeras represente, al menos, el 30% del total de miembros del Consejo de Admi-nistración (R14). Esta recomendación guarda relación con los apartados b) y e) del contenidomínimo de la política de RSC de la R54.

d) Que la política de control y gestión de riesgos identifique entre otros requerimientos, al me-nos, los distintos tipos de riesgo, financieros y no financieros (entre otros los sociales, medioambientales, y reputacionales) a los que se enfrenta la sociedad (R45). Esta recomendaciónguarda relación con los apartados b) y c) del contenido mínimo de la política de RSC de laR54 y la función g) de la R53.

37

Anexo IIIEVOLUCIÓN DE INFORMACIÓN NO FINANCIERALa información no financiera toma relevancia en la medida que el concepto de valor evoluciona, yno es posible encontrarlo entre los principales activos de una compañía. En este sentido, estudiosrecientes concluyen que el valor total de los activos intangibles de una organización supera alos activos tangibles.

Si tomamos el valor total de todas las empresas en todos los sectores del mundo, se estima quemás de la mitad del valor de capitalización de mercado viene determinado por el valor de los acti-vos intangibles, como se observa en el siguiente cuadro.

Mientras que los activos tangibles se relacionan con información financiera/contable, los activosintangibles están estrechamente asociados con información no financiera.

Compañías de todo el mundo bajo diferentes denominaciones han venido publicando desde losaños 70 informes sobre el cumplimiento de su misión y objetivos, más allá de los informes degestión, obligatorios desde finales de los años 30 del siglo pasado.

35

7,2

5,4

44,8

2001 2002 2015201420132012201120102009200820072006200520042003 2016

16,4

2,21,2

11,1

10,7

2,41,2

11,4

16,4

2,71,3

12,5

19,1

31,5

13,9

22,1

3,31,5

14,3

25,1

3,92,1

16,7

30,3

4,52,7

22

7,9

4,33,3

23,2

20,8

4,53,9

27,6

25,6

5,33,2

26,2

16,1

5,44,4

26,4

18,2

5,5

4,6

28,3

23,8

5,3

4,6

29,7

25,5

6

5

33,5

30,5

6,7

5

46,8

Valor no revelado

Intangibles no identificables divulgados

Activos intangibles identificables divulgados

Activos tangibles netos

VALOR TOTAL ACTIVOS DE UNA ORGANIZACIÓN

Fuente: Brand Finance Global Intangible Tracker (GITTM), 2017, p. 29

12%

1993

18%24% 28%

35% 45%41%

64%53%

83%

64%

95%

71%

93%

73%

92%

20132005200219991996 201620112008

G250 tasa de reporte de CRN100 Tasa de reporte de CR Base: compañías N100/G250

38

En Alemania, promovido por la estructura dual de sus órganos de gobierno, se elaboraron los pri-meros informes sociales que relataban las actividades que las compañías de este país realizabanpara el desarrollo y la protección de sus empleados y sus actividades de apoyo al progreso de lacomunidad.

En Norteamérica, los movimientos ambientales acontecidos durante los años 60 dieron lugar anuevas normativas, obligando a las empresas a reportar información sobre sus emisiones a los re-gistros públicos. Estos informes sirvieron como antecedentes de lo que posteriormente se conver-tiría en los informes ambientales corporativos.

El trabajo realizado por las compañías en la elaboración de informes enfocados a aspectos socia-les y ambientales derivó en un nuevo tipo de informe –Informes de responsabilidad corporativay/o de sostenibilidad– tras la aparición del concepto “desarrollo sostenible” (Informe Brund-tland, 1987) y la Cumbre de Medio Ambiente y Desarrollo celebrada en Río en 1992.

Sin embargo, fue en 1994 cuando John Elkington, fundador de SustainAbility, acuñó por primeravez el concepto “triple cuenta de resultados”. Su argumento se apoyaba en la necesidad de de-sarrollar tres perspectivas a la hora de evaluar el resultado de una compañía:

1. El rendimiento corporativo a través de la cuenta de pérdidas y ganancias.

2. La línea de la empresa donde “la gente cuenta”, la forma en la que la organización es social-mente responsable en todas sus operaciones.

3. La línea de la empresa en la que se contabiliza la contribución al “planeta”.

Uno de los primeros informes elaborados con este concepto fue el publicado por Shell en 2001con el apoyo del propio Elkington, tratando de materializar que sólo con el “coste total” era posi-ble valorar adecuadamente los negocios.

Hoy, tal y como se refleja en el siguiente gráfico, el 92% de las principales empresas globales rea-lizan informes de este tipo.

EVOLUCIÓN DE LOS INFORMES DE RESPONSABILIDAD CORPORATIVA

Fuente: KPMG. Survey of Corporate Responsibility Reporting, 2015, p. 30

39

Durante los últimos años se ha producido un fuerte desarrollo de iniciativas de reporte en sosteni-bilidad a escala mundial. Entre 2006 y 2013, se ha triplicado el número de iniciativas de reporte,como se refleja en la siguiente tabla:

EVOLUCIÓN DEL NÚMERO DE INICIATIVAS RELACIONADAS CON EL REPORTE DE ASUNTOS DE RES-PONSABILIDAD CORPORATIVA O SOSTENIBILIDAD ENTRE 2006 Y 2013

EVOLUCIÓN DEL MODELO DE LA INFORMACIÓN CORPORATIVA ENTRE 1960 Y 2020 (PREVISTO)

Fuente: INTERNATIONAL INTEGRATED REPORTING COUNCIL. Discussion Paper: Towards Integrated Reporting Communi-cating Value in the 21st Century, 2011, p. 6/7

Estados Financieros Comentarios sobre Gestión Gobierno y remuneración Informes medioambientales Informes de Sostenibilidad

1960 1980 20202000

Informe Integrado

2006

35

25

60

2010

94

57

151

2013

130

50

180

OBLIGATORIAS

VOLUNTARIAS

TOTAL

De estas iniciativas, más del 70% (130) resultan obligatorias para las empresas. En países comoSudáfrica, Malasia, India, Argentina o Brasil, el reporte en sostenibilidad ya es obligatorio para co-tizadas o grandes empresas, dependiendo del país. En nuestro entorno más cercano se está pre-parando la trasposición de una directiva europea que hará obligatorio el reporte de determinadosasuntos de sostenibilidad para las grandes empresas.

Aunque el concepto “sostenible” ha aportado un avance significativo a un nuevo entendimientode reporting basado en el valor creado, los informes corporativos siguen su transformación con elfin de explicar mejor el negocio, sus riesgos y sus oportunidades.

Fuente: Global Reporting, Carrots and Sticks: Sustainability reporting policies worldwide, 2013, p. 9

40

El camino en el que se está trabajando consiste en alejarse del enfoque tradicional de informa-ción, muy centrado en la información financiera, y acercarse al enfoque de reporting integradoque debería permitir a las empresas tener una mayor capacidad para identificar e informar de lasoportunidades, los riesgos y la evolución del negocio, a través de un modelo que permita conocera las organizaciones en su globalidad e integre los aspectos financieros y no financieros, como seresume a continuación.

ENFOQUE TRADICIONAL vs INFORME INTEGRADO

ENFOQUE TRADICIONAL INFORME INTEGRADO

- Calidad de la información

- Información no financiera enfocada a inversores ycumplimiento regulatorio, y que coexiste con do-cumentos diversos y dirigidos a otros grupos deinterés.

- Cuenta el pasado.

- Información financiera apoyada en datos cuantita-tivos e información no financiera apoyada en da-tos cualitativos.

- Complejidad creciente por la incorporación conti-nua de información regulada.

- Muchas visiones parciales de la realidad.

- Información externa no siempre alineada con re-portes internos.

- Informe financiero complejo en función de norma-tiva y estándares.

- Información no financiera diversa sin estándaresespecíficos o bajo estándares poco desarrollados.

- Informe anual en papel o formato electrónico.

- Información trimestral básica financiera.

- Informe de Sostenibilidad/RC con carácter anualen formato papel o electrónico y utilización cre-ciente de nuevas tecnologías.

- Calidad de la gestión.

- Facilitar a cualquier grupo de interés la toma dedecisiones en relación a la compañía.

- Datos pasados, presentes y prospectivos.

- Debe permitir vislumbrar el largo plazo y la estra-tegia de la compañía para su sostenibilidad.

- Centrado en lo relevante.

- Enfoque input/modelos de gestión/output

- Alineamiento de información externa e interna.

- Adaptación de los formatos a los grupos de inte-rés.

- Varios niveles de información que respetan el en-foque integrado.

- Consideración de las nuevas tecnologías con nue-vos lenguajes como XBRL.

- Adaptación de los medios a los grupos de interésdestinatarios del informe (utilización de redes so-ciales, web 2.0, presentaciones multimedia...).

- Información online.

OBJETIVO

CONTENIDOS

FORMATOS

MEDIOS


ENTORNO DE CONTROL: SIETE PREGUNTAS QUE CUALQUIER CONSEJERO

DEBE PLANTEARSE

A través de siete preguntas cualquier consejero podrá comprobar si

su organización dispone de un entorno de control fuerte para cumplir

su misión de protección del valor. El entorno de control establece la

forma en la que una organización opera e influye en la forma de

actuar de las personas, es el pilar básico del control interno, y

proporciona disciplina y estructura.

MARCO DE RELACIONES DE AUDITORÍA INTERNA CON OTRAS FUNCIONES

DE ASEGURAMIENTO

Ayuda a fijar posiciones para mejorar la eficiencia de los recursos de

las direcciones de Auditoría Interna y mantener el nivel adecuado de

aseguramiento. Aborda la necesidad de realizar un mapa de

aseguramiento que aporte una visión global de las actividades de

control, proponiendo a Auditoría Interna como coordinador principal

de todas las funciones de aseguramiento.

GUÍA CNMV 3/2017 SOBRE COMISIONES DE AUDITORÍA. 20 PREGUNTAS

QUE UN CONSEJERO DEBE PLANTEARSE · EDICIÓN CONSEJEROS

La guía define el funcionamiento interno de la Comisión de Auditoría

y la supervisión que debe hacer de la labor del auditor interno.

Remite a las Normas Internacionales para la Práctica Profesional de

la Auditoría Interna como marco de referencia para la excelencia de

la profesión, estableciendo directrices para preservar su indepen-

dencia y objetividad, y los criterios para que la supervisión que ejerza

la Comisión de Auditoría sea eficaz.

CIBERSEGURIDAD. 10 PREGUNTAS QUE UN CONSEJERO DEBE

PLANTEARSE

Aborda 10 cuestiones clave que un consejero debe plantear sobre el

gobierno de la ciberseguridad en la organización, que le ayuden a

cumplir con las obligaciones derivadas de la Ley de Sociedades de

Capital en materia de gestión de riesgos.

DEFINICIÓN E IMPLANTACIÓN DE APETITO DE RIESGO

Expone los conceptos principales, las distintas utilizaciones, me-

todologías de aproximación y cálculo, y una propuesta esquemática

sobre cómo implantar el apetito de riesgo en una organización.

El aseguramiento de la información no financiera es crítico para garantizar

la confianza de los grupos de interés. Este documento presenta el

panorama actual, la regulación y las tendencias en información no

financiera.

Una guía imprescindible para la supervisión de dicha información por

los auditores internos y los consejos de administración, responsables

últimos de toda la información publicada.

a uditorÍa interna...auditoría interna disponga de pautas y crite-rios claros que le permitan...

Documents