Definición y alcance. Según la OCDE el gobierno corporativo se refiere a los medios internos por los cuales las corporaciones son operadas y controladas. Un régimen adecuado de gobierno corporativo ayuda a asegurar que las corporaciones utilicen su capital eficientemente. (OCDE, 1999) El surgimiento del gobierno corporativo ha ido creciendo, perfeccionando y tomando forma con el paso de los años y estos cambios han servido para dar un mejor enfoque al tema, así como también a su mejor aplicación. Por otro lado Cadbury opina que el gobierno corporativo es el sistema por e l cual las compañías son dirigidas y controladas. Tomando en cuenta las diferentes opiniones sobre la definición del tema, podemos decir que el gobierno corporativo es un sistema por el cual las empresas son dirigidas y controladas, y de esta misma forma la estructura con la que se maneja la organización nos permite saber cuáles son los derechos y responsabilidades de los diferentes personajes que participan en la empresa; como lo llegan a ser la dirección, la gerencia, los accionistas, los empleados y las diferentes personas que tengan algún interés con respecto a la empresa. Por mencionar algunas ventajas se tiene la posibilidad de establecer objetivos y procedimientos con los cuales se llevará a un mejor funcionamiento organizacional. Conociendo la definición del gobierno corporativo comenzaremos a hablar sobre los protagonistas que intervienen dentro de la organización y que son los que hacen que el buen gobierno corporativo tenga vida en la empresa. Empezaremos por los accionistas de la empresa que en pocas palabras se definen como: los directores de la empresa; y a los acreedores se les define como los encargados de prestar fondos a la empresa basándose en los activos de la misma. Con esto vemos que no solo la gente que pertenece a la empresa se beneficia con el buen gobierno corporativo, sino que también los agentes externos (bancos, fondos de inversión, etc.) toman un papel muy importante ya que estos son los que proveen financieramente a la empresa. De acuerdo con las leyes mexicanas, el gobierno corporativo es la responsabilidad de uno o más directores quienes podrían o no podrían ser ejecutivos de la corporación. Donde estos son dos o mas directores, un directorio es creado. Para evitar escándalos y problemas en las empresas como en otros países, el Mercado de Valores se ha dado a la tarea de crear regulaciones como las del código de mejores prácticas corporativas de las cuales se hablará más adelante. Este código tiene como fin el evitar la violación al derecho de información eficaz, transparente y confiable, ya que en nuestro país esto constituye un delito. Con estos se pretende la correcta aplicación de la ética en las personas que laboran o tiene relación con la empresa. De esta manera también se trata de mejorar o perfeccionar la exhibición de la información para que sea de fácil acceso y contenga cifras reales y como consecuencia de lo antes mencionado poder evitar la manipulación de la información con fines de lucro. Aquí vemos que los tres componentes principales son: a) El consejo de administración o comité de auditoría: Estos se encargan de verificar que las operaciones de la empresa sean verídicas y adecuadas según el lineamiento que las rige, b) Los accionistas: Como ya lo habíamos mencionado son los directores de la empresa que suelen ser los dueños, y c) Los administradores que son los que se encargan de cuidar los intereses de la empresa. Dentro de toda esta interacción, los conflictos o roces entre los tres elementos principales siempre salen a flote dentro de la organización, por ejemplo: el problema existente entre los accionistas y los de la administración; ya que de ser accionistas se tiene mayor poder sobre la empresa, y por consiguiente deberían de trabajar más para el bienestar de la empresa. La preocupación respecto a cómo se administran las empresas, en particular aquellas que recurren al ahorro del público – tanto entidades financieras como empresas en la oferta pública o simplemente públicas por su traducción literal del inglés-, tiene su relevancia para los stakeholders o interesados de las mismas que se han preocupado por su desempeño económico-financiero, el crecimiento del precio de sus acciones, la distribución de sus resultados, su contribución al pago de impuestos, el respeto de las leyes y regulaciones vigentes, su contribución a la generación de empleo directo e indirecto, la armonía de sus actividades con el medio ambiente, su compromiso y respeto de los valores de la sociedad en las que opera, por sólo mencionar algunos temas de la extensa agenda del llamado buen gobierno corporativo.   Prácticas de buen gobierno corporativo. Existen diversas formas de concebir al gobierno corporativo. Uno de ellas lo interpreta como la actividad que estudia el comportamiento de la organización en su relación con las diversas partes que tienen intereses directos e indirectos en ella (los stakeholders), poniendo especial énfasis en la oposición de intereses que suelen existir entre esos actores. Algunos temas clásicos se refieren a la relación entre accionistas y gerentes de la empresa; cómo los primeros establecen reglas y verifican que sus empleados trabajen para generar valor para los dueños y no para aumentar sus propias remuneraciones (costo de agencia y riesgo moral); cómo es la relación de la empresa con algunos accionistas que detentan el control o ejercen influencia significativa en el manejo de los negocios en comparación al trato dispensado a los restantes accionistas conocidos como minoritarios; de qué modo se confecciona y se distribuye información de la empresa de modo de tratar equitativamente a todos los inversores y evitar que cierta información sensitiva sea utilizada por la gerencia de la empresa o algunos accionistas en beneficio propio y en desmedro de los restantes stakeholders; por consignar algunos temas habituales. Otro enfoque se apoya en el anterior e incorpora la formulación de cierto “deber ser” en materia de buenas conductas de administración empresaria. Es habitual que incluya la descripción de ciertas prácticas de administración de negocios referidos a temas de interés del público inversor que son consideradas de mayor calidad o best practices. De tal modo, el gobierno corporativo posee ciertas “recetas” que los estudiosos consideran fundamentales para que una empresa pública o una entidad financiera sea calificada favorablemente al ser evaluada desde la perspectiva de su conducción. Entre esos decálogos podemos mencionar: (i) su  capital social debe estar conformado por acciones ordinarias con igual derecho a voto y condiciones de emisión para que todos los accionistas tengan los mismos derechos políticos y económicos; (ii) la conducción de la empresa debe estar en manos de una mayoría de directores independientes y experimentados cuya principal función es delinear la estrategia de la empresa y el monitores de su efectiva ejecución; (iii) la gerencia debe contribuir a la formulación de la estrategia y estar a cargo de la adecuada implementación de la estrategia aprobada por el Directorio, de modo que existe una suerte de separación de funciones entre tareas de ejecución – a cargo de la gerencia- y de monitoreo – responsabilidad del Directorio-; (iv) conformación de distintos comités en el órgano de administración para la Nominación de ejecutivos y la fijación de sus retribuciones; (v) la existencia de un Comité de Auditoría para evaluar el adecuado reporte contable, la información de divulgación pública, el sistema de control interno y la gestión integral de los riesgos en el ámbito de la empresa; (vi) existencia de una clara política de distribución de dividendos; (vii) existencia de procedimientos de control de transacciones con partes relacionadas; (viii) existencia de cláusulas estatutarias o similares que permitan compartir los beneficios de la prima de control con accionistas minoritarios (cláusulas de tag along); (ix) aplicar estándares contables de calidad para confeccionar sus estados financieros (en la actualidad la adopción de las Normas Internacionales de Información Financiera emitidas por el IASB); (x) designar para la revisión de la información contable a un auditor externo independiente que aplique las Normas Internacionales de Auditoría cuyas actividades estén monitoreadas por la profesión contable u otro organismo independiente ; (xi) poseer, aplicar y divulgar un código de ética y conducta empresaria entre directores, ejecutivos, empleados, proveedores y otros stakeholders; (xii) divulgar las prácticas de gobierno de la empresa en comparación con algún estándar emitido por el regulador u otro organismo no gubernamental; (xiii) estimular la participación de los inversores en asambleas y otro tipo de reuniones sociales para conocer la evolución de los negocios de la empresa, de modo de aumentar la transparencia en las relaciones con los interesados de la firma.   Importancia para accionistas, empresas, reguladores, supervisores, mercados y economías. Crisis económicas y financieras y su vinculación con los principios de Gobierno Corporativo. Considerando que el Gobierno Corporativo se estructura como un sistema de relaciones entre los Accionistas, Consejo de Administración y Dirección ejecutiva, y se articula en procesos, es por lo que estos tres órganos interaccionan, dirigen y controlan el futuro de la organización. El Consejo de Administración es la pieza angular de todo sistema de buen Gobierno. Los actores principales para el buen funcionamiento del mismo lo componen su Presidente, los Consejeros y las comisiones delegadas. La existencia de programas de gestión del riesgo y sistemas de control y auditoría interna que involucren a toda la organización y que estén adecuadamente comunicados junto con la misión, los valores, el código de ética, la estrategia de negocio y las políticas corporativas, es un síntoma de que la organización está alineada con las mejores prácticas de Buen Gobierno Corporativo. Principales beneficios del Buen Gobierno Corporativo: Velar por el adecuado funcionamiento de los órganos de gobierno y administración. Generar confianza y transparencia para con los accionistas e inversionistas (tanto institucionales como minoritarios) Mejorar la cultura del control interno Asegurar la adecuada segregación de funciones, deberes y responsabilidades Incrementar la eficiencia en las operaciones y en los aspectos relacionados con el cumplimiento normativo. Generar valor para el accionista Un buen posicionamiento en Gobierno Corporativo ayuda a las empresas a proteger y crear valor porque: • Mejora su capacidad de acceso a financiación • Aumenta su valoración en el mercado • Fortalece su proceso de decisiones, su performance y perfil de riesgo • Alinea los intereses de los accionistas y de los administradores ya que facilita la relación entre ambos En definitiva, genera confianza en el mercado, los accionistas, el regulador y resto de stakeholders en el futuro a corto, medio y largo plazo de las compañías.   Crisis económicas y Gobierno Corporativo. La grave crisis económica y financiera por la que atraviesa la economía, en la que parecen haber influido ciertas desordenadas conductas empresariales en determinados sectores, ha incrementado la atención sobre la conveniencia de reforzar los niveles de transparencia y control en el ámbito de las sociedades cotizadas, por lo que han vuelto a adquirir actualidad temas como los relativos a garantizar la participación de los accionistas en las Juntas generales, así como los aspectos relativos a la conformación de la remuneración de los administradores societarios. La disciplina del Gobierno corporativo creció y se consolidó muy rápidamente en los países de economías más avanzadas, con independencia del modelo jurídico que rigiera su estructura empresarial. El interés por los Códigos de Buen Gobierno corporativo se extendió rápidamente desde el ámbito anglosajón al resto de países6, adquiriendo carta de naturaleza la adopción de códigos con la finalidad de aplicar el principio “cumplir o explicar”.   Marco de Gobierno Corporativo. Principios y actores internacionales. GC en el mundo. El sistema anglosajón se deriva de la ley común (de origen inglés), con una legislación más flexible, con prácticas comunes e interpretaciones judiciales previas de la ley y unos reglamentos que tienen aplicabilidad en los litigios. Asimismo, se caracteriza por tener un mejor sistema institucional, menores niveles de corrupción y cortes más eficientes. La propiedad se encuentra dispersa entre un gran número de accionistas, poseen estructuras de gobierno que buscan proteger los intereses de los inversores, cuentan con unos mercados financieros y de capitales muy desarrollados donde la propiedad y los derechos de propiedad son negociados de una forma intensa, y donde son frecuentes las ofertas públicas de adquisición. Por otra parte, el sistema continental surge de la ley civil (de origen romano), donde las leyes son dictadas por los parlamentos y las asambleas, y aplicadas por los jueces con la aplicabilidad limitada a la práctica aceptada. Este sistema, a su vez, se divide en tres grupos tradicionales de ley: la francesa, alemana y escandinava. La ley francesa es la más débil en la protección de los derechos del inversor, mientras que la alemana y escandinava se localizan en un nivel medio. La propiedad en estos países está más concentrada, se encuentra en manos de familias o bancos, unos mercados financieros mucho menos desarrollados y una protección a los inversores también menor, como consecuencia principal de la subordinación de los intereses de los accionistas a los de los propios directivos. Junto a estos dos sistemas está surgiendo en los últimos tiempos un tercer modelo o sistema, propio de los mercados emergentes, denominado “modelo emergente o institucional”. Se basa en factores como el gobierno, los bancos y otros tipos de instituciones, y su principal pilar es la transparencia institucional. Este sistema se caracteriza por una alta concentración de la propiedad y el control se encuentra en manos de corporaciones, bancos o familias, existiendo una alta probabilidad de conflicto de interés entre los accionistas controladores, la gerencia y los accionistas minoritarios. Sarbanes Oxley Act 2002 y el valor de la firma. Luego de una seguidilla de escándalos corporativos a finales del siglo XX, el congreso de Estado Unidos aprobó la ley Sarbanes Oxley (SOX) en 2002. Algunos de los cambios impuestos por SOX aumentan el rol de monitoreo de los directores independientes (tema expuesto con mayor detalle más adelante). La lista incluye: mayor independencia de los directores de la junta, definir estrictamente qué es independencia, existencia de comités de auditoría, nombramiento y compensación, y por último, sesiones de directorio sin accionistas internos. La motivación para esta serie de regularidad proviene de la creencia que las juntas directivas dominadas por directores independientes son buenas para todas las firmas, lo cual tiene raíz, en que antes de la regulación muchas firmas tuvieron directorios ineficientes. El caso de Argentina. Las crisis financieras han obligado a fortalecer el GC. Durante la crisis financiera de 1989-1991, el Gobierno se vio en la necesidad de tomar medidas compensatorias muy fuertes: un nuevo marco institucional y una reforma a la propiedad estatal que permitieron una mayor libertad en el mercado. Recientemente, la crisis de 2001-2002 originó incertidumbre y la aparición de conflictos de interés que han requerido reforzar las medidas disciplinarias de GC con respecto a la información privilegiada (Bebczuk, 2005). Con respecto al control de la propiedad, a partir de 1991 Argentina cambia su estructura de propiedad centrada en manos de importantes grupos familiares hacia un control por parte de grupos extranjeros y fondos de inversión, debido a una ola de privatizaciones, reestructuraciones, fusiones y adquisiciones que tuvo lugar en la última década. Es así como el país sustituye su sistema de tradición legal civil hacia un sistema financiero basado en el mercado de capitales. A partir de aquí se emiten un gran número de leyes y se visualiza un compromiso activo por parte de los bancos, abogados y empresas de consultoría. Sin embargo, la aplicación de la ley parece ser el punto débil en Argentina, requiriéndose una reforma en el sistema judicial. La Comisión de Nacional de Valores ha considerado los antecedentes argentinos y normas de mayor relevancia que ofrece el derecho comparado, adoptando un sistema acorde al régimen constitucional, así como a las características, tradiciones e idiosincrasia de su pueblo (MERVAL, 2010). En este sentido, la Comisión es responsable de promover diversas reformas legales sobre GC. Entre las más importantes encontramos la Ley de Sociedades Comerciales No. 19.550, referida a los deberes y responsabilidades de las juntas directivas, los derechos de los accionistas y la reglamentación sobre Asambleas Generales de Accionistas. Por otra parte, el capítulo VIII de la Ley de Oferta Pública No. 17.811, postula las normas aplicables en materia de revelación de información, funciones de la Asamblea de Accionistas (Art. 72); y Actos o contratos con partes relacionadas (Art. 73) para las entidades emisoras. El Decreto de Transparencia No. 677/2001 regula aspectos referidos a la información privilegiada, derechos minoritarios de los stakeholders, auditoría externa y comité de auditoría, información pública, procedimientos de fusiones y adquisiciones y prácticas de buen gobierno para las compañías cotizadas. El decreto 677 señala “que desde la perspectiva de los mercados financieros globalizados, las buenas prácticas de gobierno son un valor reconocido que influye en la respectiva tasa de riesgo” y su objetivo es integrar los mercados de valores con las fuentes de ahorro institucional (fondos de pensión, fondos de inversión, compañías de seguros, etc.) y con los inversores individuales (MERVAL, 2010). Entre otras leyes encontramos la Ley 21.382 de inversión extranjera, la ley 22.169 de las funciones de la Comisión Nacional de Valores, Ley de obligaciones negociables No. 23.576, y el Código de Mejores Prácticas de Gobierno de las Organizaciones para la República Argentina de 2004 (Gutiérrez, 2005). Recientemente se ha publicado el Código de Protección al Inversor que se refiere a una serie de prácticas para garantizar la transparencia en la información y proteger al inversor, para lo cual se integra un procedimiento para la recepción y tramitación de denuncias. El organismo responsable de promover el buen GC es el “Instituto Argentino para el Gobierno Corporativo”, que recomienda que las sociedades con oferta pública se adhieran al Código de Mejores Prácticas y que sea aplicado por las sociedades cerradas, grandes y pequeñas (IAGO, 2010)   Principios de Gobierno Corporativo de la OCDE. Inicialmente, los Principios de Gobierno Corporativo se elaboraron en respuesta a un llamamiento del Consejo de la OCDE tras una reunión celebrada, a nivel ministerial, los días 27 y 28 de abril de 1998, en el que se requería el desarrollo de un conjunto de normas y directrices en materia de gobierno corporativo, conjuntamente con los Gobiernos nacionales, con otras organizaciones interesadas y con el sector privado. Desde la aprobación de los Principios en 1999, éstos han constituido la base de las iniciativas en el ámbito del gobierno corporativo puestas en práctica tanto en los países de la OCDE como en los países no-miembros. I. Garantizar la Base de un Marco Eficaz para el Gobierno Corporativo. El marco para el gobierno corporativo deberá promover la transparencia y eficacia de los mercados, ser coherente con el régimen legal y articular de forma clara el reparto de responsabilidades entre las distintas autoridades supervisoras, reguladoras y ejecutoras. II. Los Derechos de los Accionistas y Funciones. El marco para el gobierno corporativo deberá amparar y facilitar el ejercicio de los derechos de los accionistas. Entre los derechos fundamentales de los accionistas debe figurar el derecho a: 1) asegurarse métodos para registrar su propiedad; 2) ceder o transferir acciones; 3) obtener información relevante y sustantiva sobre la sociedad de forma puntual y periódica; 4) participar y votar en las juntas generales de accionistas; 5) elegir y revocar a los miembros del Consejo; y 6) participar en los beneficios de la sociedad. III. Tratamiento Equitativo de los Accionistas. El marco para el gobierno corporativo deberá garantizar un trato equitativo a todos los accionistas, incluidos los minoritarios y los extranjeros. Todos los accionistas deben tener la oportunidad de realizar un recurso efectivo en caso de violación de sus derechos. A. Todos los accionistas de una misma serie dentro de una categoría deben gozar de un tratamiento igualitario. IV. El Papel de las Partes Interesadas en el Ámbito del Gobierno Corporativo El marco para el gobierno corporativo deberá reconocer los derechos de las partes interesadas establecidos por ley o a través de acuerdos mutuos, y fomentar la cooperación activa entre sociedades y las partes interesadas con vistas a la creación de riqueza y empleo, y a facilitar la sostenibilidad de empresas sanas desde el punto de vista financiero. V. Divulgación de Datos y Transparencia El marco para el gobierno corporativo deberá garantizar la revelación oportuna y precisa de todas las cuestiones materiales relativas a la sociedad, incluida la situación financiera, los resultados, la titularidad y el gobierno de la empresa. VI. Las Responsabilidades del Consejo El marco para el gobierno corporativo deberá garantizar la orientación estratégica de la empresa, el control efectivo de la dirección ejecutiva por parte del Consejo y la responsabilidad de éste frente a la empresa y los accionistas. Los miembros del Consejo deberán actuar disponiendo siempre de la información más completa, de buena fe, con la diligencia y atención debidas y en el más alto interés de la sociedad y de los accionistas.   Regulación y autorregulación. El gobierno corporativo de buena calidad, en consecuencia, afecta de distinta forma a los múltiples grupos de interés en la corporación. En primer término, un buen gobierno corporativo permite a la empresa hacerse más atractiva para los inversionistas, reduciéndose su costo de capital, y de esa manera, adquirir un mejor posicionamiento de mercado. Al mismo tiempo, los clientes y proveedores de la firma valoran el mayor grado de transparencia presente ante un buen trabajo del directorio. Los empleados ven, además, fortalecido su sentido de la responsabilidad, mejora en sus procesos de toma de decisiones, y en la resolución de conflictos de interés. Por último, el público y la comunidad en general perciben, a través del buen gobierno corporativo, una mejora de la imagen pública y de las relaciones políticas de la empresa. Por todos los motivos hasta ahora expuestos, existe una conciencia creciente por parte del sector privado acerca de la necesidad de un buen gobierno de la empresa, siendo necesario apelar a la autorregulación como la clave para mejorar los marcos normativos existentes. Esta autorregulación –realizando recomendaciones, y no normas rígidas– busca que el mundo empresarial disponga de una guía de principios de buenas prácticas, antes de que el gobierno corporativo se vuelva un conjunto de normas imperfectas. Para que la autorregulación funcione, en resumen, se hace necesario que el sector privado colabore activamente con el diseño de mecanismos para cumplir las conductas exigidas. Además, debe existir la capacidad y la voluntad para aplicar reglas firmes entre los pares. Esto no es trivial, toda vez que la autorregulación no genera necesariamente los incentivos para detectar y exponer al público evidencia de las malas prácticas. En este sentido, se hace necesario que aquellos que infrinjan las normas sean sancionados por sus propios pares. Es sumamente necesario destacar que la autorregulación es una excelente alternativa para aquellas industrias donde la regulación pública sea costosa o ineficaz, o donde el fiscalizador público posea menos información o conocimientos que los actores presentes en el negocio o la industria, como de hecho ocurre en el mundo empresarial. Son los distintos stakeholders quienes tienen mayor y mejor información, quedando en una posición de ventaja sobre la labor de un fiscalizador externo en solitario. Por otro lado, existen problemas inherentes a las empresas –tal como a cualquier organización humana de carácter social– al sometérselas a estructuras y prácticas percibidas como las correctas, ya sean transmitidas por expertos, educadores y reguladores, tienden a ver forzado un proceso de mutación interna vía emulación o copia de prácticas. Esto no sería un problema si las prácticas generalizadas –como las provenientes de procesos de regulación puramente externa– estuvieran permanentemente alineadas con la empresa, y alimentadas de su mismo set de información relevante, lo cual según algunos estudios no se ha observado en la práctica. Por lo tanto, lo que ocurre dentro del directorio no es sólo afectado por la búsqueda de eficiencia económica, sino que también es función de las distintas fuerzas institucionales. En este contexto, la autorregulación puede ser una solución de gran relevancia. Esto, porque la promulgación de leyes, tal como se señala en varias investigaciones26, tienen alcances limitados con respecto a lo que ocurre efectivamente desde dentro de la organización. Los atributos de composición se refieren al tamaño del directorio, a la tipología de los directores, y a la representación de los minoritarios. Los atributos referidos a características del directorio consisten en las competencias y background de los directores, edades, educación, valores, y experiencia, y todos ellos atributos reflejados como “personalidad” del grupo como un todo. En cuanto a estructuras, éstas se refieren al número y configuración de comités, flujo de información entre éstos, y liderazgos del directorio. Por último, los procesos se vinculan con las distintas actividades que el directorio lleva a cabo, tales como reuniones e informes. Bajo este marco de análisis, podemos ver que los distintos mecanismos coercitivos, tales como las regulaciones y leyes, y los códigos generales de gobierno, tenderán sólo a afectar al directorio en sus aspectos visibles y formales, y sólo de forma muy indirecta los distintos elementos no observables. Un código menos general de gobierno corporativo, y más propio de la propia empresa, ejerce una presión de tipo más normativo que coercitivo, afectando de esa manera tanto los aspectos observables y formales, como a los no observables e informales. En tal contexto, cualquier tipo de regulación o código del tipo one size fits all perderá efectividad frente a una alternativa elaborada desde el interior del propio directorio, lo que sugiere por qué un mecanismo autorregulatorio como el que en este documento se propone surtirá el efecto deseado: la autorregulación mediante la preparación de un código propio de buenas prácticas puede influir tanto en las características más estructurales del directorio, como en los aspectos más ocultos –tales como los procesos de toma de decisiones del directorio en la práctica. Es recomendable que la autorregulación no sustituya el rol del Estado, sino que ambos se complementen. La autorregulación puede lograr un mejor desempeño cuando es implementada en paralelo con la regulación pública. Al combinarse, se podría aprovechar el conocimiento que tienen los regulados sobre su negocio y la industria, al mismo tiempo que el fiscalizador público puede disciplinar a los encargados de autorregularse. Pero, la autorregulación no puede basarse sólo en enunciados teóricos, sino que debe construirse sobre la práctica.  En ese sentido, las recomendaciones y guías, de implementarse efectivamente por un conjunto significativo de empresas, podrán ser una base autorizada para avanzar en la incorporación paulatina de mejores prácticas.

Compromiso con el buen gobierno corporativo. Políticas y Códigos. Los códigos de buen gobierno se refieren a una serie de buenas prácticas relacionadas con el directorio, y con los otros mecanismos de gobierno corporativo. Los códigos en el mundo se han diseñado para hacer referencia a las deficiencias de los sistemas de gobierno corporativo, recomendando un conjunto de principios de aceptación general, dirigidos a mejorar la transparencia de la información de las empresas, y la responsabilidad de los directores y de la administración. En EE.UU. en 1978 comienzan los primeros intentos de códigos de buenas prácticas para los directorios. El Business Roundtable publicó un reporte titulado The Role and Composition of the Board of Directors of the Large Publicly Owned Corporations, que surgió en un contexto en dónde prevalecían los gerentes generales en los directorios, no había intervenciones regulatorias, y los inversionistas institucionales jugaban un rol menor. Este primer reporte es una reacción a la ola de compras hostiles que caracterizaban a los conglomerados en Estados Unidos. La frase “gobierno corporativo” recién fue acuñada en los años ‘80, y se volvió un tema de preponderancia casi exclusivamente en Gran Bretaña y los Estados Unidos. Sólo en las últimas dos décadas el tema se ha empezado a extender a otros países, debido a la creación de bloques económicos y al proceso de la globalización de las economías. A principios de los ‘90, como reacción a un cúmulo de cambios en el ámbito de los negocios, en otros países se inició el desarrollo de códigos de gobierno propios. En la práctica, muchos de estos avances, surgen por iniciativas de gobiernos o de organismos multilaterales. En 1992 se publica el código de gobierno británico, que fue creado por el Cadbury Committee y que toma el nombre de Cadbury Committee Report: Financial Aspects of Corporate Governance. Este reporte pone fin a la era de los experimentos de códigos y establece una serie de reglas para una regulación efectiva de los códigos de gobierno. El Cadbury Report desarrolló una serie de estándares de buenas prácticas a la que se recomendaba a las compañías aspirar. Esta nueva fórmula evitaba grandes regulaciones y permitía a las compañías elaborar sus propias prácticas siguiendo determinados principios. A partir del Cadbury Report, en los años ‘90 se generó una proliferación de los códigos de buenas prácticas y principios de gobierno corporativo como respuesta a los escándalos corporativos de la época. Esta tendencia comenzó en Inglaterra, EE.UU. y Canadá debido a la baja en el desempeño corporativo de las compañías líderes, la percepción de una baja efectividad de los directorios, y a la presión desde los inversionistas institucionales por un cambio. Después de la publicación de estos códigos, la tasa de adopción de códigos de gobierno corporativo en el mundo aumentó significativamente. Poco a poco, comenzaron a surgir, ejemplos de empresas que tomaron la iniciativa, y realizaron su propio Código de Gobierno, interpretando los documentos “madre”, pero adaptándolo a la realidad de su propia compañía. Inicialmente publicado en 1999, y revisado el año 2004, la OECD publicó el documento OECD Principles of Corporate Governance. La OECD considera que la integridad de las compañías y mercados es clave para la salud y la estabilidad de la economía. En este documento se plantean seis principios de gobierno corporativo, que no son más que preceptos bajo los cuales los países miembros deben guiar la implementación de políticas específicas. En resumen, esta publicación establece que existe un conjunto de elementos comunes que todo buen conjunto de reglas de gobierno corporativo debiese incorporar, a pesar de que la imposibilidad de la generación de un modelo único: 1) Protección de los derechos de los accionistas. 2) Asegurar el tratamiento equitativo de todos los accionistas, incluyendo los minoritarios y extranjeros. 3) Reconocer los derechos y el rol de los stakeholders. 4) Asegurar la divulgación oportuna y precisa de cualquier información acerca de la compañía. 5) Responsabilidad del directorio en la aprobación de las directrices estratégicas de la compañía y del control de la gestión ejecutiva. 6) Responsabilidad del directorio hacia la empresa, sus accionistas, y también hacia la sociedad y los demás stakeholders. Ahora bien, al realizar una revisión de los distintos códigos de buenas prácticas de gobierno de la compañía, cada uno tiene un énfasis en el grado de obligatoriedad del cumplimiento de las medidas en él contenidas. Una primera posibilidad es la de guías de buenas prácticas, donde las personas que prepararon el documento hacen meras recomendaciones que pueden o no ser cumplidas. Una segunda alternativa, algo más dura es obligar al directorio a cumplir con las prácticas, y en los casos en que esto no ocurra, hacer explicar cuidadosamente el porqué del no cumplimiento. Una tercera modalidad, que va otro paso más allá, es la idea de hacer obligatorio el cumplimiento de las medidas, “sin excusas”, que prácticamente es el preámbulo a la cuarta y más dura posibilidad de todas, que es lisa y llanamente la promulgación de una ley.   Principales elementos de por Códigos de GC. Estructura de la Propiedad A modo de introducción, es necesario mantener un dossier actualizado sobre la información básica de la empresa donde se describa completamente la composición de la propiedad de la empresa, se detalle transparentemente la estructura de ésta, así como los pactos y las asociaciones internas de los propietarios. En particular, se recomienda: 1) Entregar información sobre el capital social de la compañía, con la fecha de la última modificación y explicar si existen diferentes clases de acciones. 2) Mostrar la estructura de propiedad de la empresa, con participaciones directas e indirectas. 3) Señalar los titulares con participación significativa (mayor al 5%) 4) Identificar a las personas que tengan influencia significativa en la empresa, es decir, que puedan nombrar por sí solos a un director. 5) Señalar cambios significativos en la estructura accionaria en el periodo del reporte. 6) Indicar aquellos directores que tengan propiedad de acciones, detallando el número y sus participaciones indirectas. 7) Informar y detallar acerca de pactos o acciones concertadas entre accionistas que sean conocidas por la sociedad. 8) Detallar, si existen, restricciones legales y de estatutos a los ejercicios de los derechos de votos y también adquisiciones o transmisión de participaciones en el capital social. 9) Informar de directores que tengan participación en otras sociedades del mismo giro de la empresa, e indicar el cargo que en ellas ejerzan. 10) Informar sobre el nivel de participación en la propiedad de los colaboradores y de la Alta Dirección.   Directorio Misión del Directorio En este capítulo, se recomienda definir cuál es la visión y las políticas del directorio con respecto a distintas áreas. Como es sabido, el directorio debe de representar los intereses de los dueños desarrollando la estrategia del grupo, y por lo tanto, es responsable por el desempeño de la compañía y de asegurar la permanencia de la empresa en beneficio de los accionistas. Entre otros, el directorio deberá definir en su propio Código de Gobierno: 1) Los principios que rigen a la empresa y los valores que mueven al directorio. En caso de que existan, el código de ética o de conducta de la empresa puede constituirse en el documento marco. 2) Cada empresa, y respecto del directorio de la misma se deberá detallar:                  • Principios, roles y tareas del directorio                  • Requisitos para pertenecer al directorio                  • Requisitos para ser presidente del directorio 3) Identificar y definir cuál es la estrategia que el directorio ha delineado a largo plazo para la empresa.   Composición del Directorio En este ítem, habrá que detallar el perfil del directorio. Aquí se debe analizar el tamaño del directorio, competencias y capacidades necesarias de los distintos miembros. Es muy importante mostrar un directorio que pueda cumplir con los requisitos deseables de suficiencia, diversidad, complementariedad e independencia. 1) Se necesita detallar el número de integrantes del directorio, así como también definir los términos relacionados con la reelección. 2) Se debe dejar establecido el proceso de selección de los miembros del directorio y sus capacidades, elaborando explícitamente una descripción del cargo de cada potencial director 3) Resulta pertinente definir el conjunto de criterios para nombrar al presidente del directorio. 4) Debe incluirse información acerca de los cargos paralelos u otras labores que puedan ejercer los directores en otras empresas (ya sean del grupo o no).   Requisitos para la designación de directores Es bueno dedicar un apartado que detalle los procesos de inclusión, remoción o renuncia de los directores. Todo director debe constituirse en un aporte para el desempeño óptimo de la empresa, haciéndose fundamental que los directores tengan las capacidades apropiadas al momento que vive la empresa. Debe existir un proceso formal y transparente para la incorporación de nuevos directores, así como también para su renuncia o remoción. En particular, se recomienda especialmente: 1) Definir el proceso de incorporación y de remoción de los directores según lo establecido por los estatutos de la compañía y por ley. 2) Definir los criterios de pertenencia al directorio. 3) Definir explícitamente las circunstancias bajo las cuales un director debe renunciar a su labor.   Funcionamiento del Directorio Para asegurar una adecuada representación de los accionistas en el directorio, se deberán definir de manera detallada las normas de describir el funcionamiento del directorio, en este capítulo se deben dar detalles sobre la operación del directorio en la práctica, haciendo hincapié en las normas básicas de funcionamiento, de manera tal que exista una adecuada representación de los accionistas en él. Una lista útil de labores en este respecto incluye: 1) Definir el número de reuniones mínimas que el directorio deberá realizar al año, entregando información sobre los períodos en los cuales se realizarán las reuniones tanto las ordinarias como las extraordinarias. 2) Definir el proceso de diseño de la agenda formal y en especial, de aquellas materias reservadas a la decisión del directorio, en caso que dicha agenda. 3) Detallar la duración y contenidos de las reuniones ordinarias típicas. 4) Entregar información acerca de las facultades especiales que se le han delegado al presidente del directorio. 5) Definir la asistencia mínima de los directores a las reuniones ordinarias y extraordinarias.   Comités del Directorio La existencia de comités es de importancia clave para el buen funcionamiento del directorio, ya que se trata de órganos de apoyo que facilitan el trabajo de los directores. Por esto, se deberán definir los comités existentes, quiénes los componen, cómo funcionan, la regularidad de sus reuniones, las competencias de cada uno de ellos, y los resultados de estos comités. Pueden constituirse comités tan diversos como un comité de auditoría, uno de mecanismos de compensación, otro de remuneraciones, o uno de responsabilidad social empresarial, entre otros. Para cada uno de los distintos comités, el se debiese enumerar: 1) Estatutos del comité, responsabilidades delegadas formalmente a él y las reglas de funcionamiento. 2) Integrantes del comité. 3) Número de reuniones a realizar 4) Resumen de actividades a desarrollar por cada uno de los comités 5) Presupuesto asignado para su funcionamiento   Contabilidad y Auditoría Éste es un aspecto crucial de la gestión del directorio, por lo que se debe entregar toda la información que permita entender la relación que existe entre los directores y los auditores. Además de lo que ya se haya detallado en el ítem del comité de auditoría, se debe también explicitar la forma de manejar la independencia de los auditores, y qué procesos adicionales de auditoria externa existen en la empresa. Se deben establecer procesos formales y transparentes para el desarrollo de los reportes financieros y para los controles de auditoría. 1) Indicar la composición y las funciones del comité. Detallar el número de integrantes, y si son independientes o no. 2) Explicitar los mecanismos establecidos para preservar la independencia de los auditores y de los bancos de inversión. 3) Establecer una política formal relativa a la relación con los auditores.   Compensación En este capítulo se debe informar acerca de la metodología con la que se define la remuneración de los directores, exponiendo de forma explícita: 1.- A través de qué procesos formales se determina la remuneración; cuál es la política de remuneraciones, detallando de qué manera las remuneraciones de los directores están vinculadas o no al desempeño, y en qué plazos. 2.- Detallar qué porcentajes de compensación son fijos y variables   Nominación / Inducción Los criterios de selección deben ser formales y transparentes para los directores. A través de estos procesos, se busca atraer y retener a las personas idóneas en los cargos. Todas las empresas deben tener un proceso de inducción formal a ser llevado a cabo entre los nuevos directores, de modo tal de entregarles los conocimientos necesarios sobre sus cargos, y acerca de la compañía. Es importante, además, que todas las empresas diseñen un plan de sucesión que permita asegurar un correcto manejo de la empresa a pesar de tener cambios en el directorio. Se debe: 1) Definir cómo se realiza el nombramiento de los directores, cuáles son los parámetros y las características requeridas en la empresa. 2) Indicar cuál es el proceso de inducción de los nuevos directores, cómo se realiza, qué información se les entrega y la duración de este programa. 3) Informar si existe un plan de sucesión del directorio establecido.   Evaluación del Desempeño Debe de existir un proceso de evaluación de desempeño, formal y transparente, mediante el cual sea factible evaluar, por una parte, el aporte individual de cada director, y por otra, el aporte del directorio como un todo: Para ello, es necesario analizar, cómo funciona el proceso de evaluación, cuál es el proceso, quiénes realizan la evaluación, cómo se evalúa, cuáles son los parámetros y cuál es la frecuencia de la evaluación. Del mismo modo, es crucial informar si se deberá realizar un informe anual respecto al desempeño del directorio, y quiénes tienen acceso a él.   Alta Gerencia Información Oportuna y Relevante para el Directorio Es pertinente definir claramente la información que la alta gerencia le debe entregar al directorio, especificando procedimientos formales, mediante qué canales serán difundidos, y la forma mediante la cual los ejecutivos tendrán conocimiento sobre las necesidades de información del directorio. En específico, el directorio debe ser provisto de información relevante y oportuna para poder tomar decisiones y tener el desempeño correcto. La información deberá ser entregada al directorio por los ejecutivos de manera precisa y eficiente. 1) Hay que detallar los procedimientos mediante los cuales los directores puedan acceder a la información necesaria, de modo de tener la posibilidad de preparar los temas de sus reuniones con tiempo suficiente. 2) Indicar qué tipo de información se le entrega al Directorio y con qué regularidad. 3) Definir el mecanismo mediante el cual los directores se pueden acercar a los ejecutivos para obtener información adicional. 4) Detallar la información requerida por los directores y el conocimiento que tiene la alta gerencia acerca de ella.   Compensación de los Ejecutivos Se deberá diseñar una metodología con la que se defina la remuneración de los ejecutivos, detallando: 1) A través de qué procesos formales se determinar la remuneración. Mostrar cuál es la política de remuneraciones, detallando el modo mediante el cual las remuneraciones de los ejecutivos están ligadas o no al desempeño, y en qué plazos. 2) Determinar los porcentajes de compensación que son fijos y variables.   Nominación / Desarrollo Los criterios de selección de los ejecutivos de la empresa deben ser formales y transparentes. A través de estos procesos se busca atraer y retener a las personas idóneas en los cargos. Deben existir criterios explícitos y transparentes para el desarrollo de carrera de los ejecutivos de la empresa. De la misma forma como debe ocurrir con los miembros del directorio, es clave que la firma haya diseñado un plan de sucesión que permita asegurar un correcto manejo de la empresa, a pesar de potenciales cambios en la alta gerencia. 1) Diseñar los procesos formales de nombramiento de los ejecutivos, cuáles son los parámetros y las características requeridas en la empresa. 2) Indicar cuáles son los planes de desarrollo de ejecutivos, cómo se realizan y los requerimientos. 3) Diseñar un plan de sucesión para los mismos.   Evaluación de Desempeño de la Alta Gerencia Se debe detallar en qué consisten los procesos de evaluación de desempeño de los ejecutivos de la empresa. Debe tratarse de un proceso formal, transparente, ampliamente conocido, y previamente consignado por escrito. 1) Indicar los procesos de evaluación existentes para la administración. 2) Informar quiénes son los encargados de definir y llevar a cabo estos procesos de evaluación. 3) Detallar los parámetros relevantes para la evolución de los ejecutivos. 4) Indicar cada cuánto tiempo se somete a los ejecutivos a esta evaluación.   Accionistas Información Es necesario que los accionistas, como dueños del capital de la firma, tengan un acceso oportuno y expedito a toda la información relevante del accionar de la empresa. El directorio tiene la labor fundamental, en este aspecto, de conectar a la compañía con sus accionistas. 1) Se deberán definir informes de publicación regular para los accionistas y la información mínima que deberá ser transmitida a los mismos. 2) Además, se deberán definir las medidas que se toman para difundir la información en los mercados de valores de manera que la transmisión sea tanto equitativa como simétrica para todos los accionistas. 3) Diseñar procesos o maneras concretas de acceso para los accionistas para obtener información.   Juntas de Accionistas En este capítulo se debe entregar toda la información relacionada con la organización de la junta de accionistas, quiénes pueden participar, cuáles son los derechos de los accionistas frente a la junta, y explicar de qué forma se incentiva a los accionistas a participar, es decir, todos aquellos aspectos no cubiertos actualmente por la legislación.   Conflictos de interés Las empresas deberán contar con mecanismos ágiles de detección, administración y difusión de conflictos de interés en las operaciones con partes relacionadas u otras. En tal sentido, resulta pertinente definir: 1) Cuáles son los tipos de operaciones que suponen conflictos entre las empresas y los accionistas. 2) Cuáles son los tipos de operaciones que suponen conflictos entre las empresas y los directores o ejecutivos. 3) Cuáles son los tipos de operaciones que suponen conflictos entre las empresas y otras sociedades pertenecientes al mismo grupo, siempre y cuando no formen parte del tráfico habitual de la sociedad o que se eliminen en el proceso de estados de resultados consolidados. 4) Cuáles son los posibles conflictos de interés en que se puedan encontrar involucrados los directores de las empresas. 5) Mecanismos establecidos para detectar y resolver los posibles conflictos de interés. 6) Se deberá definir un órgano interno que regule y decida sobre los conflictos de interés.   Control de Riesgos La política de control de riesgos de la empresa y el modelo de administración de riesgos con que se trabaja, son características fundamentales de los buenos gobiernos corporativos. Toda empresa debiese tener, y hacer explícita, una política de control de riesgos, de forma de dar a conocer su visión sobre el tema y como lo enfrentan. Se deben analizar los distintos tipos de riesgos existentes. En particular: 1) Definir cuáles son los principios de la empresa con respecto a la gestión de riesgo. 2) Detallar la política de riesgos de la sociedad y la forma de funcionamiento. Se deben analizar todos los riesgos presentes como el riesgo: crediticio, operativo, de mercado, financiero, de reputación. 3) Informar a los accionistas, cuáles son los principales riesgos que, a juicio de la administración, enfrenta la empresa. 4) Explicar el sistema de control de riesgo que tiene la empresa. 5) Informar, cómo en caso de materializarse un riesgo se procederá y a quiénes se reportará. 6) Definir un mecanismo externo que supervise el control de riesgos. 7) Definir de manera detallada la matriz de riesgos del negocio y mantenerla actualizada, definiendo para ello, órganos o personas responsables y un proceso concreto para hacerlo.   Responsabilidad Social Empresarial En esta parte del informe, es pertinente –y de vital importancia– describir y mostrar cómo la empresa se relaciona con la sociedad en la que está inserta y su participación activa en ella. La empresa no se debe exclusivamente a sus accionistas, sino que debe relacionarse adecuadamente con todos sus stakeholders. Es importante mostrar todos los aspectos en los que la empresa participa. 1) Hay que explicitar los principios o enfoques que permitan a la empresa proyectarse como una empresa socialmente responsable y que se preocupa del desarrollo sustentable. 2) Informar si se elaboran proyectos de desarrollo comunitario, de inversión en la prevención de la contaminación y de preocupación por la salud y seguridad de los trabajadores internos y contratistas y qué porción de los ingresos de la empresa se destinan a cada grupo. 3) Definir una política de desarrollo sustentable, estrategias, objetivos y compromisos, así como un plan estratégico de mediano y largo plazo en la materia 4) Informar los resultados de la implementación de medidas concretas en la materia y su impacto. 5) Definir y divulgar si se realiza periódicamente un reporte de sustentabilidad que detalle los conceptos antes mencionados.   Estructura, composición y rol del Directorio. Ambiente de Control.   Rol del Directorio. En general el directorio actúa como agente de los accionistas a cargo de dirigir la compañía. En grandes compañías, el directorio no está a cargo de manejar el día a día de la empresa, sino que maneja decisiones de alta relevancia y delega todas las otras responsabilidades a administradores. Las principales responsabilidades de la junta directiva son: 1- Contratar, evaluar y a lo mejor, despedir a los gerentes desde el CEO 2- Votar en proposiciones de gran envergadura 3- Votar en decisiones mayores de financiación 4- Ofrecer consejos a los administradores 5- Asegurar que las actividades financieras de la firma han sido reportadas a los accionistas, de forma correcta. El directorio puede ser considerado como el monitor interno más importante de la empresa, ya que representa la cúspide de la pirámide de jerarquía.   El rol del director independiente. Estos han aumentado su presencia en las juntas directivas bajo el fundamento que pueden evitar fraudes y mala administración, el uso ineficiente de los recursos, la desigualdad y la falta de responsabilidad en la toma de decisiones y, además, como un presagio para lograr el balance entre intereses individuales, económicos y sociales. El objetivo fundamental de los directores independientes es la imparcialidad. Las compañías desean identificar directores que sean capaces de realizar sus tareas sin ningún conflicto de interés en su toma de decisiones. Para asegurar esto, hay ciertas pautas a tener en consideración al nombrar a directores independientes. La empresa debe adoptar una postura flexible en razón de las circunstancias vividas para satisfacer los criterios elegidos.

Transparencia y divulgación de información.   Concepto de Transparencia. La transparencia que es un factor esencial en las empresas tiene una estrecha relación con la comunicación y el diálogo, ya que afirma que estas prácticas proporcionan crecimiento en la confianza hacia las organizaciones. Información económica. Incluye las cuentas anuales, planes estratégicos, fuentes de financiación, planes de inversión, presupuestos para el próximo año… Informe de auditoría. Es el informe emitido por un profesional externo e independiente que da fiabilidad a las cuentas anuales e informa al usuario de la información contable si éstas no expresan la imagen fiel. En caso de las Administraciones Públicas la fiscalización se lleva a cabo por parte de organismos como el Tribunal de Cuentas. Informe de gobierno corporativo. Información sobre las relaciones entre miembros del consejo, alta dirección y socios. Se trata de las actuaciones que lleva a cabo la organización para proteger a los o accionistas minoritarios y para garantizar que el gobierno se encuentra cumpliendo la legalidad y los principios éticos. Informe de responsabilidad social corporativa. Información sobre los objetivos, actuaciones y resultados en relación con las diferentes partes interesadas. Incluye información sobre actuación económica, medioambiental y social. Puede contener una serie de indicadores estándars como los del Global Reporting Initiative (GRI), que son aceptados a nivel mundial para la elaboración de memorias de sostenibilidad económica, medioambiental y social. La transparencia en las organizaciones se puede estudiar desde dos enfoques, el primer enfoque es el financiero que tiene que ver con las políticas económicas de los países y el segundo enfoque se relación con la transparencia corporativa haciendo referencia al entorno legal, es decir el régimen legal judicial de cada país. Por esto a continuación se va a enfatizar en cada uno de estos enfoques.   Transparencia Financiera. A partir de situaciones relacionadas con fraudes alrededor del mundo respecto a la revelación de información financiera manipulada o información incompleta, se ha contemplado la necesidad por mejorar el control que se lleva en las organizaciones para evitar éstas prácticas indebidas, por esto, la importancia de la transparencia financiera es cada vez más fuerte en materia de optimización de las políticas contables e implementación de estándares y normas internacionales, todo esto con el fin de que la información financiera revelada pueda ser utilizada de forma confiable especialmente en la toma de decisiones acertadas en una compañía, ya que no solo se refiere a la revelación de información transparente sino a información clara, fácil de comprender y verificable por lo stakeholder. La transparencia financiera es un concepto y una práctica que busca cuidar y advertir sobre el estado de la organización, así mismo, las oportunidades de invertir teniendo en cuenta la información relevante, sin embargo, debido a que un gran porcentaje de compañías está empezando a difundir su información financiera por medios electrónicos, se percibe que la información que se difunde es insuficiente y es ahí donde se connotan prácticas habituales  por parte de los analistas financieros quienes están forzados a comunicarse con las organizaciones para aclarar, establecer información más profunda y determinar temas sobre el futuro de la compañía, aspectos que dejan claro que las empresas deberían estar obligadas a entregar mayor información al público, debido a que puede existir la  transmisión de una gran cantidad de información pero la falta de compresión hace que ésta misma ocasione desinformación.   Transparencia Corporativa. La transparencia corporativa hace referencia a la información que revelan las empresas sobre la identidad de los directores, administradores y socios mayoritarios, así como la remuneración de estos mismos, también información acerca del gobierno de la empresa y las oportunidades de inversión e información específica la cual es utilizada por los inversiones externos.   El Gobierno Corporativo como mecanismo de transparencia. Los principio del Gobierno Corporativo según la Organización para la Cooperación y el Desarrollo Económico OCDE (2004), fueron elaborados con el fin de ser una guía e instrumento para todos los interesados por el GC, siendo estos un referente para inversores, empresas, políticos y partes involucradas a nivel mundial, teniendo en cuenta que las buenas prácticas de GC contribuyen a potenciar la competitividad de las organizaciones, estabilidad de los mercados financieros, incrementar la inversión y el crecimiento económico; debido a la importancia de estos principios en el tema de GC a continuación se describirá brevemente cada uno de los Principios de Gobierno Corporativo según la OCDE: Garantizar la Base de un Marco Eficaz para el Gobierno Corporativo: El marco para el GC debe promover la transparencia y eficacia de los mercados, ser consecuentes con los requisitos legales y reglamentarios que afectan las prácticas de gobierno y dar claridad en la responsabilidad que tienen las autoridades supervisoras, reguladoras y ejecutoras. Los Derechos de los Accionistas y Funciones Clave en el Ámbito de la Propiedad: El marco para el GC debe proteger los derechos de los accionistas, mantener información clara y actualizada sobre las normas y responsabilidades para las votaciones en las juntas generales y así mismo brindarle la información oportuna sobre los temas a tomar decisión. Tratamiento Equitativo de los Accionistas: El marco para el GC debe garantizar el trato igualitario de todos los accionistas y estos deben conocer la información sobre sus derechos sean minoritarios o extranjeros, evitando que los inversionistas mayoritarios o con poder de control tomen decisiones de forma autoritaria. El Papel de las Partes Interesadas en el Ámbito del Gobierno Corporativo: El marco del GC deberá reconocer los derechos de los grupos de interés de la compañía de acuerdo con lo establecido por la ley, así mismo, facilitar la perdurabilidad de las empresas sanas. Revelación de información y transparencia: El marco del GC deberá garantizar la divulgación de información oportuna y veraz, incluyendo todos los aspectos relevantes a la compañía como, información financiera, estructura organizacional, gobierno de la empresa entre otros. Las responsabilidades de la junta directiva: El marco del GC deberá garantizar la correcta orientación de la compañía y el control efectivo de los directivos de la empresa por parte de la junta directiva, como también la responsabilidad de la junta ante los socios y la compañía.   Protección de los derechos del accionista. En el transcurrir de los años, los empresarios han buscado diferentes mecanismos para incrementar su patrimonio, desarrollar y hacer crecer sus empresas. Sin embargo, en su trayecto se ha identificado la necesidad de atraer a nuevos inversionistas que puedan aportar capital económico e intelectual para continuar su crecimiento. Dicha necesidad, ha sido la punta de lanza para analizar mecanismos y cláusulas a través de las cuales se permita la integración de nuevos accionistas dentro de una empresa. Por lo anterior y con el fin de normar las relaciones entre los distintos socios y/o accionistas, los propios organismos reguladores han desarrollado diferentes clases de sociedades y asociaciones mercantiles que permitan a los inversionistas, asociarse e incrementar su patrimonio, así como potencializar el crecimiento de las mismas. Independientemente de la forma de organización de una empresa, la incorporación de accionistas y la relación entre quienes ostentan la mayoría y la minoría accionaria, ha sido un tema que a través de los años ha generado discusión.  De hecho, el deterioro en las relaciones y falta de acuerdos, ha derivado en venta de acciones, escisiones, detrimento o cierre de empresas, demandas y juicios entre accionistas y administrativos, pleitos familiares, entre otros aspectos. De acuerdo al índice de riesgo calculado por distintas calificadoras internacionales de riesgo, a nivel global existen países que son percibidos como zona de alto riesgo para invertir, debido a que no existen los mecanismos apropiados para salvaguardar los intereses del inversionista. Es por eso que en los últimos años se ha detectado un interés creciente por parte de los gobiernos de implementar mecanismos normativos y regulatorios con la finalidad de proteger al accionista minoritario, así como mecanismos de gobierno corporativo que fomenten la transparencia, equidad, rendición de cuentas y responsabilidad social. A lo anterior podemos agregar que dichos mecanismos normativos y regulatorios pueden influenciar directamente en la atracción de inversión nacional y/o extranjera, ya que el inversionista contará con las bases suficientes para poder decidir en qué mercado está dispuesto a invertir en función a la seguridad que perciba por parte del gobierno en materia de sus derechos y la protección de sus inversiones. Es importante mencionar que la protección de los accionistas minoritarios es más que la simple conformación de la estructura accionaria, o bien, que el cumplimiento al principio universal “una acción, un voto”, ya que involucra de manera adicional el derecho “per se” de participar en las ofertas públicas de acciones emitidas por las empresas, lo cual le permitirá gozar de los mismos beneficios que los accionistas mayoritarios e influir en la toma de decisiones  corporativas de manera proporcional y con base en su tenencia accionaria. Por lo que la expresión “gobierno corporativo” en su acepción de movimiento de reforma para mejorar la dirección y el control de las sociedades o en el de las medidas en que se concreta en forma de recomendaciones, no cabe duda alguna de que, como se dice en el título, es un instrumento a favor del accionista minoritario. No es que sea ese su único y exclusivo objetivo, pero en todo caso es un fin al que se orientan el movimiento de reforma y las medidas recomendadas. La finalidad principal de la reforma, la mejora del sistema, siempre redundaría en beneficio de la parte más débil y más necesitada de tutela entre las que componen el delicado mecanismo de intereses que late en el seno de las sociedades anónimas, muy especialmente de las cotizadas. La clasificación de los distintos derechos puede realizar desde diferentes perspectivas pero, esencialmente, se distinguen dos categorías: los derechos políticos y los derechos económicos o patrimoniales. Entre éstos últimos se encuentran: • Derecho al dividendo. • Derecho de suscripción preferente, cuando una sociedad decide ampliar su capital con la emisión de nuevas acciones u obligaciones convertibles en acciones. • Derecho a la cuota de liquidación, en caso de que la sociedad llegara a disolverse y liquidarse. • Derecho de separación, que se circunscribe a determinados casos.   Derechos políticos. Derechos en relación con la convocatoria, asistencia, representación y veto en la Asamblea o Junta General de Accionistas • Solicitar la convocatoria de la Asamblea o la Junta General a los administradores o por vía judicial. (Juntas Ordinarias y Extraordinarias) • Asistir a la Asamblea o Junta General de Accionistas • Designar representante en la Asamblea o Junta General • Derecho de veto de modificaciones estatutarias perjudiciales o que impliquen nuevas obligaciones • Solicitar presencia de Fedatario Público en la Asamblea • Solicitar la inclusión de puntos del orden del día o de propuestas sobre puntos del orden del día, y su publicidad formal   Derechos de información. • Información pública de la Junta General en la web de la sociedad u otro medio, respecto a: – Anuncio íntegro de la convocatoria – Número total de acciones y derechos de voto – Informes de administradores, auditores, expertos independientes, peritos, etc – Propuestas de acuerdos de los administradores y otros accionistas – Requisitos para voto a distancia y/o representación • Solicitar con antelación a la celebración de la Junta informes o aclaraciones sobre puntos del orden del día.   Nombramientos y destitución de los administradores • Derecho a designar consejeros. • Solicitar la destitución en los supuestos de: – Infracción de las prohibiciones legales para ejercer el cargo – Intereses contrapuestos a la compañía o ser competidores • Ejercicio de acción de responsabilidad contra administradores, en caso de que no lo haga la Sociedad   Impugnación de acuerdos sociales • Actos contrarios a la ley, los estatutos o lesionen los intereses de la Sociedad en beneficio de uno o varios accionistas • Impugnar acuerdos del Consejo de Administración • Solicitar revocación del auditor judicialmente • Solicitar judicialmente la suspensión de acuerdos sociales impugnados   Casos especiales: empresas de familia, financieras y del estado.   Empresas de familia. En la empresa familiar se caracteriza porque su propiedad, conducción o control se halla en manos de un grupo familiar que hace de ella su medio de sustento, sin importar cuál sea su forma jurídica. La complejidad dentro del universo de la empresa familiar, se encuentra dada por la interacción entre los roles familiares y los roles empresariales. Abarcando elementos de diversas áreas del conocimiento, más allá del específico del derecho, como la sociología, la psicología, la dinámica de grupos y la negociación; y al vincular la empresa familiar con el gobierno corporativo, nos encontramos con temas de administración de empresas y economía, entre otros. Por ello es posible afirmar que la incorporación de prácticas de gobierno corporativo por parte de la empresa familiar se trata de un fenómeno transversal, orientado a lograr una buena relación entre la empresa y la familia, como una estrategia para lograr la sostenibilidad de ambas, no sólo en lo económico y jurídico, sino también en lo relacional y afectivo, donde los principios del gobierno corporativo tienen mucho para ofrecer. En la empresa familiar la propiedad se encuentra en manos de uno o más miembros de un mismo grupo familiar (personas unidas por matrimonio o lazos de parentesco) que intervienen en la dirección de la misma. Y distingue cuatro elementos: 1. Que se trate de una empresa; 2. Que sea propiedad de un grupo familiar o al menos que detente el control mayoritario del mismo; 3. Que todos o alguno de los miembros del grupo la dirijan de manera directa y efectiva; y 4. Que la empresa tenga vocación de permanencia y continuidad. Las empresas familiares se caracterizan el mayor grado de compromiso y dedicación en el negocio; mayor disponibilidad de tiempo y lealtad hacia la empresa; mayor reinversión de beneficios; mayor espíritu emprendedor que le permite adaptarse a las distintas situaciones socio-económicas gracias a la alta motivación por parte del fundador. Entre las dificultades podemos mencionar: la resistencia a la incorporación de socios o directivos externos; los conflictos originados por mezclar propiedad del capital con capacidad de dirección; las incoherencias retributivas entre familiares y no familiares; la existencia de una caja única para la empresa y para la familia; estas situaciones derivan mayormente de la falta de profesionalización, falta de planeamiento en la sucesión y confusión de límites entre familia y empresa. Las herramientas normativas son una respuesta para poder llevar a la práctica los principios de gobierno corporativo en pos de la supervivencia de la empresa y su crecimiento. En este sentido, podemos decir que los Códigos de Buenas Prácticas son “conjuntos de reglas de conducta que permiten que una determinada estructura de governancia pueda tener efectos observables en la realidad”. Las empresas familiares deben implementar el denominado Protocolo Familiar. También llamado Protocolo de Familia, Acuerdo de Familia o Instrumento de entendimiento y pertenencia a la empresa familiar, entre otros. A través de esta herramienta se pretende dotar de imperatividad los principios de gobierno corporativo. El protocolo familiar es un instrumento o “reglamentación escrita, lo más completa y detallada posible, suscrita por los miembros de una familia y socios de una empresa, que actúa como un mecanismo preventivo de conflictos”, es decir, que se trata de un acuerdo que regula las relaciones de una familia con la empresa de la que es propietaria. El protocolo constituye un traje a medida para regular las relaciones entre la familia y la empresa, no hay un protocolo tipo que podamos aplicar a todas las empresas por igual, sino que deberá contener las cláusulas adecuadas que cada empresa familiar requiera. Generalmente el protocolo regula los siguientes temas: 1) Descripción de la empresa familiar y sus valores; 2) Relaciones y límites entre la familia y la empresa; 3) Reglas de administración y buen gobierno; 4) Proceso de sucesión en la propiedad y en la gestión. A efectos de apreciar de un modo más detallado la variedad y complejidad de temas que puede abarcar, se adjunta como Anexo una estructura usual de protocolo familiar. En relación al grado de vinculación jurídica que se le otorgue, los autores coinciden en señalar tres tipos de protocolo: 1. Protocolo cuyas cláusulas sólo tendrán fuerza moral entre las partes; denominado como pacto de caballeros. 2. Protocolo cuyas cláusulas tendrán fuerza legal entre las partes, pudiéndose accionar judicialmente por su incumplimiento o inejecución; denominado como protocolo contractual. Ejemplo de esto podría ser un acuerdo para que los socios familiares de la empresa no realicen actividades que sean concurrentes con la de la empresa. 3. Protocolo cuyas cláusulas tendrán fuerza jurídica, es decir con efectos y validez respecto de terceros que no lo hayan suscripto; denominado como protocolo institucional. Lo habitual es que un protocolo contenga cláusulas de los tres tipos, y la mayor o menor cantidad de cláusulas de uno u otro tipo es lo que le marcará su carácter.   El Marco Teórico y las Herramientas de Gobierno Corporativo.   Separación de la propiedad y el control. Cuando la EF es capaz de superar la Crisis de Autonomía Gerencial y comienza un genuino proceso de delegación, decimos entonces que se han creado las condiciones para iniciar un proceso de separación de la propiedad y el control. Arquitectura de la Organización. Denominamos arquitectura de la organización a tres importantes aspectos de la organización de la empresa: A. La asignación de los derechos de decisión en el seno de la empresa. B. Los métodos de remuneración de los individuos. C. La estructura de los sistemas para evaluar los resultados tanto de los individuos como de las unidades de negocio. Asignación de los derechos de decisión. No existe ningún sistema automático o de generación espontanea que permita asignar, dentro de la empresa, los derechos de decisión a los distintos individuos que poseen información. Es entonces responsabilidad de los órganos de gobierno corporativo, en particular del Directorio, diseñar, por medio de los contratos explícitos e implícitos que constituyen la empresa, la necesaria arquitectura de la organización. Tipos de Estructura Organizacional. Los departamentos de una organización pueden estructurarse formalmente de tres maneras: por función, por producto / mercado y en forma matricial. La organización por función o funcional, que ya he definido más arriba, es aquella que reúne en un departamento a todos los individuos que realizan actividades especializadas, por ejemplo: gerencia comercial, gerencia de administración y gerencia de producción. También es llamada estructura de forma U. La organización por producto / mercado, frecuentemente denominada organización por división, reúne en una unidad de trabajo a todos los que intervienen en la producción y comercialización de un producto o grupos afines de productos, a los que se hallan en cierta región geográfica o a los que tratan con determinado tipo de cliente. El jefe o gerente de cada división será el responsable del conjunto de actividades, llámese producción, comercialización, administración, en esa unidad. Esta estructura es también llamada la de forma M. En la organización matricial existen simultáneamente dos tipos de estructura. Los departamentos funcionales permanentes poseen autoridad para las actividades y estándares profesionales de sus unidades, pero se crean equipos de proyectos, según se necesite, para poner en práctica programas específicos. De varios departamentos funcionales permanentes se seleccionan los integrantes del equipo que están subordinados a un administrador de proyectos, responsable por los resultados del trabajo en equipo.   GC en Empresas financieras. Las buenas prácticas de Gobierno Corporativo son fundamentales para obtener y mantener la transparencia pública y la confianza en el sistema bancario; contribuyen al buen funcionamiento del sector bancario y de la economía en su conjunto. Debido al rol tan importante que representan los bancos como intermediarios financieros en la economía, el público y el mercado tienen un alto grado de sensibilidad a los problemas que puedan surgir por deficiencias de buenos modelos de gobierno corporativo en estas instituciones financieras. En virtud de esa sensibilidad, en 1975 fue creado el Comité de Basilea en Supervisión Bancaria con los presidentes de los bancos centrales con el objetivo de vigilar a los bancos a nivel internacional, el cual publicó una guía en 1999 (Basilea I), con una revisión a los principios en 2006 (Basilea II). Esta guía proporcionó un punto de referencia para promover la adopción de prácticas de Gobierno Corporativo sólidas por parte de las instituciones bancarias en sus respectivos países, y contribuyó con los supervisores (organismos reguladores) para vigilar y controlar de una manera más efectiva a dichas instituciones. Después de la publicación de la guía de 2006, durante la situación financiera que comenzó a mediados de 2007, salieron a la luz una serie de carencias que en materia de gobierno corporativo presentaban algunas instituciones. Entre dichas ausencias destacan: • Supervisión insuficiente por parte del consejo de administración a la alta dirección • Inadecuada administración de riesgos • Estructuras y actividades de los bancos demasiado complejas o no transparentes En este contexto, el Comité de Basilea decidió revisar la guía de 2006, en la que detectó áreas de oportunidad en las que se consideró necesario brindar un mayor enfoque para los bancos y organismos reguladores, razón por la que publicó “Los principios para mejorar el gobierno corporativo” (Basilea III). Esta nueva guía pretende ayudar a las organizaciones bancarias en el fortalecimiento de sus estructuras de gobierno corporativo, así como a los organismos reguladores en la evaluación de la calidad de dichas estructuras. De igual manera, este documento fortalece los elementos clave de los principios de gobierno corporativo de la OCDE y tiene por objeto orientar la acción de los miembros del consejo, directivos y organismos reguladores de una amplia gama de bancos en varios países con diferentes sistemas legales y regulatorios. Para lograr el objetivo de promover un gobierno corporativo sólido en las instituciones financieras, el Comité de Basilea planteó 14 principios generales diseñados para reforzar los principios básicos de gobierno corporativo que pueden ayudar a identificar, evitar o minimizar problemas, y que se enuncian a continuación: Principios para un gobierno corporativo sólido. Principio 1. El consejo de administración tiene una responsabilidad con todo el banco, incluyendo la aprobación y supervisión de la implementación de los objetivos estratégicos del banco, la estrategia de riesgo, el gobierno corporativo y los valores corporativos. El consejo también es responsable de supervisar a la alta dirección. Principio 2. Los miembros del consejo de administración deberán estar y permanecer calificados mediante la capacitación para su puesto; deberán contar con un claro entendimiento de su rol dentro del gobierno corporativo y ser capaces de practicar un juicio sólido y objetivo sobre asuntos relacionados con el banco. Principio 3. El consejo de administración deberá definir prácticas de gobierno corporativo apropiadas para su propio trabajo y contar con los medios necesarios que le permitan garantizar que éstas son seguidas y revisadas periódicamente para la mejora continua. Principio 4. En una estructura de grupo, el consejo de administración de la empresa matriz tiene la responsabilidad de adecuar el gobierno corporativo en todo el grupo, y asegurarse que existan políticas y mecanismos adecuados a la estructura, negocio y riesgo del grupo y sus entidades. Principio 5. Bajo la dirección del consejo de administración, la alta dirección deberá asegurarse que las actividades del banco sean consistentes con la estrategia del negocio, la tolerancia al riesgo y las políticas aprobadas por el consejo. Principio 6. Los bancos deben contar con un sistema de control interno efectivo y una función de administración de riesgos (incluyendo un director de riesgos o su equivalente) con suficiente autoridad, carácter, independencia, recursos y acceso al consejo. Principio 7. Los riesgos deben ser identificados y monitoreados en toda la organización y por cada una de las entidades; la sofisticación de la administración de riesgos e infraestructura de control interno del banco, deberá mantenerse a la par con cualquier cambio al perfil del riesgo del banco (incluyendo su crecimiento) y el ambiente de riesgo externo. Principio 8. Una administración de riesgos efectiva requiere de una comunicación interna robusta dentro del banco acerca de riesgo, a través de la organización y por medio de reportes al consejo de administración y a la alta dirección. Principio 9. El consejo de administración y la alta dirección deben utilizar de manera efectiva el trabajo realizado por la función de auditoría interna, auditoría externa y la función de control interno. Principio 10. El consejo de administración debe supervisar activamente el diseño y operación del sistema de compensaciones, así como monitorear y revisar dicho sistema con el fin de asegurarse que éste opera según lo planteado. Principio 11. La compensación a empleados debe estar alineada de manera efectiva con los riesgos prudentes a tomar: las compensaciones deben ser ajustadas para todo tipo de riesgos, el resultado en las compensaciones debe ser simétrico con el resultado en los riesgos, los programas de compensación deben ser sensibles al horizonte temporal de los riesgos y la mezcla de dinero en efectivo, acciones y otra forma de compensación, deberá ser consistente con la alineación al riesgo. Principio 12. El consejo y la alta dirección deberán saber y entender la estructura operacional del banco y los riesgos que ésta plantea. Principio 13. Cuando un banco opera a través de entidades con un propósito especial (EPE), o estructuras relacionadas o en jurisdicciones que impiden la transparencia o que no cumplan con estándares bancarios internacionales, el consejo de administración y la alta dirección deberán entender el propósito, estructura y riesgos de estas operaciones y buscar mitigar los riesgos identificados (entender su estructura). Principio 14. El gobierno del banco deberá ser suficientemente transparente para sus accionistas, depositantes, otras partes interesadas relevantes y participantes del mercado.   GC en entidades financieras argentinas. Las normas rectoras sobre gobierno corporativo se encuentran contenidas en la Ley de Sociedades Comerciales. Asimismo, en cuanto a las entidades financieras, adicionalmente el BCRA ha dictado las siguientes comunicaciones:   1) Separación de funciones ejecutivas y de dirección – Comunicación A 5106 La Comunicación A 5106 dispuso, para determinados supuestos, la necesidad de separar las funciones ejecutiva y de dirección de los bancos. Dicha separación o no de las funciones deberá realizarse en función del grupo en el que resulte encuadrada la entidad financiera. En el documento se establece que, “se entenderán por funciones ejecutivas a aquellas que se refieran a la implementación de las políticas que fije el Directorio o autoridad equivalente de la entidad financiera, tales como la función del Gerente General, Director Ejecutivo y Gerentes, y que impliquen una relación de subordinación funcional respecto del Presidente (o autoridad equivalente) de la entidad. Asimismo, se entenderá por funciones de dirección aquellas propias del Directorio o autoridad equivalente de la entidad financiera. Es decir, conforme surge de la Comunicación, que un Director ejerza funciones ejecutivas no importará delegación de funciones del Directorio ni limitaciones a su responsabilidad.   2) Lineamientos para el gobierno societario en entidades financieras A través de la Comunicación A 5201 (9/5/11) el Banco Central de la República Argentina (BCRA) aprobó las normas —texto ordenado— sobre “Lineamientos para el gobierno societario en entidades financieras”,  donde se establecen estándares de “buenas prácticas bancarias” en la materia. En sentido amplio las “prácticas bancarias incluyen aquellas acciones realizadas por los bancos de manera reiterada y con cierta continuidad en todas las situaciones en que se puede encontrar involucrada la actividad bancaria y que importan una decisión sobre la dirección a seguir. Dentro de este ámbito se encuentran incluidas desde las cuestiones que versan sobre las relaciones entre las personas —entidades— que desarrollan actividades bancarias con los estados, los organismos multilaterales o supranacionales y la sociedad toda hasta la relación que se entabla entre los bancos con sus clientes”. Asimismo, las “buenas prácticas bancarias” constituyen el conjunto de acciones que se estiman como correctas por la sociedad en momento dado para el desarrollo de la actividad bancaria. El texto ordenado comprende 7 secciones y sus aspectos más relevantes son: a) Buenas prácticas: El BCRA considera como una buena práctica en materia de gobierno societario la aplicación de los lineamientos dentro del marco de las pertinentes disposiciones legales. b) Código de gobierno societario22: A tal efecto, las entidades financieras deben implementar un código de gobierno societario teniendo en cuenta los lineamientos indicados por el BCRA y donde en el que se deberá indicar la manera en que el Directorio y la Alta Gerencia de la entidad dirigirán sus actividades en este sentido. c) Directorio: Los miembros del Directorio deberán contar con los conocimientos y competencias necesarias para comprender claramente sus responsabilidades y funciones dentro del gobierno societario y obrar con lealtad y con la diligencia de un buen hombre de negocios en los asuntos de la entidad financiera. d) Alta Gerencia: La Alta Gerencia (AG) comprende a la Gerencia General y a aquellos gerentes que tengan poder decisorio y dependan directamente de esta o del presidente del Directorio. Los integrantes de la AG deberán tener la idoneidad y experiencia necesarias en la actividad financiera para gestionar el negocio bajo su supervisión, así como el control apropiado del personal de esas áreas. La AG, será responsable de asegurar que las actividades de la entidad sean consistentes con la estrategia del negocio, las políticas aprobadas por el Directorio y los riesgos a asumir. e) Comités: En este tema se hace especial hincapié en las características del Comité de Auditoría, donde se recomienda que la mayoría de los Directores que lo integren revistan la calidad de independientes y que, al menos uno de estos integrantes, posea amplia experiencia en temas contables y/o financieros. También se establece la posibilidad de crear otros comités atendiendo a las características de cada entidad financiera. f) Auditorías interna y externa: En la sección 5 se hace mención a lo que se considera como buenas prácticas en materia de auditoría interna y externa, comprometiendo fuertemente al Directorio y la Alta Gerencia de la entidad en el sostenimiento de estas áreas. g) Política de incentivos económicos al personal: En el caso de entidades financieras que cuenten con un sistema de incentivos económicos al personal, se considerará como buena práctica que aquél se encuentre dentro de los parámetros de un esquema de asunción prudente de riesgos. h) Política de transparencia: Dentro de la “Sección 7 – Otras políticas organizacionales” se determina que, a los fines de que la entidad financiera sea dirigida con transparencia, es recomendable una apropiada divulgación de la información hacia el depositante, inversor, accionista y público en general que promueva la disciplina de mercado y, por ende, un buen gobierno societario. i) Política de “conozca su estructura organizacional”: “El Directorio deberá establecer políticas y límites para operar con determinadas jurisdicciones del exterior y para el uso de estructuras complejas o de menor transparencia, para operaciones propias o por cuenta de terceros. Asimismo, deberá asegurar que la Alta Gerencia dé cumplimiento a las políticas referidas a la identificación y gestión de los riesgos —incluso legal y de reputación— asociados a tales operaciones, actividades o estructuras” (punto 7.2, 2do párrafo). j) Política de gestión de riesgos: Al respecto se establece que, “en línea con las buenas prácticas, las entidades deberán contar con estrategias, políticas, prácticas y procedimientos de gestión de riesgos conforme a la normativa que rija en la materia”.

GC en Empresas del estado.   La creciente complejidad de las entidades gubernamentales ha hecho necesario establecer más y mejores controles a la administración de las empresas públicas en virtud de las importantes carencias en el sistema de manejo de las mismas. En términos generales, se pueden identificar los siguientes factores como los responsables de un mal proceso de gobernabilidad: 1. La carencia de un mercado competitivo y la consiguiente falta de necesidad de procesos efectivos y eficientes. 2. Fácil acceso de las entidades a los recursos financieros, lo cual puede generar un despilfarro económico elocuente. 3. El respaldo del Estado a las entidades públicas, lo cual afecta la responsabilidad que en otras circunstancias deberían asumir sus administradores ante la escasez de recursos. 4. Los periodos políticos y sus cambios, que obligan a las entidades a cambiar sus perspectivas de objetivos y políticas. 5. La corrupción que propicia el manejo de los recursos según intereses personales, además de la ineficiencia de los agentes regulatorios para evitar la misma.   Gobernabilidad en el Sector Público. Si bien existe una falta de credibilidad hacia las entidades del sector público, también es necesario reconocer que éstas no pueden mejorar sin la participación y el apoyo de los ciudadanos como principales agentes de cambio. Ante la necesidad de implementar prácticas que permitan fomentar la adecuada gobernabilidad de las entidades públicas encontramos al gobierno corporativo. El gobierno corporativo es un mecanismo que sirve de guía y contrapeso a la administración de las entidades para asegurar la transparencia en sus operaciones, los resultados de una buena gestión y la eficiencia en los productos y servicios que se ofrecen. Apoyadas en este mecanismo, las entidades públicas pueden realizar una actividad independiente, objetiva y de fortalecimiento a su administración para agregar valor y mejorar sus operaciones. El hecho de que las entidades públicas sean distintas de las empresas privadas no implica que la administración de las mismas tenga que ser diferente. De hecho, la gobernabilidad de éstas requiere que se lleve un proceso mucho más estricto, ya que todos los recursos que se utilizan y todos los beneficios que se obtienen pertenecen a los terceros involucrados, es decir a todos los ciudadanos.   Principios para una gobernabilidad efectiva en las entidades de sector público 1. Liderazgo y compromiso de los órganos de gobierno. Para crear un sistema de gobierno efectivo, la composición del consejo de administración y demás órganos de gobierno, llámese comités especiales u otros similares de apoyo al consejo, deben tener claridad sobre las responsabilidades que se asumen y el compromiso que existe para con los ciudadanos. El establecer una estructura de gobierno bien definida, no garantiza el buen funcionamiento de los órganos de gobierno si los miembros que los integran desconocen sus responsabilidades y además, no se les obliga a que rindan cuentas sobre su mandato. Una deficiente selección de miembros para los órganos de gobierno puede ocasionar varios problemas, entre los cuales evidentemente se encuentra el incumplimiento de sus deberes. Por ello, la definición de un buen perfil para la integración de los órganos, debe tomar en cuenta los conocimientos, experiencia y las cualidades de las personas, así como los estrictos lineamientos éticos y de conducta que se espera que sigan dentro de la entidad.   2. Comunicación. Una de las oportunidades actuales del sector público está puesta sobre la comunicación entre sus áreas y todos aquellos campos vinculados a sus operaciones y servicios. Dicha falla en la comunicación limita la fluidez en las operaciones de las entidades, y entorpece la llegada de información en los tiempos y con la oportunidad que se requiere hacia los filtros correspondientes, afectando con esto la capacidad para una adecuada y eficiente toma de decisiones. Establecer canales de comunicación funcionales y métodos para distinguir el tipo de información que cada órgano de gobierno debe recibir, guía a los miembros de los órganos de gobierno hacia un mejor proceso de toma de decisiones.   3. Rendición de cuentas. Para identificar correctamente cuándo debe haber una rendición de cuentas, se debe definir quién es responsable, por qué es responsable, de qué es responsable y cuándo es responsable. La falta de estos criterios amenaza el cumplimiento de los objetivos organizacionales. Cuando la rendición de cuentas es adecuada se conocen las funciones de cada uno de los miembros y se optimiza la respuesta ante cualquier contingencia.   4. Transparencia. Tal vez la transparencia en todos sus aspectos constituye el elemento más importante que debería tener el sector público en nuestro país. La falta de claridad en la información debilita la confianza en las entidades públicas por parte de los terceros involucrados. Mostrar cómo se obtienen los recursos, el gasto de los mismos y la administración de las operaciones, demuestra que las entidades públicas son fiables, responsables y con una buena gobernabilidad, además de ofrecer una óptima imagen pública. Dentro de una empresa, se le llama accionista a aquel que es dueño de la sociedad. En el sector público, las entidades representan una parte de la propiedad de cada uno de los ciudadanos, por lo que los accionistas de las empresas públicas somos todos. En un buen gobierno corporativo los accionistas son fundamentales en la toma de decisiones de las empresas. Por tal motivo, es responsabilidad de los ciudadanos estar enterados y al pendiente del manejo de las entidades públicas pues éstas son parte de su patrimonio y a través de su adecuada gobernabilidad, generan beneficios para la comunidad en su conjunto.   Nuevas tendencias: ESG. La unión de los tres conceptos que resumen las siglas EGS (Environmental, Social and Governance) nos lleva a un tema recurrente, ligado al porvenir de las empresas y de la economía de mercado en el siglo XXI. Cuando se habla de fin social o responsabilidad social de las empresas, se suele hacer referencia al impacto que éstas tienen sobre el entorno que las rodea y al medio ambiente. En este sentido, las grandes empresas parecen enfrentarse a dos objetivos aparentemente contradictorios: satisfacer las expectativas de los inversores de aumentar sus ganancias y, al mismo tiempo, la demanda cada vez mayor de los consumidores y los stakeholders o grupos de interés por una mayor responsabilidad social. Según una investigación realizada por la consultora McKinsey, cuatro son las áreas en las que la responsabilidad social y ética de las empresas parece ser más relevante: 1) la exploración de nuevas tecnologías (como la biotecnología y los tratamientos terapéuticos); 2) el asumir muchas actividades y servicios, antes en manos públicas (servicios públicos o actividades de interés general); 3) el comercio (exportación e importación) con países en vías de desarrollo, y 4) la elaboración de productos manufacturados en países en vías de desarrollo, utilizando sus recursos humanos (lo que da lugar al llamado «dumping social»). La necesidad de la «responsabilidad social» de las empresas parece estar lo suficientemente asentada en la sociedad, por lo que los administradores deben considerar la visión que la sociedad tenga de la empresa como un activo intangible importante. Para nosotros, decir que la empresa tiene un fin social implica concebir a ésta como una auténtica comunidad de personas y, en consecuencia, también de intereses: de empresarios y trabajadores en todos sus niveles, proveedores de la sociedad, inversores, acreedores y consumidores o usuarios. Los empresarios procurarán la máxima rentabilidad de su inversión, los trabajadores tratarán de recibir un salario justo -lo cual implica no sólo atender sus necesidades básicas, sino incluir los incentivos necesarios para que intenten mejorar su trabajo en la empresa-, los proveedores venerarán sus productos, los accionistas y otros inversores tratarán de obtener una razonable rentabilidad por sus inversiones, etc. De este modo, la sociedad en general se beneficia. La empresa tiene una doble finalidad: por un lado, prestar un servicio, el propio de cada empresa, que redunde en el bien común de la sociedad y, por otro, crear riqueza, añadir valor económico; es decir, generar rentas para los que integran la empresa como aportantes del capital, del trabajo y la dirección. Y todo ello mediante actuaciones que, en todo momento y circunstancia, sean congruentes con la dignidad de las personas que integran la empresa y de aquellas que estén en contacto con ella desde el exterior. Bajo esta perspectiva, la primera finalidad de la empresa es una finalidad social que persigue el bienestar de toda la sociedad a través de las personas que la integran. La segunda es una finalidad de carácter financiero que persigue la maximización del valor económico. La acción empresarial, básicamente, lleva a tres grandes tipos de resultados: a) unos resultados materiales (beneficios, crecimiento, aumento de la participación en la cuota de mercado, información y experiencia objetiva acumuladas, etc.); b) satisfacción de quienes intervienen en la actividad empresarial (clientes, accionistas, trabajadores, proveedores, comunidad local, etc.), y c) desarrollo de las capacidades del personal (directivos, empleados y, en algunos casos, también de clientes o consumidores actuales y potenciales). Una buena síntesis de lo que debe entenderse por responsabilidad social de la  empresa la da el profesor Juan Marcos de la Fuente, quien advierte que una discusión adecuada en torno a la responsabilidad social de la empresa no debe hacerse de forma global sino analizando separadamente cada una de sus manifestaciones concretas. Para el citado autor dicha responsabilidad puede resumirse en los siguientes puntos esenciales: 1. Muchas de las actividades que se consideran objeto de la responsabilidad social de la empresa pueden perfectamente reconducirse al principio de la máxima rentabilidad, sobre todo si éste se considera, como debe ser, en su debida amplitud y en la perspectiva del largo plazo. Cuidar de la propia imagen, cultivar las relaciones públicas, tener en cuenta las opiniones y expectativas de la sociedad, no es un entretenimiento ni una frivolidad, sino que puede ser -y tal debe ser su sentido- una inversión sumamente rentable, una forma de capitalizar la empresa. 2. El principio de la máxima rentabilidad, fundamento y límite de la actividad de la empresa, debe entenderse sobre la base de que la economía se haya inscrita en una concepción del hombre que trasciende los puros términos económicos también por este camino descubrimos una importante dimensión social de la empresa. La responsabilidad social de la empresa tiene como contenido insoslayable la realización de su fin económico, es decir, la buena administración de bienes que son escasos y ello redunda en beneficio de toda la sociedad de la cual la empresa forma parte. La finalidad de buscar la máxima rentabilidad para sus accionistas, no debe hacer olvidar a los empresarios ni a los directivos de las empresas (en caso de que no coincidan) que la empresa se inserta dentro de una comunidad humana, donde el valor de lo útil se combina (no se opone) con otros valores. En última instancia, la actividad económica no deja de ser una actividad profundamente humana. El empresario debe romper, por sus propios méritos, esa imagen que, desde ciertos sectores sociales y políticos y con cierta carga ideológica, se ha construido de él: un ser egoísta, avaro, ambicioso o, al menos, indiferente a las necesidades de su entorno social. 3. La empresa privada no es el único ni el principal ámbito en que deba plantearse el problema de la responsabilidad social de la actividad económica. Hay muchas funciones o actividades sociales que no son funciones ni actividades propias de las empresas. Ello no impide que los empresarios, asuman voluntariamente tales tareas. Esa «responsabilidad social» que tanto se reclama en los últimos tiempos es competencia, principalmente, de otras organizaciones sociales como el Estado, la Iglesia, las ONG’s, y otras instituciones. Ello refleja la solidez, la madurez y la responsabilidad de una sociedad civil desarrollada. En pocas palabras, si entendemos a la empresa como una comunidad de personas, éstas deben constituir su principal activo y cuidando de él es como aquella obtendrá sus máximos beneficios y, al mismo tiempo, cumplirá su importante función social. No obstante, y para evitar confusiones, conviene siempre recordar que la mejor manera como las empresas pueden cumplir esta «función social», no exenta de cierta carga ideológica, es protegiendo a todos sus accionistas y facilitando el ejercicio pleno de sus derechos.   El buen gobierno en el sector público. Mediante la Decisión Administrativa Nº 85/2018 de la Jefatura de Gabinete de Ministros de la Nación se establecieron una serie de principios y recomendaciones que deberán guiar el accionar del Estado Nacional en su carácter de accionista de las comúnmente llamadas empresas públicas, con base en la aplicación del concepto de “buen gobierno”. “Gobierno corporativo” es un concepto no unívoco en derecho comparado, fundamentalmente ligado a las sociedades con cotización de sus acciones[. En nuestro medio, en los considerandos del Decreto 606/2012, que aprobara los contenidos mínimos del Código de Gobierno Societario aplicables a las sociedades comprendidas en el régimen de oferta pública, se utiliza el concepto de “gobierno societario” en “referencia a la forma en que una empresa es administrada y regulada, abarcando un amplio espectro de cuestiones tales como el rol y funcionamiento del Organo de Administración, la transparencia de los controles internos y externos de la empresa y la divulgación de la información”. Como antecedentes relevantes, deben citarse tanto los Principios de Gobierno Corporativo de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y del G-20, documento que contiene la reformulación de dichos principios respecto de la anterior versión de 2004, cuanto las Directrices de la OCDE sobre el Gobierno Corporativo de las Empresas Públicas (las “Directrices”), que complementan y precisan el ámbito de aplicación de los citados principios a las empresas de propiedad estatal. El preámbulo del primero de los documentos citados (los “Principios”) detalla con claridad el propósito del mismo al manifestar que el objetivo del gobierno corporativo es facilitar la creación de un ambiente de confianza, transparencia y rendición de cuentas necesario para favorecer las inversiones a largo plazo, la estabilidad financiera y la integridad en los negocios. Todo ello contribuirá a un crecimiento más sólido y al desarrollo de sociedades más inclusivas”, destacándose que los Principios se centran en sociedades cotizadas, siendo su aplicación a otro tipo de entidades materia librada a un juicio de conveniencia propio de cada jurisdicción en particular. En tal marco, el específico tratamiento del gobierno corporativo en las empresas públicas por parte de la OCDE ha sido fundamentado en la relevancia que suele adquirir la participación de este tipo de empresas en la economía de los países, tanto en cuando a volumen de actividad como al tipo de sectores económicos donde suelen desenvolverse (v. gr., servicios públicos; infraestructura; hidrocarburos; sector financiero)y las consecuencias que de ello se derivan para la eficiencia económica y la competitividad, así como a la creciente importancia que la participación de ciertas empresas controladas por Estados y otros instrumentos de inversión de propiedad estatal tienen en la economía internacional. Las Directrices, entonces, suponen un complemento a la aplicación de los Principios, focalizadas en las inquietudes más relevantes que genera, en el contexto de los fines de la Organización, la actuación del Estado como empresario: interferencias políticas y pérdida de eficiencias; falta de supervisión y de incentivos para la actuación en interés de la empresa y de los ciudadanos; ausencia de aplicación de la legislación sobre insolvencia y adquisición hostil; conflictos en el rol de regulador del Estado y la aplicación de sanciones a sus empresas; y dilución de la cadena de responsabilidades en relación con los resultados de las empresas, así como emergencia de posibles conflictos de intereses de compleja armonización.   Los Directrices tienen en consecuencia por objetivo: (i) profesionalizar al Estado como propietario; (ii) hacer que las empresas públicas funcionencon una eficacia, transparencia y responsabilidad similar a las de las empresas privadas que aplican buenas prácticas; (iii) velar por que la competencia entre las empresas públicas y las privadas, allí donde exista, se desarrolle en igualdad de condiciones. La norma reconoce como antecedente la Iniciativa Nº 82 de los Objetivos de Gobierno en cuanto al Ordenamiento de la Gestión de las Empresas Públicas, el trabajo conjunto entre la OCDE, la Oficina Anticorrupción y la Sindicatura General de la Nación en materia de creación de una Red de Integridad de Empresas Públicas, y la necesidad de contar con “lineamientos que reunieran principios y recomendaciones de buenas prácticas en las áreas de gobernanza y gestión” de modo tal que sirva demarco institucional para promover estándares generales en la materia, dado que “las empresas continúan administrándose según sus propios criterios y reglas”. Debe tenerse presente, como antecedente vigente, la aplicabilidad de la Resolución Nº 37/2006 de la Sindicatura General de la Nación sobre Normas Mínimas de Control Interno para el Buen Gobierno Corporativo en Empresas y Sociedades del Estado. Del mismo modo, para el único caso de empresa controlada por el Estado sujeta al régimen de oferta pública, rige toda la regulación aplicable a las mismas, en particular respecto de los contenidos mínimos del Código de Gobierno Societario. Como veremos, además, los Lineamientos se refieren en varias materias aacciones impuestas o incluidas de manera específica en distintos ordenamientos legales, como lo son, por ejemplo, la Ley Nº 27.275 de Acceso a la Información Pública; la Ley Nº 25.188 de Etica Pública y los Decretos 202/17 y 93/2018; la normativa anticorrupción de orden nacional y supranacional; la propia Ley Nº 24.156 y, recientemente la Ley Nº 27.401 de Responsabilidad Penal de las Personas Jurídicas para determinados delitos. A todo ello debe sumarse la no menor importancia que reviste, en el caso de empresas controladas por el Estado que prestan servicios públicos, la aplicación en estos casos de la regulación tanto sectorial como general propia de los mismos. Finalmente, es menester considerar el contexto en el que la sanción de los Lineamientos se inscribe, con la intención declarada de Argentina de sumarse como miembro pleno a la OCDE; el ingreso del país como miembro del Comité de Gobernanza Corporativa de dicha organización; y, con posterioridad a la adopción de la norma, la muy reciente revisión de las empresas públicas argentinas por parte de la propia Organización, a la luz de sus Directrices, llevada a cabo a petición del país.   Los Lineamientos en general: Los Lineamientos constituyen un “conjunto de buenas prácticas en gobernanza y gestión de empresas en las que el estado es accionista, cuyo objetivo es comunicar a las empresas las expectativas que el Estado tiene con relación a cómo las mismas deben organizarse y funcionar”. Su ámbito de aplicación comprende no solamente a las empresas incluidas en el sector público según las formas jurídicas previstas por el art. 8 b) de la Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional Nº 24.156, sino también a “todos aquellos organismos descentralizados cuyo objetivo esencial sea la producción de bienes o servicios”. Los Lineamientos no reemplazan a ningún régimen legal específico que resulte aplicable a las empresas. El enfoque adoptado para asegurar la efectividad de las disposiciones de la norma es el de “cumplir o explicar”, ya presente en el citado Decreto 606/2012 para el caso de las sociedades bajo régimen de oferta pública: la Jefatura de Gabinete de Ministros, entendemos que a través de la Secretaria de Coordinación de Políticas Públicas, conforme las facultades otorgadas por el art. 3 de la norma, deberá requerira las entidades sujetas a los Lineamientos explicación sobre el grado de cumplimiento de los mismos, así como sobre las acciones que planea adoptar para lograr dicho cumplimiento en su caso.   Los Lineamientos en particular. La norma establece seis Principios de Buen Gobierno, fundamentos sobre los que se estructuran los Lineamientos, y que deben siempre prevalecer sobre estos últimos. Dichos principios son los siguientes: • Eficiencia: maximizar cada peso invertido en gastos corrientes o bienes de capital para producir mejores bienes o servicios a costos consistentes con valores de mercado de mercado; explicitación de origen y monto de financiamiento destinados a objetivos sociales o de políticas públicas. • Transparencia: publicación de información financiera y no financiera relacionada con el desempeño de la empresa. • Integridad: adopción y cumplimiento de políticas destinadas a prevenir y castigar el fraude; además del cumplimiento de la normativa anticorrupción aplicable, desarrollo de procesos que garanticen la gestión transparente e íntegra de los recursos; • Generación de Valor: maximización del impacto de las empresas públicas en la economía; generación de valor social y económico en la cadena de negocio y definición de valores para los distintos actores involucrados. • Estándar de Empresa Listada: adopción de estándares alineados con los imperantes para las empresas en régimen de oferta pública. • Roles Diferenciados del Estado: mandato a los ministerios competentes para compatibilizar el ejercicio de los roles de formuladores de políticas públicas, reguladores y prestadores de servicios de manera independiente. Los Lineamientos en sí mismos, dos de los cuales desarrollan de hecho conceptos ya consagrados como Principios, y que describen más extensamente la definición de las medidas que deberán adoptarse, son los siguientes: • Transparencia, que incluye las siguientes aplicaciones prácticas: o Desarrollo y publicación de información de desempeño empresarial: definición al principio del ejercicio fiscal de objetivos estratégicos e informe de gestión durante el primer trimestre del próximo ejercicio sobre el cumplimiento de los mismos. o Reducido informe de gestión anual con objetivos de cumplimiento medibles de clara lectura. Cumplimiento de indicadores de calidad, estratégicos y operativos propios del sector en el que se desenvuelve la empresa, y protección de la información de la misma frente a competidores. o Gobierno corporativo y políticas de la empresa: difusión por internet, de manera sencilla, clara y fácilmente descargable, del organigrama, funciones y antecedentes, responsabilidades y conformación de los órganos directivos y gerenciales de la empresa, así como de las políticas de gestión en transparencia, integridad, y compras, entre otras. o Ley de Acceso a la Información: cumplimiento de las metas de transparencia activas y pasivas previstas en la Ley 27.275. o Publicación de procesos y resultados de contrataciones: implementación de portales web de compras con información amplia sobre dichos procesos. o Recursos humanos: búsquedas abiertas para asegurar la contratación de los mejores candidatos para cubrir necesidades de recursos humanos, publicación de vacantes en sitio web para promover la mayor participación posible. • Integridad, que incluye las siguientes aplicaciones prácticas: o Adopción de programas de integridad transversales a todas las actividades y agentes de la empresa: directa referencia a la Ley de Responsabilidad Penal de Personas Jurídicas, identificación de responsable interno, adopción por el Directorio, posible sanción de Código de Etica, prevención de conflictos de intereses, procedimientos de contrataciones, procedimiento de recepción de denuncias y protección de denunciantes, y monitoreo y control constantes del sistema. o Designación de responsable interno con nivel gerencial y experiencia y formación en la materia, a cargo de un área con recursos, autonomía, independencia y confianza y apoyo del Directorio. o Promoción de cultura de integridad, compromiso de la Alta Gerencia con el ejemplo y el desarrollo de programas de formación y capacitación. o Líneas de denuncia, incluyendo anónimas, con múltiples canales disponibles; interacción con la Oficina Anticorrupción en el caso de denuncias contra el Directorio, altos ejecutivos o integrantes del propio comité de ética o del área de integridad. o Coordinación y comunicación continuas con organismos con competencias específicas en la materia, como la Oficina Anticorrupción, la Oficina de Acceso a la Información Pública, y la SIGEN. • Sustentabilidad: se la define en el sentido en que dicho concepto ha evolucionado, comprensivo entonces de las políticas inclusivas, de transparencia, de protección del ambiente y de la diversidad, con las siguientes aplicaciones prácticas: o Incorporación de la sustentabilidad al negocio de las empresas: la política de sustentabilidad que cada empresa adopte deberá establecer al menos el perfil corporativo de la misma (misión, funciones, valores); su enfoque respecto a la diversidad de sus recursos humanos; la distribución de recursos entre los actores; el compromiso ambiental; el compromiso como empleador; la contribución al desarrollo del país; y la comparación de desempeño con empresas similares locales e internacionales. asistencia financiera de organismos multilaterales, discriminando aportes del Tesoro, prestamos, etc. o Diversidad: respeto de las diversidades visibles y no visibles en la integración de recursos humanos, mayor participación de las mujeres tanto en posiciones jerárquicas como no jerárquicas. o Definición de políticas de sustentabilidad propias, teniendo en cuenta la particular situación de las empresas públicas, a menudo a cargo de objetivos de política pública con impacto en el desarrollo de las comunidades y la infraestructura. o Publicidad de los ingresos y egresos de las empresas, por todo concepto, discriminando ingresos por unidad de negocio, aportes del Tesoro o de organismos estatales, ingresos financieros, asistencia financiera de organismos de desarrollo, remuneraciones, honorarios de Directorio, gastos en bienes y servicios incluyendo publicidad, viáticos y comunicaciones, inversiones en obras, bienes de capital y pago de deudas. o Interacción y vínculo con actores institucionales y no institucionales beneficiados y/o afectados por la actividad de la empresa. • Desempeño económico: metas basadas en plan estratégico, en concordancia con presupuesto nacional, con objetivos y metas de largo plazo, con las siguientes aplicaciones prácticas: o Gestión en base a resultados del plan estratégico, comunicado y compartido desde la Alta Gerencia, y en línea con el presupuesto propio, identificando los eventuales resultados negativos y los correspondientes aportes estatales. o Rendición de cuentas sobre ejecución presupuestaria y cumplimiento de metas, indicadores de gestión específicos, atribuibles, medibles, realistas y temporales; utilización de herramientas de benchmarking; explicitación de costos y fuentes de financiamiento en caso de ejecución de políticas públicas; monitoreos permanentes de ejecución y comparación; identificación de desvíos; uso de herramientas específicas de software evitando cargas de datos manuales. o Consecuencias del no cumplimiento de objetivos: establecimiento de incentivos de fuerte contenido motivacional de orden moral, reconocimiento de los pares y de otras empresas; reconocimiento especial al trabajo en equipo; meritocracia y publicidad de los resultados. o Esfuerzo por perseguir cobro de deudas de otras empresas públicas y organismos del Estado. o Elaboración coordinada de presupuesto y plan estratégico con el Ministerio del área, el de Finanzas y la JGM y planificación mensual de transferencias del Tesoro que sean requeridas. • Alta Gerencia, con las siguientes aplicaciones prácticas: o Requisitos para la designación de directores y gerentes de modo tal de garantizar el liderazgo en las empresas públicas y como condición para que la autonomía de las mismas tenga sentido. Proceso de selección de directores y gerentes transparente y orientado a la excelencia; nombramiento de directores independientes tanto del gobierno como de la empresa. o Prevención de situaciones de conflicto de intereses: aplicabilidad de la Ley de Responsabilidad Penal de las Personas Jurídicas, delos DecretosNº 202/17 y 98/18.o Mecanismos de evaluación de desempeño de la Alta Gerencia: autoevaluación, evaluación por auditorias integrales externas o de gestión por resultados. o Directorio enfocado en la definición y monitoreo de la estrategia de la empresa o Constitución de comités especiales de asesoramiento dentro del Directorio, aprovechando las capacidades particulares de sus miembros e incorporando gerentes y asesores externos. P. ej. de Estrategia, de Auditoría (requerido por SIGEN), de Compliance, de Remuneraciones y de Gestión, de Buen Gobierno. • Políticas de Compras y Abastecimiento, con las siguientes aplicaciones prácticas: o Transparencia en todas las etapas de los procesos: posibilidad real y efectiva de participar de los procesos para proveedores existentes y potenciales, justificación expresa de las necesidades de contratación. o Integridad en todas las etapas de los procesos: reducción de espacios pasibles de corrupción y sanciones efectivas contra la misma, evaluación periódica del área de Auditoría sobre los procesos y aplicación de políticas transversales por parte de la empresa. o Fomento de competencia justa y abierta. o El área de abastecimientos debe generar valor para la empresa. o Compromiso de los proveedores con los estándares de conducta de la empresa. • Auditoría y Control: los lineamientos complementan la actuación que le compete a la SIGEN en la materia y básicamente establecen como aplicaciones prácticas: o Unidad de auditoría interna independiente y profesional: el área de auditoria debería depender del Comité de Auditoría, y estar a cargo de un profesional independiente con trayectoria y ausente de conflictos con la industria en general y la empresa en particular; cooperación constante con la SIGEN. o Auditoría basada en riesgos y en el propio negocio de la empresa: elaboración de mapas de riesgos que identifiquen los riesgos financieros y no financieros de la empresa, aprobados por el Directorio, que permitan implementar acciones para la gestión de los mismos. Inclusión de la corrupción y del uso ineficiente de los recursos como riesgos propios. o Auditorías externas de tipo integral: abarcativas tanto de los estados contables como del plan estratégico. Proceso abierto y competitivo de selección profesional de auditor externo y rotación entre los mismos de modo tal que no cumplan su función por más de cinco ejercicios. Confecciónde los EECC dentro de los plazos legales. o Comité de auditoría: establecimiento de los mismos, de acuerdo a normativa SIGEN, dentro del directorio, y a cargo de supervisar políticas de auditoría, buen gobierno y corporativas, integrados por mayoría de miembros independientes o Dinámica de reporte del cumplimiento del plan de auditoría: el directorio y el comité de auditoría deben estar permanentemente informados del avance y cumplimiento del plan, reporte mensual sobre gestión de riesgos.

Definición y tipos de riesgo dentro de una organización. El riesgo es la probabilidad que un peligro (causa inminente de pérdida), existente en una actividad determinada durante un período definido, ocasione un incidente de ocurrencia incierta, pero con consecuencias factibles de ser estimadas. También lo podemos entender como, el potencial de pérdidas que existe asociado a una operación productiva, cuando cambian en forma no planeada las condiciones definidas como estándares para garantizar el funcionamiento de un proceso o del sistema productivo en su conjunto. Por todo lo anterior para las organizaciones es imprescindible identificar aquellos riesgos relevantes a los cuales se pueda ver enfrentado y que conlleven un peligro para la consecución de sus objetivos, más aún cuando la rentabilidad de su negocio está íntimamente ligada a dichos riesgos. La identificación de estos riesgos es un proceso iterativo y generalmente integrado a la estrategia y planificación y su análisis se relaciona con la criticidad del proceso o actividad y con la importancia del objetivo, más allá que éste sea explícito o implícito. Una vez que los riesgos han sido identificados a nivel del organismo, deberá practicarse similar proceso a nivel de programa y actividad. Se considerará, en consecuencia, un campo más limitado, enfocado a los componentes de las áreas y objetivos claves identificadas en el análisis global del organismo.   1. Pérdida Esperada. Es una medida de riesgo entendida como el producto entre la probabilidad e incumplimiento y el porcentaje de pérdida producida por dicho incumplimiento. Es un costo del negocio, que refleja lo que realmente se espera perder en promedio (valor medio de las pérdidas).   2. Pérdida Inesperada. Es una medida de riesgo (volatilidad de pérdidas) que surge como consecuencia de que las pérdidas reales que pueda tener una organización sean superiores a las esperadas. Podemos realizar una distinción entre pérdida inesperada de carácter reversible, donde en un momento determinado el precio de mercado de un título puede caer, pero con el tiempo puede recuperarse, por el contrario tenemos aquellas pérdidas inesperadas e irreversibles, en las cuales no existe posibilidad de recuperación.   3. Riesgo Crediticio. El riesgo de crédito también llamado riesgo de solvencia o fallo, es usual de las entidades financieras, por estar vinculado a la operativa de estas entidades y presente en todas sus operaciones de activo. Este señala la posibilidad de incurrir en pérdidas como consecuencia del incumplimiento, total o parcial, por parte del acreditado, de los recursos prestados o avalados en una operación financiera al vencimiento de los pagos o retornos pactados, ya sea por incapacidad de éste o por falta de disposición, en tiempo o en forma. O también a los efectos que produciría el deterioro de la calidad de crédito del acreditado. Depende de la combinación de dos variables significativas: la frecuencia o probabilidad de entrada en mora, y la cuantía de la pérdida, que está en función del importe de la operación y de la tasa de recuperación.   4. Riesgo Financiero. El riesgo Financiero es un riesgo inherente a la realización de operaciones financieras debido a la incertidumbre que existe al momento de ser realizadas. Podemos también decir que es el riesgo de no estar en condiciones de cubrir los costos financieros, por esto su análisis se puede determinar por el grado de apalancamiento financiero que posea la organización en un momento determinado. El cual engloba consecuencias adversas que puedan producirse por una alteración cuantitativa o cualitativa en los ingresos presupuestarios, recogiendo las disminuciones efectivas de recursos financieros mantenidos en ejercicios presupuestarios previos, así como el desaprovechamiento de iniciativas que faciliten el incremento o diversificación de las fuentes de financiación. Por todo lo anterior podemos decir que el riesgo financiero está compuesto por: 4.1 Riesgo de Tasa de Interés: Es aquel que surge del descalce entre activos y pasivos que se encuentran sujetos a un cambio en la tasa de  interés en un período específico y en una moneda específica. Existen mecanismos de cobertura de este riesgo a través de instrumentos financieros derivados. 4.2 Riesgo Cambiario: Es aquel que surge de la variación en las paridades de mercado de las distintas monedas en que un Banco mantiene posiciones. Estas posiciones pueden ser largas (activos mayores que pasivos) o cortas (pasivos mayores que activos). Existen diferentes instrumentos de cobertura, pero los más significativos desde el punto de vista financiero son los seguros de cambio y los productos derivados. 4.3 Riesgo de Liquidez: Es aquel que surge de la posibilidad que el Banco sea incapaz de cerrar de forma rápida sus posiciones, en cantidades suficientes y a un precio razonable, incurriendo en efectos financieros adversos. Se puede considerar este riesgo, como el derivado de los desfases entre el grado de exigibilidad de las operaciones pasivas ligadas a la inversión y el grado de realización de los activos. Los problemas de liquidez no coyunturales en la banca son debidos esencialmente a una ineficiente transformación de activos, que es, por otra parte, la función primordial de una industria.   5. Riesgo de Operaciones. El riesgo operacional surge de la posibilidad que una organización incurra en pérdidas inesperadas, directas e indirectas, como consecuencia de sistemas de control de gestión inadecuados, problemas operativos, incumplimiento de controles internos, fraudes, problemas imprevistos o bien acontecimientos externos que no permiten asegurar la integridad, efectividad y eficiencia de las operaciones. Este riesgo comprende: desarrollo y oferta de productos, procesamiento de la operación, desarrollo de sistemas, sistemas computarizados, complejidad de los productos y servicios, y el entorno de control interno.   6. Combinación de Riesgos. Como bien sabemos los riesgos pueden deberse a diversas causas, y no se los debe considerar como compartimentos estancos. Una única actividad puede dar lugar a riesgos múltiples e interrelacionados. Varios ejemplos ilustran este enunciado. Un banco otorga préstamos utilizando normas de evaluación idénticas. Si estas normas son inadecuadas, existe un riesgo crediticio significativo. Si los préstamos se generan para su reventa, también se puede incurrir en riesgo de mercado, en especial si se trata de préstamos a tasa fija. También puede haber riesgo legal si la documentación de los préstamos es deficiente. A su vez, si el banco cuenta con sistemas informáticos inadecuados para registrar dichos préstamos y sumarlos a otras exposiciones al mismo prestatario, puede producirse un riesgo de operaciones. Si se trata de un préstamo a largo plazo y a tasa fija financiado con pasivos a corto plazo, estaremos en presencia de un riesgo de tasa de interés. En suma, una misma situación puede dar lugar a diversos riesgos.   Asociación de los riesgos con los objetivos del negocio. Existen muchas definiciones de riesgo, una definición propia y sencilla sería: “La probabilidad de que, la ocurrencia de un suceso adverso afecte a la entidad e impacte en su habilidad para lograr sus objetivos estratégicos y por ende la capacidad de cumplir su misión y visión”. En la actualidad, la empresa se presenta como una cadena económica integrada por un conjunto de operaciones que abarcan el diseño del producto, la producción, la distribución y la venta, que están orientadas a la creación de valor. Esta perspectiva de la empresa nos permite definir su objetivo como la maximización de su valor, lo que a su vez nos permite incluir los siguientes factores: de un lado, se considera la renta residual (beneficio) que perciben los accionistas, además de considerar las posibles inversiones (crecimiento) que contribuyen a satisfacer la utilidad de los derechos, de otro, incorpora la proporción de riqueza que se dedica a satisfacer los objetivos del resto de los participantes en la empresa. Las empresas tratan de determinar qué riesgos deberían ser administrados a nivel corporativo y qué riesgos deberían también ser dejados a cargo de los niveles inferiores dentro de la estructura de la organización. Los enfoques organizacionales a la administración de riesgo pueden ser centralizados a nivel corporativo o descentralizado entre divisiones o procesos dependiendo de la naturaleza de los riesgos en cuestión y las preferencias de la administración. Aunque todavía no exista una forma correcta o incorrecta para organizarse, algunos principios organizacionales están emergiendo como sigue: La administración de riesgo centralizado tiende a enfocarse en los riesgos que afectan el logro de los objetivos y estrategias corporativos claves y afectan significativamente no sólo a la mayoría si no que a todas las funciones y procesos (por ejemplo, reputación). Estos riesgos pueden ser conocidos como riesgos que afectan a toda la organización. La administración de riesgo descentralizado empuja la responsabilidad de la administración de riesgo a aquellos que viven con él día a día. Los riesgos que pueden ser mejor administrados en esta forma son los riesgos a nivel de división y proceso, que son aquellos que están presentes significativamente sólo en un proceso en particular pero que, sin embargo, afecta la habilidad de la organización de implementar exitosamente el total de sus estrategias. La gestión de riesgo empresarial se está desarrollando en este contexto. Es una forma significativa de identificar los riesgos críticos que la organización enfrenta – incluyendo, por ejemplo, reputación, ética, e-business, o riesgos de salud, seguridad, y medio ambiente (no solamente riesgos financieros o asegurables) – y luego administrar y optimizar esa cartera de riesgos de modo tal de obtener los retornos financieros necesarios.   Modelo de Administración de riesgos en una organización. COSO (Committee of Sponsoring Organizations of the Treadway) es una Comisión voluntaria constituida por representantes de cinco organizaciones del sector privado en EEUU, para proporcionar liderazgo intelectual frente a tres temas interrelacionados: la gestión del riesgo empresarial (ERM), el control interno, y la disuasión del fraude. Las organizaciones son: La Asociación Americana de Contabilidad (AAA) El Instituto Americano de Contadores Públicos Certificados (AICPA) Ejecutivos de Finanzas Internacional (FEI), el Instituto de Auditores Internos (IIA) La Asociación Nacional de Contadores (ahora el Instituto de Contadores Administrativos [AMI]). Desde su fundación en 1985 en EEUU, promovida por las malas prácticas empresariales y los años de crisis anteriores, COSO estudia los factores que pueden dar lugar a información financiera fraudulenta y elabora textos y recomendaciones para todo tipo de organizaciones y entidades reguladoras como el SEC (Agencia Federal de Supervisión de Mercados Financieros) y otros. Marco Integrado COSO de Gestión de Riesgos: Los informes COSO I, II y III. COSO I. En 1992 la comisión publicó el primer informe “Internal Control - Integrated Framework” denominado COSO I con el objeto de ayudar a las entidades a evaluar y mejorar sus sistemas de control interno, facilitando un modelo en base al cual pudieran valorar sus sistemas de control interno y generando una definición común de “control interno”. Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento de las leyes, reglamentos y normas que sean aplicables La estructura del estándar se dividía en cinco componentes: 1. Ambiente de Control 2. Evaluación de Riesgos 3. Actividades de Control 4. Información y Comunicación 5. Supervisión. COSO II. En 2004, se publicó el estándar “Enterprise Risk Management - Integrated Framework” (COSO II) Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a la gestión de riesgos implicando necesariamente a todo el personal, incluidos los directores y administradores. COSO II (ERM) amplía la estructura de COSO I a ocho componentes: Ambiente de control: son los valores y filosofía de la organización, influye en la visión de los trabajadores ante los riesgos y las actividades de control de los mismos. Establecimiento de objetivos: estratégicos, operativos, de información y de cumplimientos. Identificación de eventos, que pueden tener impacto en el cumplimiento de objetivos. Evaluación de Riesgos: identificación y análisis de los riesgos relevantes para la consecución de los objetivos. Respuesta a los riesgos: determinación de acciones frente a los riesgos. Actividades de control: Políticas y procedimientos que aseguran que se llevan a cabo acciones contra los riesgos. Información y comunicación: eficaz en contenido y tiempo, para permitir a los trabajadores cumplir con sus responsabilidades. Supervisión: para realizar el seguimiento de las actividades. COSO III. En mayo de 2013 se ha publicado la tercera versión COSO III. Las novedades que introducirá este Marco Integrado de Gestión de Riesgos son: Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos Mayor confianza en la eliminación de riesgos y consecución de objetivos Mayor claridad en cuanto a la información y comunicación.   COSO ERM 2017. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), ha publicado el nuevo Marco de Gestión de Riesgo Empresarial (COSO ERM). Este tiene como finalidad actualizar la versión que data desde octubre del 2004. La actualización del Marco no solo cambió su actual nombre, desde Marco de Gestión del Riesgo Empresarial a Marco de Gestión del Riesgo Empresarial – Alineando el riesgo con la estrategia y el rendimiento ; sino que también intenta mejorar el enfoque de la gestión de riesgos como una manera de crear, preservar, mantener y generar valor en la organización. En relación con los contenidos, el Marco seguirá siendo suficientemente amplio como para adaptarse a las necesidades de las organizaciones. El nuevo Marco está conformado por un conjunto de 20 principios organizados en cinco componentes interrelacionados. Los principios que abarcan desde la gobernanza hasta la supervisión, describen prácticas que pueden aplicarse de diversas maneras para diferentes organizaciones sin importar su tamaño, tipo o sector. La adhesión a estos principios puede proporcionar a la gerencia y al consejo directivo una expectativa razonable de que la organización entiende y se esfuerza por gestionar los riesgos asociados con su estrategia y sus objetivos empresariales o de negocio. COMPONENTE y PRINCIPIOS Gobierno y cultura del riesgo Las directivas ejercen la supervisión del riesgo. La empresa establece el gobierno y Modelo Operativo para consecución de la estrategia y objetivos. Definición de los comportamientos organizacionales deseados. Cumplimiento de la rendición de cuentas. La organización atrae, capacita y mantiene personal con un alto conocimiento y experiencia de acuerdo a la estrategia y objetivos definidos. Riesgo, estrategia y definición de objetivos Consideración del riesgo y el contexto del negocio. Definición del apetito de riesgo. Evaluación de estrategias alternativas Consideración del riesgo mientras se definen los objetivos del negocio Definición de la variación aceptable en el rendimiento Riesgo en la ejecución Identificación del riesgo en la ejecución Evaluación de la gravedad del riesgo La organización prioriza los riesgos para determinar las respuestas a los mismos Identificación y selección de las respuestas a los riesgos Evaluación del riesgo en ejecución Desarrollo de un portafolio de riesgos Información, comunicación y reporte del riesgo Uso de información relevante como soporte de la administración de riesgos Uso de sistemas de información como soporte de la administración de riesgos Uso de canales de información y comunicación como soporte de la administración de riesgos Reporte del riesgo, cultura y rendimiento Monitoreo del rendimiento de la administración del riesgo empresarial La organización identifica y evalúa cambios internos o externos que pueden tener un impacto relevante en la estrategia y objetivos. Monitoreo del rendimiento de la administración del riesgo empresarial La adecuada implementación del marco ERM, le permitirá a las organizaciones sin importar su tamaño y características, llevar a cabo una eficiente administración del riesgo, lo que se verá reflejado en la toma de decisiones acertadas, la alineación de la estrategia, objetivos, misión y visión de la empresa, y por ende la creación y preservación del valor.   Relación con el Plan y lineamientos estratégicos de la organización. Mientras los Sistemas de Gestión de Riesgos convenciones han obtenido unos resultados razonables en la identificación y mitigación de los riesgos financieros y operacionales, estudios recientes sobre la materia muestran que es la gestión de los riesgos estratégicos la que va a condicionar la capacidad de las compañías para alcanzar sus objetivos de negocio. Por esta razón, los los nuevos modelos de gestión deben integrarse en la planificación estratégica y la toma de decisiones, por un lado, y en la implementación de dicha estrategia, por otro. Los riesgos estratégicos pueden ser definidos como las incertidumbres (y las oportunidades sin explotar) asociadas a la estrategia de una compañía. En este sentido, pueden llegar a impactar en la compañía en su conjunto, por lo que se trata de los aspectos clave a tratar por el Consejo de Administración y la alta Dirección. Por tanto, la integración de la Gestión de Riesgos en la estrategia es la respuesta de la compañía a este tipo de incertidumbres y oportunidades. Supone un claro entendimiento de la estrategia corporativa tener en cuenta los riesgos que pueden surgir a la hora de optar por dicha estrategia y los que, de fuentes internas o externas, podrían materializarse durante la implementación o ejecución de la misma. La Gestión de Riesgos integrada en la estrategia debe estar enfocada a la maximización del valor a generar por la compañía, tanto en la fase de diseño como en la fase de implementación. Frente a un enfoque de planificación estratégica tradicional, esta nueva aproximación permite integrar la información disponible sobre los riesgos asociados a la misma. Así, en un modelo convencional de definición e implementación de la estrategia, normalmente el foco se centra en el incremento de las ventas y el servicio prestado al cliente, pero, pero rara vez se centra en el análisis del impacto potencial de caídas bruscas de la demanda. La integración de la Gestión de Riesgos con la estrategia debe construirse en torno a dos conceptos: • El apetito al riesgo o cantidad de riesgo que la compañía está dispuesta a asumir para alcanzar sus objetivos de negocio. Debe ponerse en relación con la capacidad o nivel de riesgo que la compañía puede asumir. • Nivel de riesgo que la compañía está soportando en la implementación de su estrategia. Dicho nivel debe obtenerse a través de los métodos de valoración fiables que la Dirección considere oportunos. El “apetito” o tolerancia al riesgo de una organización variará con su estrategia, como también con las condiciones evolutivas de su industria y mercados. La tolerancia al riesgo de cada organización es única, y variará de acuerdo a la cultura organizacional y también, por factores externos. Un aspecto crítico de la responsabilidad de la administración es determinar qué riesgos y cuántos de ellos debe tomar la organización, y luego, reevaluar aquellas elecciones a medida que las circunstancias cambian. A diferencia de la Administración de Calidad Total (TQM, Total Quality Managment), la que no acepta errores, la ERM sostiene que un número definido de errores puede ser tolerado siempre y cuando el costo de protegerse de ellos es más caro que los riesgos que ellos suponen. Considere las perspectivas de un gobierno que compra chips de computador para utilizarlos en misiles crucero y un fabricante de computadores que compra los mismos chips para utilizarlos en computadores personales. Ambas entidades poseen altos estándares para la calidad e integridad de los chips computacionales, pero difieren ampliamente en sus tolerancias ante fallas en ellos. El fabricante de misiles crucero no puede tolerar ninguna falla en un chip. La probabilidad de dichas fallas puede ser baja, pero la magnitud de las consecuencias es demasiado alta para todos los stakeholders de la organización. De este modo, ese fabricante debe probar cada chip para asegurarse que cumpla completamente con los altos estándares que la organización ha establecido. Por otro lado, el fabricante de PC’s no necesita probar todos sus chips porque puede, de hecho, tolerar algunas pocas fallas. Puede contar con la probabilidad limitada de tales fallas, ya que la magnitud de las consecuencias es considerablemente menor que con las fallas de los chips en misiles crucero. Esta diferencia en el apetito de riesgo conducirá las diferencias en las asignaciones de recursos y otras elecciones de la administración. Integrar la Gestión de Riesgos con los procesos de definición de la estrategia, la planificación y la presupuestación no conlleva costes adicionales significativos para una compañía y sí tiene beneficios que pueden llegar a ser muy relevantes y que, además, son fácilmente tangibilizables. En este sentido, gran parte de la mitigación de los riesgos ya es connatural al día a día del negocio. Por citar un ejemplo, los bancos tienen cámaras blindadas tengan o no tengan un Sistema de Gestión de Riesgos y esté o no esté integrado con los procesos de planificación estratégica. Así, dichos costes no deberían ser incluidos en la inversión a realizar para integrar la Gestión de Riesgos con la planificación. Sin embargo, sí deben incluirse los costes derivados de la gestión del cambio, las nuevas herramientas a utilizar, la formación del personal clave, los cambios en determinados procesos, las nuevas actividades de control, etc. En cuanto a los beneficios, conviene destacar la mayor fiabilidad de la información para la toma de decisiones, la mejor preparación y, por tanto, minimización del impacto antes sorpresas inesperadas y el menor coste de gestión de las mismas, dado que la compañía ya habría reflexionado sobre la manera de tratarlos con anterioridad a su materialización. Por otro lado, entre los beneficios se incluyen también la mayor facilidad para aprovechar las oportunidades que se derivan de algunas de estas sorpresas. Pero también pueden existir dificultades en la integración de los Sistemas de Gestión de Riesgos con la estrategia. Los problemas surgen cuando dentro de una misma compañía, la Gestión de Riesgos funciona de manera separada del análisis estratégico, la toma de decisiones y la monitorización de la estrategia implementada. Para evitar que la Gestión de Riesgos y la estrategia funcionen como silos, tanto el Consejo de Administración como la alta Dirección deben poner el foco en los riesgos e incluirlos dentro de la agenda estratégica de la compañía. En realidad, tanto el Consejo como la alta Dirección han empezado los deberes en este ámbito, aunque de manera distinta dependiendo de la tipología de riesgo. Los Sistemas de Gestión de Riesgos con la estrategia (con el diseño, la planificación y la monitorización de la misma) se integran mediante una robusta definición y articulación de los elementos clave de la estrategia corporativa (objetivos, acciones/planes de acción estratégicos, el contexto dentro del cual la estrategia será implementada, etc.) se puede definir e identificar cómo el diseño, la planificación y la ejecución de dicha estrategia pueden nutrirse de los riesgos a los que se tiene que enfrentar el negocio. El Consejo y la alta Dirección deben centrarse en obtener un mejor entendimiento de los riesgos del negocio, tanto a través de las fuentes de información internas (reporting financiero, indicadores operativos, encuestas sobre el personal, etc.), como de fuentes externas a la compañía (las información externa puede ser canalizada a través de encuestas a la Dirección sobre el entorno o puede ser obtenida directamente de fuentes externas informes especializados del sector, índices macroeconómicos, fuentes oficiales, datos de coyuntura económica, etc.). La gran mayoría de las compañías ya utiliza el análisis de escenarios en su planificación. En este caso, el valor añadido se deriva de la integración de la información sobre los riesgos, lo que amplía el abanico de escenarios y la fiabilidad de los mismos. Una vía para que la Dirección enriquezca los escenarios utilizados y los someta a un test de estrés eficaz es que el Consejo o un tercero independiente delimite. Animar a la alta Dirección y al Consejo a entender los impactos de los riesgos en los indicadores clave de seguimiento puede ser una tarea ardua. Sin embargo, si las palancas de valor del negocio son bien entendidas, determinar el impacto potencial de los riesgos es relativamente sencillo. En el plano operativo, la integración de la Gestión de Riesgos en la estrategia supone integrar cuatro ámbitos de actuación de la compañía: la Gestión de Riesgos; el diseño y actualización de la estrategia; la planificación y presupuestación y la monitorización de la implementación de dicha estrategia. Es necesario tener en cuenta las actividades clave dentro de cada ámbito de responsabilidad y la secuencia de dichas acciones para alcanzar una integración eficiente.   Mapa de Riesgos por tipo de industrias. Es evidente que toda actividad empresarial implica riesgos. Éstos se producen por el hecho de que la empresa lleva a cabo sus actividades en un entorno de incertidumbre, en ausencia de certeza sobre lo que ocurrirá en el futuro. Dado que el riesgo es inherente a la actividad de las empresas, éstas deben tratar de integrarlo en sus procesos de toma de decisiones a través de su conocimiento, valoración y gestión (control, reducción o eliminación). Cuando se analiza una empresa con cualquier objetivo o interés, como puede ser comprarla, dirigirla, planificar el futuro de la misma, etc. son muchas las variables a estudiar, porque la empresa está afectada por muchos elementos de su entorno. El análisis de la situación de riesgo en que vive una empresa no se circunscribe a ella misma, sino a todo el entorno en que se desarrolla. Así, en un primer nivel general, conviene estudiar las grandes variables macroeconómicas que pueden afectar la evolución de la empresa: crecimiento de la demanda interna, inflación, tipos de interés, etc. Una vez definido el entorno general que afecta a la empresa, un segundo aspecto a valorar es el sector al que la empresa pertenece. El enfoque deberá centrarse no sólo en las estimaciones y evolución futura de las principales variables, sino también en la historia del propio sector y la diferenciación de cada una de las empresas que lo componen en función de sus estrategias de crecimiento. El análisis sectorial no puede quedarse en el plano nacional exclusivamente. La comparación internacional es necesaria e imprescindible, con la consideración de variables como la estructura de costes, la tecnología, la posición comercial, la integración, el tipo de mercado en el que está presente, las barreras entre mercado. Otro de los puntos importantes en este apartado es la posición del sector respecto al ciclo económico. Cada sector tiene su momento de mayor crecimiento en función de la situación económica y, lo que es más importante, en cada momento económico hay un sector que ofrecerá mejores perspectivas y evolución. Se puede hablar de cuatro grandes grupos de sectores: • Defensivos: alimentación, distribución, autopistas y otros que cubran necesidades primarias. En general, la volatilidad de las cuentas de resultados de estos sectores es menor frente a cambios en el ciclo económico. • Sensibles a tipos de interés: eléctricas, financieras, seguros, telecomunicaciones… El peor comportamiento de estas acciones es durante una economía en crecimiento, cuando inflaciones altas, provocadas por un recalentamiento económico, fuerzan al alza los tipos de interés y esto incide negativamente en las cuentas de resultados. • Sensibles al consumo: coches, manufactureras, grandes superficies… • Bienes de capital: son sensibles a la evolución del nivel de formación bruta de capital (inversión) en la economía. Hay que destacar que no todos los sectores caen exactamente en estas distinciones, ya que, por ejemplo, telecomunicaciones puede ser sensible a tipos de interés pero claramente lo es al crecimiento de la economía en la medida que, por ejemplo, el consumo medio por línea y el número de líneas aumenten. Es importante destacar el análisis estratégico/competitivo que definió Michael E. Porter y que se debe realizar antes de entrar plenamente en los aspectos financieros. Porter concibe la empresa como un centro sobre el que actúan cinco fuerzas competitivas diferentes: barreras de entrada o nuevos competidores, productos sustitutivos, poder de los clientes, poder de los proveedores y la competencia o rivalidad entre empresas. Además, hay una fuerza adicional, que es la legislación que se debe considerar. La conjunción de estas fuerzas sobre la empresa provoca que ésta alcance rentabilidades superiores/inferiores al coste de capital, lo que aumenta/disminuye su atractivo. En cada una de las fuerzas mencionadas se pueden analizar aspectos como: •             Barreras de entrada: economías de escala, fondo de comercio, costes de entrada en el sector, redes de distribución… De hecho, las redes de distribución en España son una de las mayores barreras de entrada "naturales" de algunos sectores (bancario, tabaquero). •             Poder de los proveedores: una concentración excesiva de los pedidos en pocos proveedores puede hacer peligrar los márgenes o incluso la producción, que es lo que ha sucedido en algunos casos a empresas que dependían en gran medida de los planes de inversión de otras más grandes, como Repsol, El Corte Inglés, Renfe o Telefónica. •             Poder de los clientes: por el lado de los clientes es igualmente peligroso comprometer un porcentaje elevado de las ventas con un número pequeño de clientes. Aspectos como la información de los clientes, costes de cambio de proveedor, aspectos de precio o identificación con la marca son los más importantes. •             Competencia: crecimiento del sector, estructura de costes fijos, sobrecapacidad, diferenciación de productos, concentración, diversidad de competidores… •             Productos sustitutivos: evolución del precio de los sustitutivos, calidad, costes de cambio por parte de los clientes, propensión al cambio… Además, hay que estudiar la legislación que se aplica al sector al que pertenece la empresa. Hay sectores muy regulados, como el bancario, el eléctrico o las autopistas, que necesitan de un análisis específico, ya que las previsiones y estimaciones dependen de estos límites marcados por ley.

Evaluación de los riesgos – impacto y probabilidad de ocurrencia. El proceso de identificación requiere buscar los riesgos potenciales en cada área de operación e identificar aquellas áreas de mayor significancia que pueden impactar cada operación en un tiempo razonable. La idea no es sólo una lista de cada posible riesgo, sino identificar los riesgos que pueden impactar las operaciones, con algún nivel de probabilidad (Moeller, 2007). Concibiendo al riesgo empresarial como el conjunto de todos los riesgos de los procesos funcionales que una empresa enfrenta en el curso de llevar a cabo sus actividades (Casualty Actuarial Society, 2003) y después de una revisión exhaustiva sobre los estudios de riesgos, se determina considerar para este estudio los riesgos financieros, operativos, estratégicos y del entorno4, que a continuación se definen de acuerdo a la concepción de COSO (2004) y Marsh (2012). Riesgos financieros: conjunto de eventos de contenido económico que pueden afectar negativamente los objetivos de la empresa en caso de materializarse, se asocian fundamentalmente con riesgos de crédito e insolvencia y con las incertidumbres de las operaciones financieras. Riesgos operativos: tienen relación con la posibilidad de pérdidas ocasionadas en la ejecución de los procesos y funciones de la empresa por fallas en los procesos, sistemas, procedimientos, modelos o personas que participan en dichos procesos. Riesgos estratégicos: son los relacionados con las pérdidas ocasionadas por definiciones estratégicas inadecuadas y errores en el diseño de planes, programas, estructura, integración del modelo de operación, asignación de recursos, estilo de dirección, ineficiencia en la adaptación de cambios en el entorno. Riesgos del entorno: comprenden los elementos como el país donde está ubicada la empresa, su naturaleza, región y ciudad, además del sector, la industria, condiciones económicas, políticas, sociales y culturales.   Análisis de Riesgos. El objetivo es establecer una valoración y priorización de los riesgos con el fin de clasificarlos. El análisis dependerá de la información disponible sobre el riesgo y de su origen. Para adelantarlo es necesario diseñar escalas que pueden ser cualitativas o cuantitativas. Se han definido dos categorías: Probabilidad e Impacto.   Definición de las respuestas a los riesgos. La idea es plantear las soluciones más adecuadas para poner cara a aquellos elementos que obstaculizan la consecución de los objetivos estratégicos de las empresas. Pero, así como cada organización tiene sus propios retos en esta materia, de la misma manera debe reaccionar a los riesgos que eventualmente pueden perjudicarle. Existen cinco estrategias principales a la hora de gestionar un riesgo:   • Supresión del riesgo: No es lo más habitual, pero a veces las organizaciones logran que desaparezcan los riesgos asociados a sus procesos. Esto se consigue cuando la labor de previsión se ha implementado de forma exitosa: obteniendo información adicional, adquiriendo apoyo de expertos, añadiendo recursos adicionales o modificando los elementos de la planificación, entre otros elementos.   • Transferencia del riesgo: Bajo esta figura, el riesgo es transferido a otra dependencia de la organización o, incluso, a una segunda empresa asociada. Se trata de un recurso muy común entre los grupos de compañías filiales o que comparten algún tipo de vínculo que permite esta transferencia. Por ejemplo, cuando hablamos de responsabilidad solidaria, una empresa puede asumir las deudas de otra que haga parte del conglomerado que las integra a las dos. El riesgo no se anula; sólo se redirecciona.   • Mitigación del riesgo: Es una estrategia de gestión de riesgos que consiste en reducir la probabilidad o el impacto de un riesgo sobre la organización. Es decir, que si llega a producirse, sus efectos serán mucho menores que si no se hubiesen adoptado medidas al respecto. Esta opción se usa sobre todo en aquellos casos en que los riesgos son inevitables o no dependen de la empresa en sí misma. La clave para una acertada mitigación del riesgo está en las acciones. Algunos ejemplos son: - Adopción de procesos más sencillos en la organización. - Puesta en marcha de ensayos adicionales. - Elección de proveedores o suministrador más fiables. - Adición de recursos para la labor preventiva.   • Explotación del riesgo: Recordemos que no todos los riesgos son negativos. Algunas veces, su irrupción es una oportunidad para las organizaciones. Cuando eso ocurre, en vez de mitigarla o eliminarla, la estrategia de la empresa debe centrarse en sacar el máximo provecho de la circunstancia. Un riesgo con efectos positivos se puede potenciar gracias a la designación de más personal cualificado, mayor apoyo económico o una adaptación a la planificación realizada al inicio.   • Aceptación del riesgo: En estos casos, se trata de riesgos que no suponen mayores impedimentos para la consecución de los objetivos y que, por tanto, pueden convivir con la empresa. Pero no se trata de una actitud resignada. Por el contrario, implica la elaboración de un plan de contingencia para, de este modo, adaptar el riesgo a las actividades de las empresas. Por ejemplo, las compañías que operan en zonas montañosas y con una alta probabilidad de sismos, desarrollan toda una política de emergencia en torno a la evacuación y la asistencia en casos de emergencia.   Herramientas y bases de datos utilizadas en la evaluación de riesgos. Dado que los riesgos no tienen el mismo origen ni la misma naturaleza, existen varias estrategias para su gestión. Sin embargo, otros factores que inciden significativamente son el tamaño de las empresas, su número de integrantes, su estructura, la actividad de producción y el sector en el que operan. Esto ha propiciado que se desarrollen metodologías de análisis propias de un sector o especialidad. Su objetivo es la identificación, evaluación, tratamiento y monitorización de los riesgos asociados a una actividad, función o proceso. Es decir, es lo que da forma a la implementación del sistema de gestión en sí mismo. Sin embargo, es importante dejar claro que las metodologías de análisis de riesgos se dividen en dos grupos principales: a) Metodologías de gestión del riesgo: Son aquellas que están orientadas a la identificación, evaluación y el posterior tratamiento de los riesgos derivados de una actividad. Entre ellas está, como es obvio, la norma ISO 31000. También se encuentran otros estándares, como por ejemplo la norma AS/NZS 4360, que plantea un modelo de análisis centrado en los principios de la familia normativa ISO 9000. Norma ISO 31000: el valor de la gestión de riesgos en las organizaciones Otras de las metodologías más reconocidas son el sistema APPCC (Análisis de Peligros y Puntos Críticos de Control) y el método del ARO (Administración del Riesgo Operacional), los cuales operan en el mismo sentido. b) Metodologías de cuantificación: En este caso, se trata de aquellas herramientas que se enfocan exclusivamente en la cuantificación de los riesgos. Es decir, aplican una serie de indicadores (de carácter numérico casi siempre) para medir el impacto que tienen los riesgos en las organizaciones y, a partir de ese cálculo, elaborar acciones coordinadas para su gestión, tratamiento o, incluso, eliminación. - Magerit: se trata de una metodología de análisis y gestión de riesgos que ha sido elaborada por el Consejo Superior de Administración. Está específicamente diseñada para las compañías que trabajen con información digital y servicios de tipo informático. Su función principal es evaluar cuánto valor pone en juego una compañía en un proceso y cómo protegerlo. También ayuda a la planificación de tratamientos oportunos y a preparar a las organizaciones de cara a procesos de auditoría, certificación o acreditación. - Delphi: es un método orientado a conocer la opinión de expertos. En un primer momento, un grupo de especialistas anónimos responde a un cuestionario que elabora una organización sobre un tema específico, en este caso la Gestión de Riesgos. Tras analizar los resultados, los responsables piden su opinión a cada uno de los integrantes del grupo. Finalmente, la empresa elabora un segundo cuestionario, aunque éste con preguntas más precisas y focalizadas. La idea es que al final se elabora un texto con las conclusiones.   Relación de los riesgos con los procesos y su mitigación a través de controles. Los controles suelen estar definidos en políticas y procedimientos que se establece en límites, autorizaciones y otros protocolos, con la finalidad de revisar su desarrollo y medir el rendimiento. Además, pueden reducir la probabilidad de ocurrencia de un posible evento, su impacto o ambos conceptos a la vez. Los controles revisados deben satisfacer los criterios y alcances para los cuales se han definido, en forma manual o automatizada, diaria, semanal o eventual. Estos pueden ser de carácter cualitativo (riesgo operacional) y cuantitativo (riesgo financiero). El tipo de término de controles que se podría emplear para la revisión de las operaciones podría ser: Segregación de funciones, costo – beneficio, acceso a activos y archivos, verificación y conciliación, evaluación de desempeño, rendición de cuentas, documentación física y virtual (Procesos, actividades y tareas) y revisión (Procesos, actividades y tareas). En tecnologías de información los controles serían: Segregación de funciones, seguridad programas y datos, controles de accesos generales (Seguridad física y lógica de equipos centrales), continuidad de servicio, control en el desarrollo de aplicativos, control en el mantenimiento de aplicativos, control al área de desarrollo, control al área de producción, control al área de soporte técnico. Cuando se cuenta con datos de la gestión de riesgos, es posible conocer el estimado en términos de valor del impacto o riesgo inherente. Si no se dispone de dicho indicador, los auditores pueden intentar valorizar el impacto del riesgo tomado datos contables o de ejecución presupuestal, para facilitar la medición y alcance de los controles vigentes. El objetivo es identificar si los controles actúan dentro de la banda entre el riesgo inherente y residual, si son suficientes, si no son redundantes o por último si carecen de controles apropiados para cubrir las necesidades de mitigación de los riesgos. Una matriz de riesgo constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organización. La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de una entidad. Exige la participación activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la empresa. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Todo ello constituye un soporte conceptual y funcional de un efectivo Sistema Integral de Gestión de Riesgo.   ¿Qué elementos deben considerarse en el diseño de una matriz de riesgo? A partir de los objetivos estratégicos y plan de negocios, la administración de riesgos debe desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a los cuales están expuestas; entendiéndose como riesgo la eventualidad de que una determinada entidad no pueda cumplir con uno o más de los objetivos. Consecuentemente, una vez establecidas todas las actividades, se deben identificar las fuentes o factores que intervienen en su manifestación y severidad, es decir los llamados “factores de riesgo o riesgos inherentes”. El riesgo inherente es intrínseco a toda actividad, surge de la exposición y la incertidumbre de probables eventos o cambios en las condiciones del negocio o de la economía que puedan impactar una actividad. Los factores o riesgos inherentes pueden no tener el mismo impacto sobre el riesgo agregado, siendo algunos más relevantes que otros, por lo que surge la necesidad de ponderar y priorizar los riesgos primarios. Los riesgos inherentes al negocio de las entidades financieras pueden ser clasificados en riesgos crediticios, de mercado y liquidez, operacionales, legales y normativos estratégicos. El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra y un cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad. La valorización del riesgo implica un análisis conjunto de la probabilidad de ocurrencia y el efecto en los resultados; puede efectuarse en términos cualitativos o cuantitativos, dependiendo de la importancia o disponibilidad de información; en términos de costo y complejidad la evaluación cualitativa es la más sencilla y económica. La valorización cualitativa no involucra la cuantificación de parámetros, utiliza escalas descriptivas para evaluar la probabilidad de ocurrencia de cada evento. En general este tipo de evaluación se utiliza cuando el riesgo percibido no justifica el tiempo y esfuerzo que requiera un análisis más profundo o cuando no existe información suficiente para la cuantificación de los parámetros. En el caso de riesgos que podrían afectar significativamente los resultados, la valorización cualitativa se utiliza como una evaluación inicial para identificar situaciones que ameriten un estudio más profundo. La evaluación cuantitativa utiliza valores numéricos o datos estadísticos, en vez de escalas cualitativas, para estimar la probabilidad de ocurrencia de cada evento, procedimiento que definitivamente podría brindar una base más sólida para la toma de decisiones, ésto dependiendo de la calidad de información que se utilice. Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el proceso del trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarse que, si bien la valoración de riesgo contenida en una matriz de riesgo es mayormente de tipo cualitativo, también se utiliza un soporte cuantitativo basado en una estimación de eventos ocurridos en el pasado, con lo cual se obtiene una mejor aproximación a la probabilidad de ocurrencia del evento. Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de la gestión”, a fin de determinar cuán eficaces son los controles establecidos por la empresa para mitigar los riesgos identificados. En la medida que los controles sean más eficientes y la gestión de riesgos pro-activa, el indicador de riesgo inherente neto tiende a disminuir. Finalmente, se calcula el “riesgo neto o residual”, que resulta de la relación entre el grado de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos establecida por la administración. A partir del análisis y determinación del riesgo residual los administradores pueden tomar decisiones como la de continuar o abandonar la actividad dependiendo del nivel de riesgos; fortalecer controles o implantar nuevos controles; o finalmente, podrían tomar posiciones de cobertura, contratando por ejemplo pólizas de seguro. Esta decisión está delimitada a un análisis de costo beneficio y riesgo.   Enfoque de administración de riesgos.   Métodos Cualitativos Es el método de análisis de riesgos más utilizado en la toma de decisiones en proyectos empresariales, los emprendedores se apoyan en su juicio, experiencia e intuición para la toma de decisiones. Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los recursos necesarios para hacer un análisis completo. O bien porque los datos numéricos son inadecuados para un análisis mas cuantitativo que sirva de base para un análisis posterior y más detallado del riesgo global del emprendedor. Los métodos cualitativos incluyen: • Brainstorming • Cuestionario y entrevistas estructuradas • Evaluación para grupos multidisciplinarios • Juicio de especialistas y expertos (Técnica Delphi)   Métodos Semi-cuantitativos Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones más detalladas de la probabilidad y la consecuencia. Estas clasificaciones se demuestran en relación con una escala apropiada para calcular el nivel de riesgo. Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o malas interpretaciones de los resultados del cálculo.   Métodos Cuantitativos Se consideran métodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a los diferentes riesgos identificados, es decir, calcular el nivel de riesgo del proyecto. Los métodos cuantitativos incluyen: • Análisis de probabilidad • Análisis de consecuencias • Simulación computacional   El desarrollo de dichas medidas puede ser realizado mediante diferentes mecanismos, entre los cuales destacamos el Método Montecarlo, el cual se caracteriza por: • Amplia visión para mostrar múltiples posibles escenarios • Sencillez para llevarlo a la práctica • Computerizable para la realización de simulaciones   Utilización del mapa de riesgos en la definición de planes de auditoría. La revisión de la efectividad de los sistemas de control interno y de la administración del riesgo es una parte esencial de la responsabilidad del Directorio pero el trabajo de revisión, con frecuencia, se delega al Comité de Auditoría. La función precisa del Comité de Auditoría en el proceso de revisión dependerá de factores, tales como el tamaño y la composición del Directorio; la escala y la complejidad de las operaciones de la compañía, y la naturaleza de los riesgos significativos que enfrenta la compañía. El sistema de administración del riesgo y control interno de una compañía debería estar diseñado para administrar los riesgos que amenazan el logro de los objetivos de la compañía. Con este fin, una compañía necesita: (1) identificar los objetivos y evaluar los riesgos que amenazan el logro de dichos objetivos, (2) diseñar controles internos y estrategias para administrar/ mitigar dichos riesgos y (3) monitorear los controles y estrategias para asegurarse de que están funcionando efectivamente. El Comité de Auditoría debería revisar el proceso mediante el cual la compañía identifica los riesgos significativos y se asegura de que el Directorio tenga total conocimiento de los riesgos que enfrenta el negocio. Es importante asegurarse de que el proceso de identificación del riesgo: • Cuenta con una perspectiva suficientemente amplia: los riesgos externos, tales como los riesgos macroeconómicos así como los riesgos internos, tales como los controles deficientes. Las compañías están mucho más conscientes del riesgo y la función de administración y supervisión está mayormente orientada al riesgo. No resulta extraño que la dedicación del Comité de Auditoría en este sentido haya aumentado sustancialmente en los últimos años. Una revisión integral de la efectividad del proceso de revisión por parte del Comité de Auditoría merece un lugar destacado en la agenda. • Es dinámico: la importancia de considerar adecuadamente tanto los riesgos “detectados por el radar” y los indicios de alerta. • Tiene un alcance futuro: considera las diferentes situaciones riesgo y las situaciones posibles. Cuando se evalúan los procesos de riesgo de la compañía, el Comité de Auditoría debería asegurarse de que se han considerado apropiadamente los riesgos brutos subyacentes (es decir, antes de toda forma de control o mitigación) y no meramente los riesgos netos (es decir, después de haber aplicado los controles correspondientes). Para cada riesgo identificado, se debe hacer un juicio de valor respecto del impacto que podría llegar a tener y la probabilidad de que el riesgo ocurra. Es importante considerar el impacto en la reputación así como el impacto financiero u operativo (el efecto sobre la reputación de una compañía puede generar un costo mayor que el impacto inicial percibido). Los controles internos deberían usarse para mantener los riesgos que enfrenta la compañía dentro de los niveles de tolerancia de riesgo establecidos por el Directorio, y sobre la base de las consideraciones del beneficio en términos de costo. El Comité de Auditoría debería satisfacerse respecto de que se han establecido las políticas, los procedimientos y las actividades de control adecuados y que funcionan como se espera. La administración exitosa del riesgo requiere el entorno adecuado en la dirección: el Directorio y el Comité de Auditoría deberían enviar un mensaje claro para que tanto el riesgo como las responsabilidades de control se consideren asuntos de importancia.

Definición y alcance.   ¿Cumplir con qué? Concepto de “Requisitos” y “Compromiso”. El concepto de Compliance se puede traducir por “cumplimiento normativo”, aunque si leemos algún texto en inglés encontraremos numerosos casos en que se usan expresiones donde no podemos sustituir esta palabra por nuestra expresión elegida (cumplimiento normativo). La traducción por “cumplimiento normativo” que venimos usando los profesionales en esta materia quizá tenga mayor equivalencia con el concepto inglés de “regulatory compliance” (cumplimiento de la regulación). La función de Compliance dentro de una empresa asume las tareas de prevención, detección y gestión de riesgos de Compliance mediante la operación de uno o varios Programas de Compliance, contribuyendo a promover y desarrollar una cultura de cumplimiento en el seno de la organización. Compliance es un conjunto de herramientas de gestión intra-empresa que promueve el cumplimiento de normas, estándares y leyes aplicables a la industria. Para ello, se introducen en los procesos de decisión y comunicación criterios y pautas que intentan prevenir incumplimientos. De diversos modos, se busca concientizar a los integrantes de la empresa acerca de los riesgos que implica el incumplimiento. Ahora bien, la razón de negocio (business rationale) para prevenir el incumplimiento son los posibles daños que se siguen del mismo. Este rationale presupone algunas hipótesis: a) que cada integrante de la empresa es un representante (agente) de los intereses de los accionistas (principal). b) que los daños tienen un costo para la empresa (económico, legal, reputacional, ambiental, social). c) que el costo derivado del incumplimiento “se lo hace pagar” alguien externo a la empresa (Estado, público, consumidor, inversor). Si estos presupuestos son ciertos (de hecho o de derecho), prevenir incumplimientos forma parte deber moral (fiduciary duty) de proteger los intereses de quienes detentan la propiedad de la empresa, no sólo logrando resultados positivos, sino evitando los negativos. Por tanto, hay que tener presente que existen varios tipos programas de compliance que pueden tener alcances completamente diversos, y no limitarse únicamente a la dimensión penal (Tax Compliance, Labor Compliance, etc). Por lo que al momento de definir el alcance del compliance program tendremos que delimitar si vamos a implantar un programa de cumplimiento penal (modelo de prevención de delitos impuesto por la ley) dirigido a evitar o moderar la responsabilidad penal de la empresa, o si su contenido va destinado a regular o se extiende a otros aspectos como son laborales, ambientales, societarios, comerciales, impositivos, etc. De esta forma, el compliance officer de una empresa, podría desempeñar funciones de supervisión respecto al cumplimiento de las obligaciones tributarias o laborales, y no sólo del modelo de prevención de delitos. El compliance nace para asegurar que la empresa se ajusta y cumple con el ordenamiento jurídico. En las últimas décadas, esta función se ha generalizado entre las empresas para dar respuesta al aumento de normativa a nivel nacional e internacional –elaborada, en muchas ocasiones, por las instancias públicas para evitar nuevos abusos empresariales ante la falta de regulación–. El cometido de los programas de compliance es prevenir que tanto la compañía como sus empleados cometan delitos y, con ello, evitar las penas correspondientes. Además de asegurar el cumplimiento legal en un entorno cada vez más complejo, existen otros tres factores que han sido determinantes para consolidar esta función. El primero es el reconocimiento de la responsabilidad legal de las personas jurídicas, es decir, la posibilidad de que la compañía en sí y sus directivos, y no solo las personas que trabajan en ella, sean inculpadas y condenadas. El segundo ha sido el aumento del importe de las sanciones, que hace más «rentable» el cumplimiento de la ley que su violación. Y, el tercero, posiblemente el más importante, el hecho de que poder acreditar la vigencia de un programa de cumplimiento normativo efectivo cuando se cometió el delito permite que la empresa quede exenta o mitigada de responsabilidad penal. El Compliance es un conjunto de procedimientos y buenas prácticas adoptados por las empresas líderes para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención y gestión, formación, detección, minimización y control de los mismos. El entorno legislativo en el que la empresa desarrolla sus actividades es cada vez más abundante y complejo. El nivel de beligerancia de las autoridades y organismos regulatorios es cada vez mayor y el impacto de la regulación es más intenso que nunca. Por ello, y por los recientes escándalos societarios y el innegable incremento de la sensibilidad social respecto de la “ética de los negocios”, un mayor número de organizaciones públicas y privadas internalizan estándares éticos y legales como protocolos de buen gobierno de obligado cumplimiento. Los riesgos a prevenir son aquellos que conllevan consecuencias como el daño reputacional, la imposición de multas y sanciones, las pérdidas de negocio por contratos no ejecutables o la exclusión de licitaciones o subvenciones públicas, entre otras. Un programa integral de Compliance se compone de múltiples elementos y su consecución depende en gran medida de la creación de una cultura corporativa de estricto cumplimiento de las normas y políticas éticas de la empresa. Por ello, es imprescindible que se establezcan mecanismos de control o medidas de respuesta ante posibles incumplimientos, incluyendo entre otros acciones de formación, una estrategia de comunicación interna y externa del programa y la adopción de buenas prácticas.   Conclusiones erradas sobre compliance: •             La función de Compliance en la Empresa debe dedicarse exclusivamente a la prevención de delitos del código penal para evitar la responsabilidad penal de persona jurídica. Esta frase viene siendo un clásico. Para entender la finalidad que persigue el artículo 31 bis del Código Penal, sobre los supuestos en los que las personas jurídicas serán penalmente responsables. Lo primero que debemos tener claro es que tal responsabilidad se dará, siempre que concurran los requisitos del artículo y, únicamente, para la comisión de unos determinados delitos del Código penal, no todos. En segundo lugar, cuando en el artículo 31 bis del C.P. se dice "por cuenta y en beneficio directo o indirecto de las mismas", se refiere a que puede haber responsabilidad penal de la empresa si la acción o acto le genera provecho. Por otro lado puede producirse un delito por un empleado de la empresa dónde la empresa no reciba beneficio y, además, es víctima por los actos del trabajador. En tercer lugar, al referirse el artículo 31 bis del C.P. "en el ejercicio de actividades sociales"  deja claro que los actos que se lleven a cabo pueden no tener relación con actividades sociales de la empresa y, aunque se pueda haber cometido un presunto delito por el autor, no existirá responsabilidad penal de la persona jurídica. •             En el Compliance de lo que se trata es de que la empresa establezca controles para evitar que se cometa cualquier delito dentro de la misma. Es cierto que la prevención de delitos es una parte fundamental y decisiva de la función de Compliance así como de cualquier Modelo de Prevención y Control.  A pesar de ello, no debemos cometer el error de pensar que es la única responsabilidad del Compliance Officer o Departamento de Compliance en una empresa. Así pues, si enfocamos el Compliance desde el prisma del cumplimiento legal, sus funciones pueden tener competencia para velar por el cumplimiento de la normativa en materia de Protección de Datos, mercado y consumidores, competencia etc. Por otro lado, desde el prisma organizativo y de riesgos en la empresa hallamos funciones asociadas al buen gobierno corporativo, ética y responsabilidad social corporativa etc. Además, la reforma del Código Penal deja claro que la función del Compliance en la empresa va mucho más allá de un programa de prevención de delitos. •             Basta con enviar el Código Ético que la empresa ha elaborado a todos los empleados para cumplir con las obligaciones de Compliance. La comunicación a los trabajadores del Código Ético/Conducta es, sin lugar a dudas, uno de los elementos claves que la empresa debe realizar para  la implantación de un modelo de Compliance. De todos modos, no es el único elemento dentro del elenco de instrumentos que nos ayudarán a crear una efectiva cultura de cumplimiento en la empresa. A lo largo de un proyecto de Compliance se deben pasar varias fases. Desde la definición del alcance y ámbito de las materias que se abarcarán, la estructura organizativa, el nombramiento de la función de Compliance, establecimiento de los recursos destinados a Compliance, las competencias que tendrá Compliance en el seno de la empresa, establecimiento y aprobación del marco normativo, procedimientos, protocolos, políticas (ya sean para empleados, proveedores etc.), identificación de los riesgos, implantación de los debidos controles para evitar los riesgos, funciones de revisión y auditoría para comprobar la eficacia de las medidas de control, niveles de periodicidad y madurez de la empresa.  Como vemos el Compliance no es "pim pam pum" sino que va más allá de hacer un Código Ético y divulgarlo. La Circular de la Fiscalía insiste que lo fundamental no es tener un Código de autorregulación con toda la teoría incluida sino el acreditar que los gestores o los órganos de gobierno de la sociedad han ejercido (en la práctica) todas las medidas exigibles para prevenir, detectar y reaccionar ante un posible delito consiguiendo una verdadera cultura de cumplimiento en la empresa. De nada sirve un Make-Up Compliance basado en un modelo de Código de muchas páginas que lo regula todo sin que se centre en las particularidades de cada empresa. •             El Compliance es lo mismo que la Asesoría Jurídica de una empresa, al final se trata de cumplir Leyes El Compliance en cada empresa, a nivel organizativo, suele ser diferente atendiendo a razones de tamaño, actividad, sector, etc. de cada compañía. Si bien es cierto que, al final, se trata de hacer cumplir las leyes, no debemos quedarnos con este corto concepto ya que, dentro de la función de Compliance, encontramos funciones de control de las normativas internas, externas, sectoriales, códigos de conducta etc. Otro motivo por el que se suele confundirse es porqué, generalmente, la figura del Compliance Officer suele recaer en alguien que sea abogado o cualquier otro perfil que tenga formación jurídica. Como ya comentamos en el artículo La relación entre Compliance y otras áreas de la empresa, el Área de Compliance, a diferencia de Legal, tiene carácter autónomo e independiente con el fin de investigar cualquier conducta sin interrupciones y/o interferencias de otras áreas de la empresa. Por otro lado, un carácter más preventivo y asociado al análisis y gestión de los riesgos y, también, potestad para llevar a cabo una investigación interna, por denuncia o no, con el fin de aclarar los hechos y valorar si se ha vulnerado las normas o políticas de la empresa. •             Esto del Compliance en ésta empresa no puede funcionar. En los próximos años, aquellas empresas que no hayan dado importancia a tener un buen modelo de Compliance quedarán aisladas del mercado por no haber tomado las pertinentes medidas y esfuerzos en conseguir una cultura de cumplimiento en la empresa ya que, aunque sea de manera progresiva, en España, se irá consolidando una cultura centrada en la exigencia de cumplimiento por parte de los clientes y/o proveedores de la empresa, basado en la transparencia y la ética en el negocio. Entre otras cuestiones el Compliance sirve para evitar que la empresa cometa delitos y para evitar que la empresa sea víctima de delitos, entre otras, cuestiones.   Orígenes y antecedentes de la función de compliance. Estados Unidos, mediados de los setenta. La SEC (Securities and Exchange Commission, agencia gubernamental encargada de hacer cumplir las leyes federales de valores y regular los mercados financieros nacionales) descubre que más de 400 compañías estadounidenses han participado en pagos ilegales a cargos públicos o partidos políticos en el extranjero. El caso de la compañía aeroespacial Lockheed es uno de los más escandalosos: habría pagado 22 millones de dólares a funcionarios del Gobierno japonés en el transcurso de una venta de aviones. Es en este momento cuando puede situarse la génesis del compliance. En un esfuerzo por devolver la confianza a las compañías americanas, en diciembre de 1977, el Senado aprobaba la Foreign Corrupt Practices Act (FCPA), ley que prohíbe los pagos ilegales a funcionarios extranjeros y exige a las compañías cotizadas registrar todas las transacciones y contar con sistemas de control interno adecuados. Más adelante, en el contexto de progresiva globalización de los años noventa, las políticas nacionales se muestran insuficientes para responder al nuevo contexto de libre circulación de capitales. Las diferencias de normativa entre los países redundaban en ventajas competitivas para aquellas compañías que continuaban realizando pagos ilegales. Se produce entonces un segundo avance del compliance, con el impulso de varias iniciativas internacionales de lucha contra la corrupción, entre las que destaca la firma de los miembros de la OCDE (a instancias de Estados Unidos) de la Convención Anticorrupción en 1997. Ratificada en la actualidad por un total de 41 países, los Gobiernos firmantes se comprometen a implementar una legislación que penalice el soborno de un funcionario público extranjero, similar a las regulaciones de la FCPA. Por otro lado, a partir de los años noventa se irán constituyendo los diferentes códigos e iniciativas que han permitido el desarrollo efectivo del compliance hasta su constitución actual. En 1991, la United States Sentencing Commission publicaba el Guidelines Manual, un marco pensado para evitar las disparidades en los juicios, para lo que codificó los criterios que pueden seguir los jueces a la hora de asignar penas a los crímenes corporativos. Entre las medidas, se incluía la existencia de un programa de cumplimiento normativo y de acciones para evitar la comisión de delitos como factores que pueden atenuar o evitar la condena de la compañía. El impacto de la medida fue enorme: a partir de entonces surge la figura del Chief Ethics & Compliance Officer (CECO, director de Ética y Cumplimiento) y muchas compañías adoptaron programas de cumplimiento (Murphy, 2002). Además, las guidelines han influido en la legislación de numerosos países en materia de anticorrupción e imposición del cumplimiento de la ley, a través del derecho comparado. Un año después, en 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO), comité formado por cinco asociaciones estadounidenses de auditoría y rendición de cuentas, publicaba Internal Control-Integrated Framework, una guía para el diseño, implementación, seguimiento y evaluación de controles internos. Se trata del manual más extendido en Estados Unidos, así como en la mayoría de las empresas de todo el mundo. El golpe de gracia final vendría a principios del nuevo milenio, cuando escándalos corporativos como el de Enron pusieron en evidencia la necesidad de fortalecer la regulación. Bajo la fuerte presión de los accionistas, en 2002 nacía en Estados Unidos la ley Sarbanes- Oxley, con el fin de evitar la falsificación del valor de las empresas en bolsa, los fraudes y los riesgos de bancarrota. Al mismo tiempo, los escándalos llevaron a la extensión de los programas de compliance entre las compañías cotizadas, deseosas de evitar que algo similar llegara a sucederles. Se demostró además que contar con documentos, códigos o manuales escritos no era suficiente –Enron tenía un código de conducta de 64 páginas–, redoblándose los esfuerzos por integrar el cumplimiento normativo en la cultura de la empresa y por monitorizar el desempeño. En los últimos años, la crisis financiera, junto con la aparición de nuevos escándalos, han provocado el aumento de la presión por parte de inversores,  ciudadanos y reguladores, lo que, en último término, ha conllevado la normalización de la función del cumplimiento normativo en los Consejos de Administración y en la empresa. Las grandes auditoras también han coadyuvado al impulso del compliance, en el que han encontrado un nicho de mercado debido a los requerimientos de auditoría independiente y de revisión fiscal. En todo caso, son los Gobiernos los que más han contribuido al desarrollo de la función, creando o adaptando la normativa que hace la existencia de programas de cumplimiento un imperativo para las empresas. Entre los ejemplos más notables de ello a nivel internacional, se encuentra la ley anticorrupción del Reino Unido (Bribery Act 2010), que atañe a los delitos cometidos tanto en territorio británico como fuera del mismo por empresas o ciudadanos originarios de este país. La ley, considerada una de las más severas y referente en el ámbito internacional, incluye los pagos de facilitación y el acto de recibir sobornos como delitos sancionables, algo que no incluye su homóloga estadounidense Foreign Corrupt Practices Act (McDermott Will & Emery, 2010). La función de compliance, o cumplimiento normativo en español, puede definirse como aquella que vela, dentro de la empresa, porque se desarrollen las actividades y negocios conforme a la normativa vigente y a las políticas y procedimientos internos establecidos, asegurando, de este modo, que la empresa opera con integridad. La función del compliance empresarial es la de reducir los espacios de riesgos tolerables en el marco de la actividad empresarial respecto a la actuación de la propia organización y de sus miembros individuales.   Fuentes del Compliance (Hard Law y Soft Law). Frente a la presión regulatoria, se hace necesario que las organizaciones empresariales se “autorregulen” y creen sus propios programas de prevención, detección, reacción y corrección del cumplimiento normativo, es decir Programas de Compliance o Sistemas de Gestión del Cumplimiento. Por tanto, cuando hablamos de Compliance, estamos hablando de autorregulación regulada o regulated self-regulation. Es regulada porque la base de la autorregulación son las leyes, normas, contratos, estándares o incluso el Soft Law que han ido publicando varias organizaciones como la OCDE o el Banco Mundial. Las organizaciones empresariales necesitan de instrumentos de gestión para poder cumplir con todos estos requerimientos, y que mejor que la autorregulación por la propia empresa directamente afectada, que mejor que nadie conoce su propia organización interna, sus fortalezas y debilidades. La existencia de variaciones normativas que van desde lo no vinculante hasta lo vinculante, del "no derecho" al derecho, de lo soft a lo hard. Con la expresión soft law se trataba de describir la existencia de fenómenos jurídicos caracterizados por carecer de fuerza vinculante aunque no carentes de efectos jurídicos o al menos con cierta relevancia jurídica. Si bien es cierto que a la distinción entre soft law y hard law pudiera atribuirse algunos "beneficios", tales como, estimular una mayor "conciencia jurídica", contribuir a asegurar la presencia de valores éticos en el proceso de positivización del derecho internacional o reflejar la diversidad de la comunidad internacional Julio Barberis considera que son tres las principales acepciones del término soft law, a saber: a) las normas que se encuentran en proceso de formación y aún no han adquirido validez jurídica; b) las normas jurídicas de contenido difuso o vago en las que resulta difícil precisar si sus disposiciones han sido o no cumplidas debidamente; y c) las normas que se hallan en las resoluciones de la Asamblea General de las Naciones Unidas y de algunas organizaciones regionales, en los acuerdos políticos entre los gobiernos, en los "gentlemen´s agreements", en ciertos códigos de conducta, en declaraciones conjuntas de presidentes o de ministros de Relaciones Exteriores, en directivas adoptadas por consenso en conferencias internacionales, etc., que en conjunto formarían un "orden jurídico intermedio". El ámbito del soft law se analiza en oposición al denominado hard law, entendiendo éste como aquellos instrumentos o prácticas generales con carácter obligatorio cuyo incumplimiento puede ser exigido por las vías institucionales de solución de conflictos y derivar en la responsabilidad internacional del Estado. Este fenómeno envuelve una amplia gama de documentos internacionales: resoluciones de organizaciones internacionales, recomendaciones e informes adoptados por organismos internacionales o dentro de conferencias internacionales; programas de acción; textos de tratados que no han entrado en vigor, declaraciones interpretativas de determinados tratados o convenios; disposiciones programáticas o non-self-executing; acuerdos no normativos, acuerdos políticos o gentlemen´s agreement, códigos de conducta, directrices, estándares, etc. La diversidad de instrumentos internacionales que suelen enmarcarse dentro del denominado soft law hacen de él un concepto demasiado amplio para dotarlo de un sentido único en el discurso del derecho internacional. Tal parece que el dato unificador es aquel que se refiere a sus efectos no obligatorios y que lo define por contraposición al denominado hard law. El avance del soft law, mediante las recomendaciones, comunicaciones, programas, informes, dictámenes, otros documentos de trabajo no vinculantes, y muy especialmente a través de la jurisprudencia, sirven de parámetro de interpretación del hard law, y de atenuantes de la responsabilidad que pudiera derivarse de la infracción de éste, proviene conceptualmente del derecho anglosajón habiendo gravitado en el derecho convencional. Respecto a los criterios para determinar la existencia de un determinado instrumento del soft law, son los siguientes: i) que sean formulados en términos no obligatorios de acuerdo a los procesos tradicionales de creación de derechos (v. gr. tratado o costumbre); ii) contengan términos vagos e imprecisos; iii) procedan de órganos carentes de autoridad para crear normas internacionales; iv) estén dirigidos a actores no estatales, cuya práctica no pueda configurar una costumbre internacional; v) permanezcan ajenos a cualquier teoría de la responsabilidad internacional; vi) se basen exclusivamente en la adhesión voluntaria y no exista un mecanismo jurídico para su exigencia. Otro posible modelo de clasificación de los instrumentos del soft law se basa en la relación que guardan con los correspondientes del hard law. En este sentido se distingue entre soft law explicativo o interpretativo del hard law; hard law emergente en la forma de soft law; soft law como evidencia de obligaciones jurídicas, soft law paralelo al hard law; y soft law como fuente de obligaciones internacionales. Por ejemplo, pueden servir de inspiración a parlamentos para la adopción de legislación interna o a los jueces como pautas interpretativas de tratados internacionales, para determinar la existencia de una costumbre o un principio general de derecho internacional. En este sentido, es importante destacar la transformación del soft law en hard law, no sólo en el ámbito internacional a través de la celebración de tratados posteriores o de la configuración de una práctica consuetudinaria, sino también desde el punto de vista interno con la adopción de medidas legislativas o judiciales que incorporan los estándares del soft law a la normatividad interna reconociéndole carácter obligatorio. Sin perjuicio de que las Recomendaciones que emite el GAFI tienen carácter soft law, es decir, no obligan jurídicamente a los países que las suscriben, su impacto y relevancia en el desarrollo y diseño de los sistemas legales anti-lavado de cada jurisdicción resulta indudable. De hecho, los países miembros del GAFI (y los no miembros) que no ajusten su legislación interna a los estándares anti-lavado de las 40 Recomendaciones podrán ser tildados de países “con deficiencias en materia anti-lavado” (los que conforman las “listas grises”) o, peor aún, países “no cooperantes” (que conforman las “listas negras”); según el procedimiento estipulado en las Notas Interpretativas a la Recomendación 19 (países de riesgo) de las 40 Recomendaciones.   Cultura empresaria: definición. Concepto tone from the top.   El eslogan “tone from the top”, corriente en el lenguaje de cumplimiento, transmite una idea esencial: las máximas autoridades de la compañía son quienes dan el ejemplo a seguir por el resto de los empleados. Si los empleados no perciben que el compromiso ético ha sido incorporado por la alta gerencia en sus rutinas diarias (“walk the talk”), los programas de cumplimiento, casi con certeza, no surtirán efecto alguno o, inclusive, serán contraproducentes. Si el mensaje es ambiguo o no creíble en la alta gerencia, no puede esperarse un compromiso mayor de parte de los empleados. En este sentido es sumamente importante resaltar que no bastará con el compromiso moral individual, sino que es necesario que tal compromiso sea reflejado en su accionar diario. El compromiso interno es insuficiente, porque no brinda un ejemplo claro a los demás. Las compañías multinacionales son, usualmente, organizaciones altamente descentralizadas. Por muchas décadas y en muchas industrias, las relaciones entre la casa matriz y las subsidiarias se limitaron a los resultados económicos. Las estructuras de cumplimiento desempeñan, en cambio, una función centralizadora porque su principal objetivo es que los empleados y terceros que se relacionan con la compañía respondan a los mismos estándares éticos con independencia del país en el que se encuentren. La alta gerencia de cada subsidiaria juega en este aspecto un rol central. Algunos oficiales de cumplimiento entrevistados perciben que mientras el mensaje que reciben desde la casa matriz es consistente, el mensaje que reciben desde la alta gerencia local, aunque no contradictorio, es algo más ambiguo, propenso a aceptar excepciones o a reinterpretar reglas si ello contribuye a mejorar la performance económica. Con el objetivo de facilitar la tarea de las gerencias de cumplimiento, algunas multinacionales han implementado programas de entrenamiento específicos para las altas gerencias de cada subsidiaria, no solo en el contenido de las reglas sino en cómo reflejar su aplicación cotidianamente. Otros entrevistados, sin embargo, dejaron entrever ciertas ambigüedades desde la casa matriz y poco interés en resolver estas diferencias. Finalmente, es importante resaltar que el compromiso reflejado en las conductas de la alta gerencia debe coincidir con las prescripciones del código de ética o de conducta adoptado por la compañía. Por supuesto, muchos dilemas aceptan más de una solución éticamente satisfactoria. Sin embargo, el código de conducta debe reflejar las soluciones posibles aceptadas por la empresa. Si se advierten soluciones más adecuadas, lo que corresponde es reformar el código de ética. Pero apartarse de su letra – aun sin contradecir sus principios – envía mensajes ambiguos a la comunidad a la que está dirigido. Un programa anticorrupción efectivo debe estar basado en el respaldo firme, explícito y visible del personal directivo de la empresa. Incluso un programa bien definido no reduce el riesgo de corrupción si los empleados y los socios comerciales perciben que el personal directivo no está comprometido con la prevención de la corrupción. Este compromiso debe comenzar en las esferas más altas de la empresa. El personal directivo debe declarar abiertamente una tolerancia cero a la corrupción, respaldada por políticas y procedimientos que reafirmen ese compromiso. El compromiso tiene un papel crítico en el establecimiento de una cultura que esté basada en valores fundamentales como la integridad, la transparencia y la rendición de cuentas. El respaldo y compromiso del personal directivo, también conocidos como “pautas de ejemplaridad”, son un factor esencial de la cultura institucional. Las “pautas de ejemplaridad” influyen en las normas y los valores con que opera la empresa y a los que se espera que todos los empleados y socios comerciales relevantes se adhieran. Las “pautas de ejemplaridad” están definidas por el comportamiento del personal directivo de la empresa, como su(s) propietario(s), directores ejecutivos, el consejo de administración o un órgano equivalente. Las “pautas de ejemplaridad” deben demostrar que se ha asumido el programa anticorrupción como propio. Ello implica que el personal directivo considera la prevención de la corrupción como una de sus responsabilidades. Las “pautas de ejemplaridad” deben reflejar el respaldo y la adhesión irrevocables a los valores fundamentales de la empresa, como la integridad, la transparencia y la rendición de cuentas, y el personal directivo debe expresar claramente que la corrupción no será tolerada. En su puesta en práctica, el compromiso del personal directivo con la prevención de la corrupción debe incluir los dos elementos de importancia siguientes: • Política pública de tolerancia cero a la corrupción; y • Desarrollo y aplicación de un programa anticorrupción. El personal directivo tiene que dejar en claro que la corrupción está prohibida en todo momento y bajo cualquier forma, ya sea grande, pequeña, directa o indirecta, activa o pasiva. La prohibición debe quedar documentada públicamente en una declaración formal sobre la tolerancia cero a la corrupción, que deberá ser enfatizada durante las actividades internas y externas (v. gr., la capacitación de los empleados, las asambleas de accionistas, las conferencias). Adicionalmente, la declaración general debe ir respaldada de un programa anticorrupción efectivo, que comprenda políticas y procedimientos detallados. El respaldo y compromiso del personal directivo no deben ser vistos como un hecho único que ocurre solo durante el lanzamiento de un programa anticorrupción. El respaldo y compromiso son, por el contrario, una demostración continua de las normas y los valores de la empresa. Garantizar el compromiso en toda la empresa: Es responsabilidad del personal directivo garantizar que todos los empleados y socios comerciales relevantes estén al tanto de los valores y las normas de la empresa, incluyendo las consecuencias de no adherirse a la política de tolerancia cero a la corrupción de la empresa. En las empresas grandes, el personal directivo no puede establecer contacto regular con todos los empleados. Por lo tanto, es importante que el personal directivo superior garantice que las “pautas de ejemplaridad” sean bien comprendidas y expresadas en todos los niveles jerárquicos de la empresa (v. gr., los niveles de dirección medios). Los niveles medios, inspirados y motivados por las “pautas de ejemplaridad”, deben demostrar una adhesión tangible al programa anticorrupción de ética y cumplimiento, ya que a menudo suelen ser los que tienen la mayor visibilidad y los que más frecuentan a “sus” empleados. Establecer responsabilidades: El personal directivo tiene la responsabilidad general de aplicar y mejorar continuamente el programa anticorrupción de ética y cumplimiento. Como ya se ha expresado, en las empresas grandes el personal directivo no puede participar en las actividades operativas cotidianas. Por consiguiente, puede asignar esas responsabilidades a personal clave dentro de la empresa (v. gr., el director de cumplimiento). Ello debe incluir no solamente las responsabilidades operativas de la aplicación y el mantenimiento continuo del programa anticorrupción de ética y cumplimiento, sino también las responsabilidades de supervisión del programa. Proveer suficientes recursos: Para reafirmar la importancia del programa y la sinceridad del personal directivo, resulta clave que la empresa asigne recursos suficientes para la aplicación y la mejora continua del programa. Esos recursos incluyen tanto recursos humanos, con las cualificaciones apropiadas, como recursos financieros. El personal directivo podría considerar la contratación de expertos en la materia, y/o la consulta con ellos, para respaldar la alta calidad del programa. Definir el alcance y la extensión del programa: Aunque los elementos clave de un programa anticorrupción de ética y cumplimiento se describen en las normas regulatorias o los principios de buenas prácticas (contenidos en el Manual anticorrupción de ética y cumplimiento, desarrollado conjuntamente por la OCDE, el Banco Mundial y la UNODC), el personal directivo debe definir el alcance y la extensión de algunos elementos del programa, como: • El nivel de divulgación de la información; • Si el programa será sometido a alguna forma de evaluación o valoración independiente; • Si la empresa participará en iniciativas voluntarias (v. gr., el Pacto Mundial de las Naciones Unidas) o en iniciativas de acción colectiva. Poner en práctica el respaldo y compromiso: El personal directivo debe demostrar su adhesión a las “pautas de ejemplaridad”, participando activamente en el proceso de aplicación y mejora del programa. Ello es especialmente importante ya que el establecimiento de ese programa podría provocar preguntas, inquietudes o, incluso, resistencia entre los empleados o socios comerciales. El respaldo y compromiso visibles y activos del personal directivo ayudan a superar esos desafíos. Ello puede lograrse: • Participando en una iniciativa voluntaria, como el Pacto Mundial de las Naciones Unidas; la Iniciativa de Alianza contra la Corrupción (PACI), del Foro Económico Mundial; la Iniciativa de Transparencia en la Industria Extractiva (EITI); la Iniciativa de Transparencia en el Sector de la Construcción (CoST); • Hablando en reuniones de empleados sobre los fundamentos y la importancia del programa; • Elogiando públicamente a aquellos empleados que hayan aplicado en la práctica los valores de la empresa, incluso en el caso de que el acto haya acarreado la pérdida de una oportunidad comercial para la empresa (v. gr., el rechazo de un contrato que solo podía obtenerse por medio de un acto de corrupción); • Dirigiéndose a los socios comerciales relevantes (v. gr., empresas conjuntas, agentes, proveedores) y a otras partes interesadas externas (v. gr., inversionistas); • Citando el compromiso anticorrupción en publicaciones externas, como el informe anual o el informe de responsabilidad cívica empresarial; • Participando en actividades de capacitación y comunicación; y • Comportándose como un modelo a seguir. Comportarse como un modelo a seguir es de la mayor importancia. Varios estudios indican que el comportamiento de los superiores es el factor que más influye en el proceso de toma de decisiones de los empleados. Cuando se enfrentan a una situación conflictiva, los empleados generalmente imitan el comportamiento y las acciones de sus superiores, ya que los perciben como el mejor curso de acción.   Cultura de integridad y gestión del comportamiento humano. Importancia de la “Gestión del Cambio” hacia una cultura ética. La empresa y sus directivos deben estructurar la organización corporativa interna teniendo en cuenta los nuevos riesgos jurídicos que implica la legislación de Responsabilidad Penal de las Personas Jurídicas. Una forma de minimizar los riesgos y de proteger la estructura empresarial y a sus directivos ante la eventual responsabilidad penal lo constituye lo que en el derecho americano se conoce como programas de cumplimiento normativo (compliance programs). La institución de programas de compliance y códigos éticos especialmente diseñados para disminuir los riegos penales pueden poner de manifiesto que la empresa, sus administradores y directivos han adoptado medidas de debido control y prevención que permitirá una disminución de la pena a imponer a la empresa. En este contexto surge también la idea de compliance que no otra cosa que "cumplimiento", pero que según el orden jurídico en el que opera es además "cumplimiento normativo". Puede ser cumplimiento de normas penales, pero sustancialmente es en primer lugar cumplimiento de normas administrativas y mercantiles, y no solo penal. Compliance es cumplimiento de todo el ordenamiento jurídico para evitar responsabilidades civiles, administrativas y penales de la empresa. Desde esta perspectiva, la cultura de cumplimiento de las corporaciones es, por tanto, el primer paso hacía una cultura corporativa de integridad. En este sentido, compliance es mucho más que una herramienta de buen gobierno: compliance es una filosofía del buen gobierno de las corporaciones. El ordenamiento jurídico no sanciona comportamiento no ético, sino conductas contrarias a las normas. Resulta contradictorio que se tenga que decir expresamente en un Código ético. Es preferible, denominarlos Código de buenas prácticas corporativas, Códigos de conducta, etc. Parece obvio que reflejar expresamente en un Código llamado "ético" que está prohibido pagar o hacer obsequios a un funcionario para que le otorguen algo a lo que no se tiene derecho, es decir, que está prohibido sobornar, no es solo un problema ético. Es una conducta prohibida y cuya realización tiene consecuencias jurídicas. Cultura de cumplimiento es cumplimiento normativo basado en valores y principios, pero que requiere su plasmación en normas de conducta concretas para garantizar el respecto de dichos valores. El compliance y la figura del oficial de cumplimiento (complianceofficer) debe ser visto dentro de la empresa como una figura que no solo que está para vigilar, controlar y sancionar, sino principalmente -si ha de tener un efecto preventivo- para canalizar las dudas de los integrantes de la empresa o corporación en el correcto cumplimento de las normas internas. El verdadero efecto preventivo requiere una constante formación de las personas que integran la corporación, pues de lo contrario no es posible pensar de la noche a la mañana se conozcan y cumplan adecuadamente las normas internas. En segundo lugar, el compliance será un factor que condicionará un cambio de la cultura empresarial y que además permitirá recobrar los valores de la actividad empresarial basados en las buenas prácticas y regidas desde la transparencia. Los programas de papel no serán suficientes. Es preciso impulsar una comunicación integral en la empresa, destacando los principales riesgos y concienciando acerca de cómo la integridad y las buenas prácticas crean un enorme valor para los diferentes grupos de interés. Por lo que es recomendable que la función de compliance de la Empresa, aplique los siguientes lineamientos: 1.  Marcar el tono adecuado para que todos los empleados comprendan los principios y normas clave del cumplimiento 2. Hacer que todo el personal complete su formación en cumplimiento 3. Puertas de despachos siempre abiertas para que haya diálogo 4. Informar de las preocupaciones a la persona adecuada 5. Animar a la gente a que informe sobre posibles conflictos 6. Cumplir con el proceso de aprobación de beneficios Con la "Integridad corporativa" se trata de tener una cultura que fomenta y alimenta un negocio fuerte y sostenible, que sirve a la sociedad en general, cultivando un ambiente de trabajo guiado por los valores compartidos por todos. En última instancia, se trata de la estructuración de la arquitectura organizativa de tal manera que las personas dentro de la organización tengan el poder de tomar las decisiones correctas, donde la Integridad incorpora a los empleados, a los negocios y a los procesos. Una cultura de integridad y valores se apoya en una estructura de cumplimiento integrado que ayude a impulsar las correctas decisiones, acciones, comportamientos y resultados de rendimientos:   Cultura de integridad basada en el comportamiento -Una cultura basada en valores, que va más allá de las reglas -Responsabilidad personal -Informes integrados -Aprendizaje y mejora continua   Cultura de cumplimiento integrado -Enfoque basado en riesgos y proactividad -Cumplimiento integrado del proceso de negocios -Asistencia en los negocios y en la reputación   Cultura de cumplimiento -La falta de claridad en la rendición de cuentas y responsabilidades -Dirección basada en la ejecución y la regulación -Normas mínimas -La excesiva dependencia de las funciones de auditoría o del sector de cumplimiento -La excesiva dependencia de las políticas y normas   El programa de cumplimiento construye fuertes cimientos de exigencia inflexible de acatamiento a la ley. En cambio, la integridad refleja la aspiración a adoptar normas de conducta que son más exigentes comparadas con los requerimientos de cumplimiento. Del estricto cumplimiento de la ley comunicado verticalmente, nos estamos desplazando hacia un modelo de negocio guiado por el modelo de responsabilidad individual y apropiación personal de los principios y valores de la Empresa. A tal punto, que en la actualidad se busca no restringir el Compliance a la satisfacción de deberes legales, la norma ISO 19600 sobre Compliance Management Systems (CMS) considera que las obligaciones de Compliance son aquellas que una organización debe cumplir –las que vienen impuestas por la Ley, por ejemplo-, pero también aquellas que elige voluntariamente cumplir –las recogidas en un Código Ético, por ejemplo-. Es a través de esta segunda categoría por donde irrumpen en la esfera del Compliance obligaciones que trascienden de la legalidad, incorporando contenidos conexos con la ética y los valores. Este es el motivo por el cual la traducción española del estándar ISO mantuvo el anglicismo “compliance” en lugar de interpretarlo como “cumplimiento”, rehuyendo la acepción tradicional de este término -asociado con el marco legal-, que es sólo una parte del universo del Compliance, en su sentido moderno. Donde la cultura de integridad en las organizaciones permite a sus personas desarrollar y reconocer las conductas correctas, incluso cuando no están explícitamente reguladas. Por eso, tanto los estándares más modernos sobre Compliance como los poderes públicos, remarcan la importancia capital de cultivar los valores en todos los ámbitos de la organización. Es por esto que hoy en día se habla de una batalla entre el Compliance Officer vs Integrity Officer dentro de la estructura de cumplimiento de la Empresa. Una prueba de ello es cuando mencionamos la palabra "cumplimiento", ¿qué es lo que se viene a la mente? ¿Es una reacción positiva o negativa? Para la mayoría de las personas, el cumplimiento significa algo obligatorio y, por lo tanto, generalmente algo desagradable o indeseable. El cumplimiento implica que hay una falta de libertad porque estamos restringidos de alguna manera o tenemos alguna regla que debemos seguir. Esto podría ser bueno o malo. Pero la mayoría de la gente lo toma como malo. Ejemplo de ello: ¿cuántas personas leerían voluntariamente el código de conducta de la empresa si no hubiera algún requisito de cumplimiento para hacer esto?. Pero si lo intentamos con la palabra Integridad; ¿Cómo se siente esta palabra?, ¿Es más abierto?, ¿Más positivo?, ¿Ofrece más posibilidades?, ¿Es este un atributo que valoras o te enorgulleces?. Para la mayoría de la gente, esta palabra genera una reacción positiva. Si uno utiliza el título de "Chief Integrity Officer " en su tarjeta siempre obtendrá un comentario. Generando preguntas sobre lo que hace el CIO para construir la integridad. Provoca curiosidad. En resumen, tiene una asociación más positiva y abierta - da espacio para algo más deseable. Por lo que, en muchas organizaciones se esta designando a un Chief Integrity Officer en lugar de Compliance & Ethics Officer. En la literatura existente, el concepto de integridad se relaciona con la unidad interna que se establece entre el modo de ser, el modo de pensar y el modo de actuar; por el contrario, la falta de integridad denota una ruptura interna dentro de la empresa. No existe unidad entre lo que la empresa es y lo que proyecta. A veces se mira más hacia afuera que hacia adentro, y como decían los clásicos, para ver bien, muchas veces hay que cerrar los ojos. La integridad de la empresa ha de ir precedida por la integridad de las personas que la componen y ser una consecuencia de ella. La superioridad en el ser, propia de la persona humana, hace que los diversos elementos que la constituyen formen una unidad; pero, además —y esto nos interesa particularmente— también lleva consigo una exigencia, un deber: libremente, cada persona debe instaurar una unidad en todo su obrar, debe obrar con coherencia, evitando las contradicciones entre su modo de ser y su manera de obrar y entre unos comportamientos y otros. Al contrario, cuando las personas adolezcan de falta de unidad o de coherencia, la empresa verá también mermada su integridad. Si bien, ‘Integridad’ no es entre nosotros un sustantivo muy común. Para caracterizar a alguien ético, mas bien decimos ‘es una persona honesta’. Pero los códigos de ética de empresas de origen anglosajón difundieron el concepto en la vida corporativa. Integridad hace referencia a la entereza moral -sin fisuras ni doblez- y a la fidelidad a los compromisos asumidos. No supone no tener debilidades. Todos hemos vivido el no querer ver y sufrido el no poder decir. Por lo que la integridad es un aprendizaje que incluye la búsqueda de lucidez para los matices éticos y la voluntad de superar la ceguera o mudez. La persona íntegra honra la verdad y el bien y la fortaleza que desarrolla no deviene en soberbia. Compliance -en inglés-, es la observancia o conformidad con las normas o también la disposición a cumplir pautas externas a uno mismo y a hacer que otros las cumplan. Una política de compliance en una empresa corporativa es un conjunto de reglas y códigos que mediante la homogeneidad de criterios restringe la discrecionalidad de directivos y filiales de la organización. En un entorno social donde el cumplimiento de la ley y las normas es laxo, ésta puede facilitarle a la persona con objetivos de integridad la observancia de las mismas. Por ejemplo, clarificando un conflicto de lealtades dentro de la organización. La lealtad no siempre es lo óptimo si es mera transacción y si no se sostiene en la fidelidad a la palabra dada.

Ética empresarial. Gestión basada en valores. La European Business Ethic NetWork (EBEN), define la ética como una reflexión sobre las prácticas de negocios en las que se implican las normas y valores de los individuos, de las empresas y de la sociedad. Las prácticas de ética empresarial más comunes son las siguientes:  Declaraciones o códigos de conducta o valores o etica, Acciones de buen gobierno, Programas de formación en valores, Informes de Responsabilidad Social Corporativa, Auditorías y certificaciones de ética empresarial, Proceso de toma de decisiones y Creación de comités de ética. Los valores son las creencias del individuo o del grupo acerca de lo que se considera importante en la vida, tanto en los aspectos éticos o morales como en los que no lo son. Dan el fundamento sobre el cual se formulan juicios y se realizan elecciones. Pueden derivarse del conocimiento, de consideraciones estéticas o de consideraciones morales. Se adquieren desde la más temprana edad, casi junto con el lenguaje y con los comportamientos de socialización, y se consolidan y amplían con la educación y el acceso a los medios culturales e informativos. Muchas veces permanecen implícitos y la persona no tiene claras sus prioridades valorativas. Debe enfatizarse el hecho de que los valores son el fundamento para un razonamiento moral sólido y la clave para la resolución de dilemas éticos. Así como los individuos adhieren a determinado conjunto de valores que deberían orientar su vida y sus acciones también lo hacen las instituciones y las organizaciones. Se han definido a los valores corporativos como “a corporation’s institutional standards of behavior”. Es importante intentar definir la forma en que se generan los valores corporativos. Y si los mismos serán el resultado de una decisión colectiva de los órganos de gobierno de la empresa o serán una consecuencia de la cultura organizacional vigente en la misma. A pesar de que en el presente es cosa común que las empresas exterioricen su “Misión, Visión y Valores”, en muchos casos los valores generados por la cultura organizacional permanecen implícitos, aunque en los hechos los mismos pueden resultar mucho más determinantes del comportamiento ético de una organización que aquello que pueda aparecer en los textos escritos. Y también es importante la presencia de un líder ético. A pesar de la eventual presencia de textos escritos, de videos alusivos a la ética e integridad de la corporación, el real comportamiento de sus integrantes puede ciertamente diferir de lo que marcan tales textos o imágenes. En un estudio se comprobó que varias empresas habían externalizado distintos valores y diferentes palabras para describir lo que se consideraba un comportamiento ideal de liderazgo. Pero todas esas diferencias en textos escritos no se traducían en absoluto en diferencias en el comportamiento de los líderes. La conclusión respecto del éxito o del fracaso en el desempeño de las empresas radica siempre en las personas y nunca en las palabras. Los valores corporativos son los siguientes: •             Satisfacción al cliente.  Implica tomar un enfoque proactivo hacia las necesidades y deseos del cliente, tratando de cumplir con sus expectativas. •             Integridad. Adherir a principios éticos y morales. Ser honestos y libres de influencias corruptas. •             Accountability. Ser responsable hacia alguien por alguna actividad y responder por sus resultados. •             Respeto por otros. Miramiento, consideración y deferencia hacia terceros. Ser educado y tolerante de las diferencias, con especial consideración a la dignidad, privacidad y libertad de otros. •             Comunicación abierta. Significa que cualquiera en igualdad de condiciones puede tener acceso y compartir los recursos de comunicación en la empresa, facilitando las relaciones interpersonales. •             Rentabilidad. Generar beneficios monetarios en la organización. •             Trabajo en equipo. Esfuerzo cooperativo y coordinado por parte de un grupo de personas que operan en conjunto como un equipo para alcanzar un objetivo común. •             Innovación/cambio. Introducción de nuevas cosas, productos o métodos. Transformar o modificar productos, procesos o métodos. •             Aprendizaje continuo. Proveer oportunidades de aprendizaje de conocimientos y habilidades para todas las edades, focalizado menos en el conocimiento y más en la forma de aprender. Proveer una estructura ágil para facilitar la adaptación a los cambios rápidos originados en la aceleración del progreso científico y tecnológico y también como respuesta a los cambios de roles y situación que se habrán de encontrar en el curso de la vida laboral. •             Medio de trabajo positivo. Ambiente laboral agradable con buenas relaciones interpersonales con estímulos positivos y reconocimiento del mérito en el desarrollo de las respectivas carreras laborales. •             Diversidad. Medio laboral no discriminatorio inclusivo de todas las minorías y géneros. •             Servicio comunitario. Servicios prestados en forma voluntaria por individuos o por organizaciones en beneficios de la comunidad y/o de sus instituciones. •             Confianza. Expectativa positiva respecto de la integridad, fuerza, habilidad, seguridad de una persona o cosa. Obligación o responsabilidad impuesta sobre una persona a la cual se le concede autoridad para desempeñar ciertas funciones. •             Responsabilidad social. Búsqueda del éxito comercial de modo que se respeten los valores éticos, la gente, las comunidades y el medio ambiente. Obligación de una empresa de maximizar su impacto positivo y minimizar su impacto negativo sobre los stakeholders. •             Seguridad/protección. Libertad respecto de daños o riesgos en el lugar de trabajo. Adopción de las medidas pertinentes para asegurar que no se sufran lesiones o daño. •             Empowerment. Proceso por el cual se incrementa la capacidad y habilidades de individuos o grupos para mejorar sus procesos de elección y decisión y facilitar la transformación de tales elecciones en acciones y resultados. •             Satisfacción del empleado con el empleo. Conformidad del empleado con las condiciones en que se desarrollan sus actividades y con la actitud de los dirigentes hacia los empleados y las oportunidades que se les ofrece para su desarrollo de carrera. •             Diversión/entretenimiento. Organización de las actividades de modo que no se vuelvan rutinarias y constituyan una ocupación agradable para la mente, que relajen, estimulen, den placer y no produzcan stress. •             Equidad (justicia con imparcialidad). Medio caracterizado por la justicia y la imparcialidad donde se procede de acuerdo con los criterios de la ética y del juego limpio más allá de lo que establezcan las leyes y las normas escritas. Disposición de dar a cada uno lo que merece de acuerdo con los principios del justo comportamiento. •             Veracidad. Observancia habitual de la verdad en el discurso y en los enunciados escritos. Actuar de acuerdo con la verdad, los hechos y la realidad con fidelidad, lealtad y sinceridad. Se establece que las personas, a lo largo de su vida, modifican gradualmente su razonamiento moral y, conforme lo hacen, moldean su manera de pensar hacia una forma más autónoma, la cual adquiere su máxima expresión cuando dicho perfil de pensamiento alcanza los niveles superiores, en los que las decisiones y acciones tomadas se acercan e, incluso, se identifican con la decisión/acción moralmente correcta. Sin embargo, pese a ser un proceso, no todos los individuos pueden llegar a ocupar tales estadios de desarrollo moral. Más bien, la gran mayoría de las personas no alcanzan tales niveles en su razonamiento moral y, éstas, con total seguridad, requieren de la aprobación de un grupo más amplio de personas que tomarán como referentes: familia, amigos, líderes espirituales y compañeros de trabajo, entre otros. Así, los factores organizacionales pueden desempeñar un papel importante en el comportamiento ético en dos cuestiones: el establecimiento de la intención moral y la participación en la conducta moral. En este sentido, las personas que conforman los entornos organizacionales son altamente influyentes respecto a la intención ética del empleado, en especial, aquellas personas que poseen cierto poder y autoridad en la empresa. Podemos, por tanto, inferir que la Alta Dirección tiene un poderoso poder de afectación sobre el grado de moralidad conductual que se sucede en la empresa la Alta Dirección para influir en el comportamiento ético/no ético del empleado. Puede suceder que, aún cuando la Alta Dirección sí tenga una dimensión moralmente buena, debido a la distancia existente entre ambos, ésta no sea percibida por el resto de miembros organizacionales. De esta forma, esta persona, moralmente buena en realidad y con comportamiento consecuente, es muy probable que sea considerada como amoral o éticamente neutral. Por tanto, no es suficiente con ser una persona moralmente buena, sino que se ha de transmitir dicha buena moralidad y la importancia de la misma a todos los niveles de la organización y esto se consigue mediante el desarrollo de la figura de directivo moralmente bueno, pilar básico sobre el que se sustenta un líder ético. De ahí la necesidad de trabajar los valores de las personas y alinearlos con las expectativas de cada organización, sin dar por hecho que se traen desde casa y que son todos iguales. Sin embargo, la formación en el ámbito del Compliance tiene también un objetivo que trasciende lo comentado hasta ahora: es un factor clave para que cada persona de la organización conozca las obligaciones de cumplimiento que le son propias. Es decir, constituye una herramienta esencial para adquirir conciencia de que las obligaciones de Compliance son inherentes a la actividad que cada individuo desarrolla y, por ello, tienen una dimensión personal inevitable. El hecho de que exista una función de Compliance no supone una traslación de esas responsabilidades individuales hacia un equipo de especialistas, sino tan solo que ciertas personas, por su perfil profesional y experiencia, prestan soporte a los propietarios reales de los riesgos de incumplimiento. Un error conceptual frecuente sobre Compliance, es pensar que dicha función asume los cometidos de cumplimiento que en verdad afectan a cada una de las personas de la organización, circunstancia que es materialmente imposible y, por lo tanto, también ingestionable. De ahí, que la ética tiene que ver con el êthos, con el carácter que se forjan las personas y las organizaciones, y con la justicia, que exige tener en consideración a todos los que se vean afectados por la actividad de la empresa. Desde esta perspectiva la ética empresarial enlaza directamente con la necesidad de que las empresas adopten una verdadera política de responsabilidad social corporativa, siendo esta quizás el medio más idóneo de demostrar el verdadero compromiso ético de cualquier organización. Una entidad socialmente responsable es una entidad no solo respetuosa con la normativa vigente, sino comprometida con sus empleados, con el cuidado del medioambiente y que contribuye proactivamente al desarrollo de la sociedad en la que opera, en especial al de los sectores más desfavorecidos. Es pues este «sentido ético compartido» el que nos permite afirmar que una entidad será éticamente responsable más allá de que cumpla la normativa vigente, cuando esté real y verdaderamente comprometida con los valores que acabamos de exponer: con tratar a los demás con la dignidad que como personas iguales merecen, con dar a cada uno (empleados, clientes, proveedores, competidores, comunidad) lo suyo, procurando el mejor estado de cosas para cada uno de ellos. El reto que ya han aceptado importantes empresas, pero que debe extenderse a todas las personas jurídicas que actúan en la sociedad, es integrar la responsabilidad social corporativa en la propia estrategia de la organización, ante el convencimiento de que una vez integrada en la misma, mejorará la gestión de los recursos humanos, se incrementará la lealtad de los empleados y su productividad, inspirará confianza a los clientes, inversores o asociados y añadirá en definitiva valor a la organización. Desde este punto de vista cabe considerar que, si bien los sistemas de prevención de delitos resultan el medio de defensa idóneo previsto en la ley para protegerse de la responsabilidad penal a modo de escudo, la implantación de programas de responsabilidad social corporativa son el medio útil para demostrar la existencia de una cultura ética en la organización, cuya ausencia conllevará su responsabilidad penal en caso de comisión en su ámbito de dominio de algún delito de los que la misma pueda ser declarada responsable.   Estructura interna para la implementación de estándares de compliance / integridad. La  función  de  Compliance   asume  las  tareas  de  prevención,  detección  y  gestión  de  riesgos  de  Compliance  mediante  la  operación  de  uno  o  varios  Programas  de Compliance,  contribuyendo  a  promover  y  desarrollar  una  cultura  de  cumplimiento en el seno de la organización. La función de Compliance  se asocia, en cada caso, a la operación del Programa de  Compliance que tenga asignado. La cultura de cumplimiento o cultura de compliance guarda relación con el respeto y compromiso con los objetivos de Compliance, que pueden estar recogidos en la Política de Compliance,  traduciéndose en conductas alineadas con ellos. La función de Compliance contribuye a promover la cultura de cumplimiento en el seno de la organización, sin perjuicio de que la responsabilidad principal en la consecución de este propósito corresponde a su órgano de gobierno y alta dirección. Son riesgos de Compliance los relacionados con el incumplimiento de las obligaciones de Compliance, esto es, aquellas que una organización debe cumplir, y también las que elige voluntariamente cumplir. Las obligaciones de Compliance que una organización debe cumplir suelen provenir de órganos con capacidad legislativa o los poderes públicos. Las obligaciones de Compliance que una organización elige voluntariamente cumplir suelen recogerse en códigos o políticas internas o sectoriales de carácter privado que no vienen impuestas por órganos con capacidad legislativa o los poderes públicos. El  cumplimiento  de  las  obligaciones  de  Compliance corresponde  a  todas  y  cada  una  de  las  personas de la organización, que deben ejercer la debida diligencia en el conocimiento y cumplimiento de las vinculadas con sus actividades. La existencia de la función de Compliance no traslada esta responsabilidad pero contribuye a ejercerla. La  organización  determina  las  obligaciones  de  Compliance  cuyo  riesgo  de  incumplimiento prevendrá, detectará y gestionará la función de Compliance a través de uno o varios Programas de Compliance. El órgano de administración de la organización se ocupará de impulsar la determinación de las obligaciones de Compliance sobre los que proyectará uno o varios Programas de Compliance a efectos de la prevención, detección y gestión de los riesgos asociados con su incumplimiento. La organización puede disponer de uno o varios Programas de Compliance destinados a la prevención, detección y gestión de riesgos específicos de incumplimiento asociados con las obligaciones de Compliance sobre las que se proyectan respectivamente (riesgos penales, de vulneración de la privacidad, medioambientales, fiscales, regulatorios, etc.). También puede disponer de un Programa de Compliance transversal que asuma o coordine esta pluralidad (superestructura de Compliance). El  Programa  o  Programas  de  Compliance con que se dote la organización serán adecuados a sus circunstancias internas y externas, sobre la base del principio de proporcionalidad. Son circunstancias internas, por ejemplo, el volumen de negocios de la organización, el número de empleados, la cantidad de transacciones que ejecuta, las partes con las que mantiene relaciones de negocio, etc. Son circunstancias externas el marco regulador de la sociedad y sus actividades, las actuaciones e interpretaciones de los poderes públicos de dicho marco, el riesgo asociado a los mercados en los que opera, etc. La organización procurará de que todas sus obligaciones de Compliance queden sujetas a uno o varios Programas de Compliance por motivo de ámbitos, materias o bloques de obligaciones de Compliance.  En este último caso, procurará también que las diferentes áreas o Programas de Compliance operen de manera coordinada mediante un Programa transversal o superestructura de Compliance Estructuras de la función de Compliance. La organización se ocupará de que tanto el Programa o los Programas de Compliance como los  responsables de operarlos satisfagan los requisitos a los que puedan estar sujetos según el marco normativo que le resulte de aplicación. La organización impulsará la verificación de la efectividad del Programa o Programas de Compliance a través de revisiones desarrolladas por auditoría interna y/o externa. La organización se ocupará de que la prevención, detección y gestión de los riesgos de Compliance queden sujetos a uno o varios Programas de Compliance razonablemente documentados, que fijen claramente su alcance y expresen en forma concreta los cometidos a desarrollar por la función de Compliance y sus responsables. La  función  de  Compliance  puede  implementarse  tanto  en  organizaciones  públicas como privadas, con y sin ánimo de lucro.  El régimen jurídico aplicable a la función de Compliance deriva de la normativa aplicable  a  cada  organización  y  sus  operaciones.  Las  disposiciones  de  este  documento se interpretarán de conformidad con lo establecido en ese marco legal u organizativo, que prevalecerá en caso de discrepancias. La función de Compliance puede desempeñarse tanto por un órgano unipersonal como  colegiado  o  en  varios  Responsables  o  equipo  de  Compliance.  En  cualquier  caso, es una función interna de la organización. Sin perjuicio de que se trate de una función interna de la organización, la función de Compliance puede recurrir al asesoramiento externo o incluso externalizar algunos  de  los  cometidos  establecidos  o  derivados  de  la  ejecución  del  Programa  o  Programas  de  Compliance.  Sin  perjuicio  de  ello,  la  responsabilidad  de  operar  diligentemente  un  Programa  de  Compliance corresponde  al  equipo  de Compliance  que deba operarlo. En cualquier caso, la responsabilidad última de supervisión de la correcta ejecución del Programa de Compliance  corresponde al  órgano  de  administración  de  la  organización  y/o  sus  comités  delegados  con  atribuciones para ello. Cuando  la  función  de  Compliance  se  establece  como  órgano  colegiado  o  equipo de Compliance, se identificará a la persona que lo representa, en calidad de coordinador responsable de Compliance y/o su máximo representante. Cuando la organización disponga de un Programa transversal o superestructura de Compliance, identificará al máximo representante de la misma, así como a los responsables de la operación de Programas de Compliance específicos, utilizando una nomenclatura que evite confusiones de identificación entre unos y otros. El máximo representante de la función de Compliance puede recibir denominaciones diversas, como Chief Ethics & Compliance Officer, Chief Compliance Officer, Presidente del Comité de Compliance, etc. Igualmente, los responsables de áreas o Programas específicos de Compliance también pueden denominaciones variadas, como Oficial de prevención penal, Data Privacy Officer, etc. La función de Compliance se acomoda a las circunstancias particulares de cada organización, debiendo disponer de las estructuras y recursos que sean adecuados a las mismas. Las características de la función de Compliance en pequeñas y medianas organizaciones se ajustarán a sus circunstancias, que no son comparables a las de las grandes organizaciones. En cualquier caso, el objetivo común de todas ellas es promover y mantener una adecuada cultura de cumplimiento. La función de Compliance estará dotada de autonomía suficiente para desarrollar sus cometidos  esenciales sin precisar mandatos específicos para ello. A tales efectos, el organo  de  administración  de  la  organización  le  delegará  facultades  y  competencias suficientes para desarrollar sus cometidos esenciales  de manera continuada  y  sin  precisar  autorización,  siempre  con  objetividad,  imparcialidad  e  independencia. El  órgano  de  administración  de  la  organización  se  ocupará  igualmente  de  dotar  a la función de Compliance  de la autoridad y legitimidad suficientes para que pueda  recabar  en  cualquier  momento  la  información,  o  acceder  a  los  registros  y  documentación que precise para el desarrollo de sus cometidos esenciales  en el seno de la organización. La autoridad y legitimidad de la función de Compliance se traduce en una adecuada posición jerárquica dentro el organigrama de la organización, que le otorgue capacidad para dirigirse de forma autónoma a otras áreas o funciones de la organización y garantice un acceso rápido así como la comunicación fluida con el órgano de administración social y sus comités delegados. Un correcto acceso a la información y documentación implica libre acceso a las personas, órganos y los registros de la organización (tanto físicos como electrónicos) que guarden relación directa con los cometidos esenciales de la función de Compliance. La organización se ocupará de que todo su personal presta apoyo y soporte a los cometidos de la función de Compliance. Autonomía de la función de Compliance. El órgano de administración de la organización asignará a la función de Compliance los  recursos  materiales  y  humanos  suficientes  para  el  desarrollo  de  sus cometidos esenciales de manera autónoma. Entre  los  recursos  materiales  se  incluirá  una  partida  presupuestaria  cuya  gestión  directa corresponderá a la función de Compliance.  Los  responsables de  los  Programas  de  Compliance o el máximo representante de Compliance -en caso de que la organización disponga de una superestructura de Compliance- serán consultados antes de concretar el monto de esta partida presupuestaria que, en cualquier caso, debe guardar proporción a las circunstancias de la organización. La existencia de tal partida presupuestaria no exime al órgano de administración de la organización de facilitar dotaciones adicionales para la cobertura de imprevistos. La función de Compliance, sus responsables y, en particular, el máximo representante de Compliance, deben estar en disposición para rendir cuentas sobre el adecuado destino de los recursos asignados, como parte de la gestión presupuestaria de la organización, especialmente en lo que se refiere a las asignaciones económicas recibidas. La autonomía de la función de Compliance se ejercerá en el ámbito de aspectos vinculados con sus cometidos esenciales. La  función  de  Compliance  estará  dotada  de  la  máxima  independencia,  de  forma  que  su  juicio  y  modo  de  proceder  no  estén  condicionados  por  cuestiones  que le impidan o dificulten desarrollar libremente sus cometidos esenciales  para la consecución de los objetivos de Compliance, ni por temor a represalias. En particular, la función de Compliance no deberá verse afectada por los objetivos comerciales, económicos o cualesquiera otros que pudieran afectar su independencia de juicio para sugerir o promover acciones alineadas con los objetivos de Compliance  o  la  adecuada  operación  del  Programa de Compliance. Las  personas  integradas  en  la  función  de  Compliance no  deben  participar  en  la  prestación  de servicios y actividades que controlan, para evitar así verse supeditadas o condicionadas por la influencia indebida que pudieran ejercer personas de otras áreas de actividad de la entidad. Cualquier  persona  integrada  en  la  función  de  Compliance que  perciba  amenazada  su independencia debe ponerlo en conocimiento del órgano de gobierno de la organización o el comité delegado que tenga competencias en materia de ética e independencia, o incluso hacer uso de los canales internos de denuncias a tales efectos. Independencia de la función de Compliance. El nombramiento, evaluación del desempeño y destitución del máximo representante de la función de Compliance recaerá en el órgano de administración de la  organización  o  en  el  comité  delegado  del  mismo  que  tenga  atribuidas  tales  competencias. El nombramiento, evaluación del desempeño y destitución del máximo representante de la función de Compliance puede corresponder directamente tanto al órgano de administración de la organización, como de alguno de sus comités delegados, obligatorios o voluntarios (comité de auditoría, comité de responsabilidad social corporativa, comité de nombramientos o comité de compensaciones, por ejemplo). Constituye un factor de independencia que miembros independientes formen parte de dicho órgano o sus comités delegados. Cuando este sea el caso, la organización procurará que alguno de esos comités asuma dichas tareas. En cualquier caso, tanto el cese como la destitución del máximo representante de  la  función  de  Compliance precisará  estar  fundamentado  por  escrito,  con  expresión concreta y razonada de los motivos correspondientes. La organización podrá complementar el proceso de cese o destitución del máximo representante de la función de Compliance garantizando su comparecencia ante el órgano de gobierno o comité delegado correspondiente, a fin de que pueda manifestarse libremente ante ellos. Los fundamentos reales para el cese o destitución de máximo representante de la función de Compliance no pueden guardar relación con el desempeño razonable de sus cometidos esenciales. La valoración del desempeño de las personas integradas en la función de Compliance  no  deberá  estar  condicionada  por  la  opinión  de  funciones  o  áreas  de  la  organización potencialmente afectadas por sus actuaciones. Se excluye de tal circunstancia al propio órgano de administración de la organización y sus comités delegados. La  retribución  de  las  personas  que  integran  la  función  de  Compliance: a) No podrá depender en su mayoría de los objetivos comerciales ni los resultados económicos de la organización, y b) Será acorde a la relevancia de sus cometidos. En particular, la valoración y retribución de las personas que integran la función de Compliance no debe afectada por el desempeño o resultado de las áreas de negocio o actividades que controlen. La retribución tanto de los responsables como del máximo representante de la función de Compliance consistirá principalmente una cantidad fija. No obstante, una fracción de la misma puede depender de su desempeño en la operación del Programa o Programas de Compliance que tengan asignados, así como de logros vinculados a sus cometidos esenciales. Ni la parte fija ni la variable de la retribución deben vincularse con objetivos comerciales o los resultados económicos de la organización. Cometidos esenciales de la función de Compliance. La función de Compliance es responsable de operar con autonomía el Programa de Compliance que tenga asignado, salvaguardando su independencia y velando por el trato confidencial que precisen las informaciones o documentos a los que tenga o pueda tener acceso. Sus cometidos esenciales son los que se regulan en este apartado. Los cometidos esenciales de la función de Compliance guardan relación con la finalidad del Programa de Compliance, esto es, prevenir, detectar y gestionar riesgos  de  Compliance  para  cumplir  con  los  objetivos  de  Compliance determinados por la organización. Puesto que el cumplimiento de las obligaciones de Compliance afecta a todas y cada una de las personas de la organización, a ellas corresponde involucrarse en la prevención y detección de los riesgos de Compliance, especialmente cuando lideran equipos o desempeñan labores de control o supervisión. No obstante, informarán de ello y canalizarán su gestión a través de la función de Compliance. La función de Compliance impulsará, en caso de no existir, la creación y difusión de una Política de Compliance donde consten los objetivos de Compliance acordados por la  organización,  el  involucramiento  de  todo  su  personal  en  su  consecución,  y  las  estructuras  de  Compliance dispuestas  para  auxiliar  en  esa  labor.  El órgano de administración de la organización se ocupará de aprobar y brindar la máxima difusión a dicho documento. La Política de Compliance tanto puede ser general, en el caso de superestructuras de Compliance, como referida a ámbitos específicos de Compliance, en  caso  de  Programas  de  Compliance proyectados sobre ámbitos, materias u obligaciones de Compliance específicas. La función de  Compliance se ocupará de que tanto el personal de la organización como los terceros con los que ésta se vincule –en caso de serles de aplicación- puedan acceder a la Política de Compliance. Los objetivos de Compliance figurarán en la Política de Compliance de la organización, que respaldará la autoridad de la función de Compliance y sus responsables y/o máximo representante, e incluirá un compromiso de conocimiento y respeto a las obligaciones de Compliance, así como no tolerancia respecto de las conductas que puedan poner en riesgo esos objetivos esenciales. En organizaciones de pequeñas dimensiones, la Política o Políticas de Compliance  pueden  estar  integradas  en  documentos  de  alcance  general,  donde  se  traten  otros  aspectos  relevantes  para  la  organización no necesariamente vinculados con los objetivos de Compliance. La organización impulsará la existencia de uno o varios canales a través de los cuales los destinatarios de la Política o Políticas de Compliance puedan realizar consultas, plantear inquietudes o denunciar de buena fe posibles transgresiones de su contenido. El máximo representante de la función de Compliance y/o el responsable del Programa de Compliance que por motivo de materia proceda, deberán conocer las comunicaciones que se gestionen a través de dichos canales y asegurar que se gestionan según disponga el Programa o los Programas de Compliance. La función de Compliance velará por que la organización se vincule con personas afines a sus objetivos de Compliance  y  Política  de  Compliance,  ya  sean  empleados o terceros con los que se mantengan relaciones de cualquier naturaleza. Emitirá  al  respecto  las  sugerencias  oportunas  al  órgano  de  administración  de  la  organización,  sus  comités  delegados,  alta  dirección  o  cargos  con  capacidades  decisorias sobre el inicio, mantenimiento o cancelación de tales vínculos con ellas. Los  cometidos  esenciales    de  la  función  de  Compliance  en  relación  con  la  operación del Programa de Compliance que deba operar, se desarrollan en los apartados siguientes. El órgano de administración será el responsable de impulsar la identificación de las obligaciones de Compliance que afectan a la organización, y de asignar la prevención, detección  y  gestión  de  los  riesgos  derivados  de  su  incumplimiento  a  uno o varios Programas de Compliance. La organización puede disponer de uno o varios Programas de Compliance. Cada Programa de Compliance tendrá asignado un responsable de su operación. La responsabilidad de operar cada Programa de Compliance corresponde al responsable al que la organización asigne su operación. En caso de un Programa trasversal o superestructura de Compliance  que  coordine  esta  diversidad,  la  responsabilidad  de  operar  y  rendir  cuentas  por  la  adecuada operación de los Programas específicos corresponde a sus respectivos responsables, sin perjuicio de la que también pueda corresponder en materia de supervisión y coordinación general al máximo representante de la función de Compliance. La  función  de  Compliance  será  responsable  de  operar  el  Programa  de  Compliance que le haya sido asignado, y que se proyectará sobre los riesgos de Compliance identificados por la organización que son objeto de dicho Programa de Compliance.   Comité de Ética / Integridad: composición y funciones. Una organización con buenas prácticas éticas, es aquella que se preocupa por tener como base un código de ética claro y actualizado que instruya la buena conducta de sus colaboradores tanto en el interior como en el exterior de la organización así como en sus relaciones con proveedores y clientes.  Siendo el código de ética “la ley” interna de una organización, se necesita un órgano que vigile el cumplimiento de dicha ley y así mismo, establezca y aplique las sanciones correspondientes a las conductas que repercutan a dicho código. La creación e instauración del Comité de Ética surge de esta necesidad. El Comité de Ética tiene dentro de sus objetivos los siguientes: • Impulsar la cultura ética dentro de la organización, así como revisar y actualizar periódicamente la normatividad de buenas prácticas y conducta de negocios. • Asegurar que se reciban y atiendan todos los reportes de desviaciones, faltas incurridas, o incumplimiento a la normatividad y regulaciones vigentes que se reciban a través de cualquier medio interno o externo.  • Evaluar las controversias, conflictos y faltas relacionadas al Código de Ética.  • Establecer sanciones y planes de acción en casos relacionados con faltas al Código de Ética que representen un impacto negativo significativo para la empresa. • Revisar los lineamientos, políticas y procedimientos de operación que aseguren el cumplimiento y apego al Código de Ética. • Establecer en conjunto con el área de Recursos Humanos un plan de capacitación anual sobre cultura ética para el personal.  El Comité de Ética debe estar conformado por ejecutivos de la alta dirección dentro de una organización, tales como socios o accionistas, directivos, consejeros e incluso gerentes de diversas áreas. El hecho de ser un ejecutivo de alto rango denota honorabilidad y reconocida solvencia moral generada por sus buenos antecedentes en cuanto a conductas éticas y prácticas de negocio. Cada integrante del Comité de Ética debe conocer ampliamente el Código de Ética, así como las normas, leyes y regulaciones vigentes en lo que compete a buenas prácticas de negocio. Es importante mencionar, que dichos integrantes poseen un título honorífico y no reciben remuneración alguna por sus funciones dentro del Comité.  El Comité de Ética trabaja mediante sesiones periódicas con base en una agenda que tiene el fin de revisar y resolver los casos referentes a faltas al código de ética. Así mismo, dicho órgano deberá analizar las evidencias que se reúnan y los elementos de juicio que permitan emitir un dictamen justo y objetivo para cada uno de los casos. La existencia del Comité de Ética dentro de la organización, refuerza la imagen ética dentro de la empresa para con sus colaboradores ya que denota sentido de justicia y transparencia. El Comité de Ética es el organismo que vigila el cumplimiento del Código de Ética dentro de una organización, da seguimiento a los casos y establece las sanciones a las faltas en contra del Código. Todos los casos administrados por el Comité de Ética serán tratados con estricta confidencialidad, independientemente del impacto a la empresa o de la complejidad que implique el proceso de investigación. Es importante que los integrantes del Comité de Ética se adhieran tanto al Código de Ética como a una política de confidencialidad dada la naturaleza de la información a la que tendrán acceso   Oficial de Cumplimiento: alcance de su función, competencias requeridas, facultades y  obligaciones. El responsable de Compliance (CCO o Compliance Officer) tiene como objetivo principal implementar un “Programa de Cumplimiento” basado en procedimientos que aseguren el adecuado diseño de actividades de cumplimiento normativo interno y externo en sentido amplio. El Compliance Officer debe recibir de fuentes internas y externas indicadores de problemas (Ej. denuncias), investigarlas o hacerlas investigar, participar de start up de nuevos negocios o productos, analizar determinados contratos, capacitar activamente a funcionarios de la compañía, averiguar antecedentes de potenciales nuevos empleados, socios de negocios, distribuidores, etc. Tiene que estar alerta a la sanción de nuevas normas nacionales e internacionales que puedan afectar a la compañía donde se desempeñan. Y además tiene una fundamental misión: que los dilemas éticos que existen a diario sean puestos sobre la mesa y se discutan abiertamente. La introducción en el Código Penal de la de la responsabilidad penal de las personas jurídicas, ha llevado a replantearse muchos procedimientos y prácticas en las empresas. El rol del Compliance Officer se está generalizando a raíz de la entrada en vigor de dicha reforma. Se ha pasado de un concepto reactivo a un concepto preventivo del cumplimiento normativo. Esto ha llevado a la creación de protocolos específicos de Compliance que afectan a las diferentes áreas funcionales y que han creado la figura de Compliance Officer, figura establecida desde hace tiempo en las empresas americanas. En este sentido, no debe obviarse la posición de garante que incumbe de forma principal al empresario y cómo este generalmente actuará mediante delegación, mutando sus responsabilidades (que no desaparecen) a las de supervisión y vigilancia de los empleados subordinados que hubieran asumido las responsabilidades delegadas. Por tanto, el Responsable de Cumplimiento asume del empresario algunas funciones delegadas como son los deberes de control de la peligrosidad de la actividad empresarial y de supervisión y vigilancia de otras personas. Al hilo de ello, la persona jurídica es susceptible de incurrir en responsabilidad si hay delito. Los más relevantes en el ámbito de la empresa son los de corrupción, sobornos y balances falsos. Esta modificación ha provocado la proliferación de una figura no del todo conocida, la del Compliance Officer, la persona responsable de la supervisión y gestión de cuestiones relacionadas con el cumplimiento. Generalmente, entre sus funciones se encuentran: diseñar y aplicar controles, normativas y procedimientos internos que permitan garantizar el cumplimiento de la legislación y normativa aplicables, gestionar las auditorías e investigaciones sobre cumplimiento y normativas o responder a las solicitudes de información de los organismos reguladores, y supervisar el cumplimiento de los códigos de conducta voluntarios de las compañías. Puede afirmarse que el Chief Compliance Officer (CCO) es el arquitecto y administrador de la estrategia de cumplimiento de la empresa, la estructura y los procesos. Como líder de las tareas relativas al cumplimiento y experto en la materia, el Director de Cumplimiento es responsable de establecer las normas y la aplicación de los procedimientos para asegurar que los programas relativos al mismo en toda la organización son eficaces y eficientes en la identificación, prevención, detección y corrección de las faltas de cumplimiento con las normas y reglamentos aplicables. Además, debe proporcionar una seguridad razonable a la Alta Dirección (Directorio) y el Consejo de Administración de que hay políticas y procedimientos eficaces y eficientes en el lugar, bien entendidas y respetadas por todos los empleados, y que la compañía está cumpliendo con todos los requisitos reglamentarios. Los principios que deben regir cualquier actuación de un Compliance Officer deben estar basados en la independencia de la función respecto del negocio, es imprescindible que exista una involucración seria, efectiva y real de la Alta Dirección de la Empresa. Del mismo modo, se hace precisa la existencia de una estructura organizativa que se encuentre adecuadamente definida a los fines que se pretendan, y con medios económicos suficientes como para posibilitar la realización de los objetivos que se intenten conseguir. En la realización de la actividad del Compliance Officer es determinante la existencia de políticas y procedimientos escritos que regulen la actuación y las pautas a seguir. Complementariamente a lo indicado, hay otros elementos a considerar: a) El Compliance Officer ha de contar con un nivel de formación suficiente, y en todo caso, ello es especialmente importante con relación al conocimiento que el mismo ha de poseer del funcionamiento de la organización, de su cultura corporativa y de las normas públicas y privadas que en cada momento le van a ser aplicables. b) Debe hacerse especial alusión a la existencia de programas de verificación y vigilancia internos, que ayuden en el desempeño de la función a realizar. c) El Compliance Officer debe poseer un acceso diáfano y nítido a la información de la empresa, y al mismo tiempo, a todas las funciones y procesos que se desarrollen en el seno de la misma. d) Debe prestarse una especial atención a la función que el área de Compliance debe tener con otras unidades de la Entidad. En este sentido, deben destacarse las de Auditoría, Control Interno, Gestión de Riesgos y cuantas otras desarrollen funciones análogas, conforme a cada estructura societaria en particular. En lo que se refiere al perfil competencial del cargo, se pueden determinar los siguientes: a) Formación académica. El máximo responsable de cumplimiento tendrá normalmente formación y conocimientos sobre el marco legal de sus cometidos. Por ello, su formación académica será normalmente de tipo superior, relacionada con su ámbito de cumplimiento y con información adicional o experiencia en las restantes. b) Experiencia práctica. La función de cumplimiento relevante para la organización y de su inadecuado desempeño se puede derivar daños económicos y reputacionales importantes. Por ello, es aconsejable que el máximo responsable de cumplimiento disponga de experiencia en el desarrollo de tal cometido, adquirida paulatinamente dentro de la propia realización o en puestos externos anteriores. c) Historia profesional. Ninguna persona relacionada con la función de cumplimiento deberá haberse visto involucrada en circunstancias que apunten a un comportamiento poco ético o de incumplimiento, dentro y fuera de la organización. d) Competencias personales. Puesto que la función de cumplimiento mantiene diálogo directo con la alta dirección, y se relaciona con áreas corporativas relevantes, se precisan adecuadas competencias de comunicación y coordinación. Igualmente, cuando se lidera un equipo de cumplimiento, se requerirán competencias de organización y liderazgo. e) Posición jerárquica dentro del organigrama de la empresa, el máximo responsable de cumplimiento debe ocupar una posición acorde a su rango e independencia: normalmente como función interna independiente con acceso directo a los Gerentes, al Directorio o al Comité de auditoría/Sindicatura. No estará subordinado a personas u órganos que puedan verse afectados negativamente por sus acciones. f) Contratación consistente: la contratación laboral con el responsable de cumplimiento debe ser consistente con todo lo anterior. Evidentemente, ello se traduce en un régimen económico acorde a la relevancia y responsabilidades del cargo. Del mismo modo, como elementos a tener en consideración en la creación de la figura del Compliance Officer, se deben ponderar las siguientes cuestiones: a) Soft skills. Disponer de una gran capacidad de comunicación, interactuación y networking con quienes son los destinatarios finales de nuestros servicios, sea el cliente interno (en el caso del Compliance Officer), sea el cliente externo (en el caso de servicio de Compliance, inclusive la externalización de la función de Compliance Officer), son imprescindibles. Ante todo, el Compliance Officer debe tener una total empatía con el negocio y con las áreas de soporte a ese negocio. El objetivo final no es ser tangencial, transversal, paralelo, perpendicular, al negocio. El objetivo es ser parte del negocio. b) Ser “la persona/departamento del NO” impide apreciar los riesgos y gestionarlos. La gestión de cumplimiento deben ser actividades a ayudar a identificar los riesgos asociados a una determinada actividad, expresados de manera sencilla, clara y directa, para que puedan gestionarse. c) Conocer es el primer paso para poder actuar. Vivimos una era en que puede llegar a ser más importante saber cómo manejar las múltiples fuentes de información que tenemos a nuestra disposición, que acumular conocimiento en nuestra cabeza. d) La tecnología no es una alternativa. La base tecnológica como driver de la actividad económica es una constante en (casi) todas las empresas, pequeñas, medianas y grandes. Es con ella como mejoran su actividad, amplían su negocio y llegan a nuevos mercados (y no sólo Internet). e) La automatización es esencial para ser más eficiente, mejor y más barato. Más allá de consecuencias sociales que desde luego hay que gestionar, lo cierto es que actualmente la tendencia es que siempre que sea posible las tareas se hacen por máquinas y software y no por personas. Y esa afirmación es extensible a las actividades de cumplimiento normativo. Designación de un CCO: S&P Global Ratings mantiene una función de cumplimiento y ha designado a un oficial de cumplimiento (compliance officer) que es independiente de las actividades analíticas y Comerciales. La función de cumplimiento tendrá la autoridad, recursos, experiencia, pericia y acceso necesarios a toda la información relevante para ejecutar sus responsabilidades de manera adecuada e independiente, de acuerdo con lo requerido por la ley o por la regulación, incluyendo contar con un empleado senior con el conjunto de capacidades requeridas para operar como oficial de cumplimiento de S&P Global Ratings a cargo de la función de cumplimiento.

Normativa extranjera anticorrupción aplicable a compañías bajo regulación de autoridades extranjeras.   Las líneas directrices de las "Corporate Guidelines" de la US Sentencing Commission norteamericana. El programa de cumplimiento consiste en el conjunto sistemático de esfuerzos realizados por los integrantes de la empresa tendentes a asegurar que las actividades llevadas a cabo por ésta no vulneren la legislación aplicable. Desde la óptica de la administración empresarial éstos serían un ejemplo de uno de los “sistemas de calidad” que operan en toda actividad empresarial, por lo que contiene aspectos relacionados tanto con la estructura organizacional, distribución de responsabilidades, procedimientos y los recursos utilizados por la empresa para asegurar la calidad de la dirección de ésta. El primer objeto que se asocia inmediatamente al programa de cumplimiento es el de servir de reunión o sistematización de todas aquellas medidas o procedimientos adoptados por la empresa tendentes a asegurar o promover un comportamiento, por parte de sus integrantes respetuosos con la ley. Desde la perspectiva que resulta más relevante para la responsabilidad penal de la empresa el programa de cumplimiento debiera tender a disminuir el margen de ocasiones en que la empresa es sancionada penalmente mediante la reducción correlativa de la frecuencia con que se llevan a cabo conductas delictivas en el marco del desarrollo de la actividad empresarial. No se puede decir con precisión cuál es el contenido exacto de un programa de cumplimiento, lo que puede ser visto como una ventaja en la medida que su carácter abierto permitiría su continua adaptación a la realidad cambiante de la actividad empresarial, y también a la consideración de las diferenciaciones que se dan al interior de esta misma (debido a los diversos ámbitos en que se desarrolla). Así, por ejemplo, Las Federal Sentencing Guidelines for Organizations (FSGO) solo señalan ciertas características que estos programas deben tener para que puedan ser considerados efectivos (única forma en que cumplen con su función atenuatoria de la responsabilidad de la empresa). Por ejemplo, la implicación de los altos directivos de la empresa en su implementación; el establecimiento adecuado de sistemas de selección y capacitación del personal, tanto en lo relacionado con la actividad desarrollada como en relación con los contenidos del programa de cumplimiento; la adopción de sistemas de auditoría interna; la existencia de sanciones disciplinarias al interior de la empresa, etc.. Por ejemplo, que el contenido mínimo de estos instrumentos son: (1) existencia de un código de conducta escrito; (2) supervisión de los esfuerzos de cumplimiento por parte del personal altamente cualificado; (3) no delegación de poderes discrecionales de las autoridades administrativas en personal con posible tendencia delictiva; (4) comunicación efectiva de los estándares y procedimientos contenidos en los códigos de conducta; (5) reforzamiento mediante procedimientos disciplinarios; (6) adopción de medidas adecuadas tras la detección de la infracción. Que un programa de cumplimiento presente este contenido mínimo tiene que ver en gran parte con las prácticas asentadas en relación al control interno de la empresa y a la gestión de los riesgos propios de la misma, específicamente aquellos vinculados a lo que se conoce como “compliance”. Así, por ejemplo, un contenido similar se puede observar en la metodología utilizada por un organismo especializado en control interno como es el Committee of Sponsoring Organizations of the Treadway Commission (COSO), que al momento de definir los aspectos que deben ser tenidos en cuenta a la hora de administrar los peligros de infracción al ordenamiento jurídico distinguen tanto una preocupación por el ambiente organizacional como por los aspectos netamente procedimentales. Especialmente relevantes para el objeto de estudio de este artículo son los estándares que propone esta institución bajo la denominación de Enterprise Risk Management. Lo mismo se puede decir en relación a las U.S. Federal Sentencing Guidelines for Organizations (en adelante FSGO), de acuerdo con las cuales, para que la empresa se vea beneficiada con la reducción de la multa correspondiente luego de la comisión de un hecho delictivo debe haber implementado un programa efectivo para prevenir y detectar infracciones de ley. Esto supone satisfacer exigencias relacionadas con el diseño de estándares de cumplimiento y procedimientos que deben ser seguidos por los integrantes de la empresa y que justamente suponen intervenir tanto la estructura organizacional como el generar una cultura organizacional respetuosa con la legislación vigente.   La Foreign Corrupt Practices Act (FCPA) norteamericana. En 1977 fue aprobada una Ley en los Estados Unidos de América llamada Ley de Prácticas de Corrupción en el Extranjero (“Foreign Corrupt Practices Act” o “FCPA” por sus siglas en inglés). La FCPA ha adquirido en los años recientes una importancia que probablemente pocos imaginaban en aquél momento. De manera general, la FCPA establece obligaciones relacionadas con el pago de sobornos y obligaciones contables. Uno de los aspectos particulares de esta Ley es que se trata de una regulación de Derecho Público que, sin embargo, tiene un claro alcance extraterritorial. La Ley de Prácticas Corruptas en el Extranjero de EE.UU. (FCPA) establece que es ilegal que las personas y compañías en EE.UU. paguen sobornos a los funcionarios de gobierno extranjeros (fuera de EE.UU.), con la finalidad de obtener y retener oportunidades de negocio o para obtener cualquier ventaja indebida. Esta ley prohíbe los sobornos directos e indirectos por medio de intermediarios. También requiere que las compañías de EE.UU y fuera de este país que cotizan en los EE.UU. (emisores) cumplan con las disposiciones contables. Dichas disposiciones, las cuales fueron diseñadas para operar conjuntamente con las disposiciones anti soborno de la FCPA, requieren que los emisores lleven sus libros y tengan registros detallados que reflejen las transacciones de la empresa de manera precisa y razonable, y que elaboren y mantengan un sistema adecuado de controles contables internos. En la práctica, las disposiciones contables se han interpretado de manera amplia para incluir la contabilidad o los registros contables falsos para cualquier acto ilícito, incluyendo los sobornos comerciales que se pagan tanto dentro como fuera de los EE.UU. Las compañías que violan esta ley pagando sobornos están sujetas a acciones penales y civiles, que pueden resultar en multas, suspensión y exclusión de contratos de procura con el gobierno, mientras que los empleados y directores pueden estar sujetos a sentencias de prisión.   SOX Ley Sarbanes Oxley 2002. El 30 de Junio de 2002, el presidente de los Estados Unidos George Bush, firmó la aprobación de la Ley Sarbanes-Oxley, a la cual definió como “la reforma de mayor alcance en las prácticas comerciales del país desde la Gran Depresión”. Dicha Ley fue elaborada a consecuencia de la quiebra de la multinacional “Enron Corporation”, que en el año 2001 se calcula que contaba con unos activos superiores a los 49 billones de dólares y era considerada como una de las mayores empresas de los Estados Unidos. En ese mismo año, sin embargo, se descubrieron una serie de fraudes contables que se atribuyeron a la firma que se encargaba de sus auditorías, la empresa “Arthur Andersen”y que culminaron en el mayor escándalo financiero de la historia de los Estados Unidos. El colapso de Enron, creó un efecto dominó frente a otras grandes compañías norteamericanas, como “WorldCom”, “Adelphia Communication”, etc. que también tuvieron problemas contables y fueron objeto de investigaciones posteriores, además de suponer el despido de miles de  empleados y la pérdida de las inversiones de muchas familias norteamericanas. El Congreso de los Estados Unidos, se percató de que el prestigio y el dominio del NYSE frente al resto de Bolsas mundiales se encontraba en entredicho, ya que muchos   inversores   internacionales   perdieron   la   confianza   en “Wall   Street” y consideraba n  que  el  sistema  americano  era  muy  complejo  y  demasiado  fácil  de  manipular.  Por  ello,  el  Congreso  reaccionó  rápidamente  y  elaboró  la  citada  Ley,  que toma  el  nombre  del  Senador  del  Partido  Demócrata  Paul  Sarbanes  y  del  Republicano Michael G. Oxley. El ámbito de aplicación de la SOX, en términos generales, son todas aquellas personas jurídicas apuntadas  en  el  NYSE,  NASDAQ  o  cualquier  otro  mercado  de valores norteamericano. Su  finalidad  estriba principalmente  en  establecer  un  mayor  control  sobre  las  empresas y  sus  filiales  - con  independencia  de  su  nacionalidad - basado  en  la  necesidad  de  adoptar  mecanismos  que  aseguren  el  buen  gobierno  corporativo,  la  responsabilidad  de  los  administradores,  la  transparencia  en  las  cuentas  de  la  persona  jurídica,  la  regulación  del modo de realizar las auditorías, etc. Concretamente, dentro de su regulación, es menester detenerse en el análisis de algunas secciones, que seguidamente se exponen. 1) La sección 301 versa sobre los criterios de independencia de los miembros del comité de  auditoría  de  la  persona  jurídica.  El  apartado  3º  establece,  de  un  lado,  que  cada miembro del comité de auditoría sea miembro de la junta directiva de la persona jurídica y, de otro, que sea  independiente. Por “independiente”, cabe entender que el miembro del comité de auditoría no puede “aceptar  un  honorario  de  la  persona  jurídica  por consulta, asesoramiento u otro concepto” ni puede “pertenecer a dicha entidad ni a sus filiales” si las hubiere.  Por  tanto,  la  ley  SOX  establece  cómo  formar  un  comité de auditoría, lo que redunda en un mayor control y transparencia de las mismas. 2)   La   sección   302,   relativa   a   la   responsabilidad   empresarial   por   los   informes financieros,  exige a los  principales ejecutivos  y  a los principales ejecutivos financieros (“chief executive officer y chief financial officer”, “CEO y CFO ”), que certifiquen la veracidad de los informes trimestrales y anuales de la persona jurídica. Además de ello, tal  sección  obliga  a  dichos  ejecutivos  a  certificar  que  ellos  son  los  responsables  de establecer  y mantener controles internos, así como a informar verazmente al comité de auditoría sobre los resultados obtenidos en los controles, ya que, si el informe contiene carece de información o ésta es falsa, la responsabilidad recae sobre el responsable de la persona  jurídica  que  haya  firmado  los  informes.  Así,  pues,  se  pretende  lograr  una mayor independencia del comité de auditoría frente a la persona jurídica auditada, para que los informes financieros de la compañía resulten lo más objetivos y veraces posible. 3) La sección 402, sobre conflictos de intereses, prohíbe que la persona jurídica realice préstamos personales a sus directores o ejecutivos. 4)  La  sección  906,  relativa  a  la  responsabilidad  penal  de  la  persona  jurídica  por  los informes financieros, impone multas al firmante de dichos informes de hasta 1.000.000 de dólares,  diez años de cárcel o ambas penas si firmó el informe a sabiendas de que no cumplía  con  todos  los  requisitos  de  dicha  sección,  o  de  hasta  5.000.000  de  dólares, veinte  años  de  cárcel  o  ambas,  si  voluntariamente  firmó  el  informe sabiendo  que  no cumplía con tales requisitos. La diferencia entre ambas radica en la voluntariedad de la segunda, es decir, existe una posición activa del firmante en la falsificación del informe.   La Bribery Act Británica. La UK Bribery Act (en adelante “UKBA”) aprobada en Abril de 2010, y en vigencia desde Junio del año 2011, es una ley dictada por el Parlamento del Reino Unido que pretende robustecer la normativa antisoborno. En efecto, ha sido calificada como la más dura, a nivel mundial, de las legislaciones comparadas en este tema: establece penas privativas de libertad de hasta 10 años y su aplicación es casi universal: solamente es necesario que se constate la situación de hecho sancionada por la UKBA por un individuo u organización que esté de algún modo relacionado con el Reino Unido. Al respecto, cabe desde ya destacar que el artículo 12 de la UKBA determina la jurisdicción sobre las contravenciones de los artículos 1, 2 y 6 cometidas dentro del Reino Unido (artículos que establecen los delitos de soborno y cohecho a un funcionario público extranjero, respectivamente), pero extiende su jurisdicción a las contravenciones cometidas fuera de él, cuando son ejecutadas por personas de nacionalidad británica o que residan en el Reino Unido. A su vez es sumamente relevante tener presente que el artículo 7, relativo a la responsabilidad corporativa, no establece estas limitaciones a su alcance: el artículo 12 N° 5 prescribe que al respecto no importa si estos actos de cohecho han sido cometidos dentro o fuera del Reino Unido, sólo requiere que la organización responsable realice toda o parte de su actividad comercial dentro del Reino Unido. La Ley Antisoborno del Reino Unido prohíbe cuatro tipos de actividades diferentes: •             Sobornar a otra persona. •             Aceptar un soborno. •             Sobornar a funcionarios públicos extranjeros (fuera del Reino Unido). •             Ser una empresa comercial y no contar con procedimientos adecuados para evitar sobornos A diferencia de la FCPA, la Ley Antisoborno del Reino Unido no tiene excepciones por pagos de facilitación – pequeñas "dádivas"- hechos a los funcionarios del gobierno y no tiene prohibiciones de "libros y registros". Aparentemente, esta ley tiene un nexo jurisdiccional aún más amplio que la FCPA, ya que abarca cualquier acto cometido en cualquier parte del mundo por parte de una empresa comercial que tiene negocios en el Reino Unido. Además, prohíbe de manera explícita el soborno comercial. También responsabiliza directamente a una compañía que no cuenta con un programa antisoborno eficaz para evitar el acto del soborno. La ley Antisoborno del Reino Unido va más allá de la FCPA, ya que, bajo las leyes de EE.UU., y según el concepto de respondeat superior, la compañía es responsable de los actos cometidos por un empleado en su representación, sin importar si cuenta o no con un programa de cumplimiento anticorrupción eficaz. Sin embargo, esta disposición enfatiza la importancia de contar con tal programa. Bajo la Ley Antisoborno del Reino Unido, el hecho de tener un programa de cumplimiento anticorrupción eficaz parece ser un mecanismo de defensa contra las acciones penales. En la FCPA, contar con dicho programa puede disminuir la gravedad de la multa o del castigo, bajo los Lineamientos Federales para Sentencias de EE.UU.   Transparencia en la Información Financiera – Estándares locales (CNV) y de los EEUU - Securities and Exchange Commission (SEC). Con respecto al marco normativo en la Argentina, las empresas que hacen oferta pública de sus títulos están sujetas a las disposiciones de Ley Mercado de Capitales N.o 26831 promulgada en diciembre del 2012, y a las Normas 2013 de la Comisión Nacional de Valores (CNV). En relación con la transparencia e integridad de la información, la Ley 26831 regula aspectos como la independencia del auditor (Art. 105), el deber de informar en notas a los estados financieros: a) acciones emitidas y autorizadas, y valores convertibles, b) la organización de la toma de decisiones y el sistema de control interno de la sociedad, c) las modalidades de remuneración del directorio y la política de remuneración de los cuadros gerenciales de la sociedad. Por su parte, en las memorias se debe incluir la política comercial, toma de decisiones y de dividendos (art. 60). Establece además que los contratos con partes relacionadas deben ser aprobados por directorio y asamblea, para luego ser informados a la CNV (art. 73), al igual que un régimen de información para administradores, agentes, directores, síndicos, personas físicas y/o jurídicas relacionadas (art. 99). (Briozzo et al., 2015) Posteriormente y siempre en pos de fortalecer la independencia del auditor, la CNV, en su Resolución 663/16 que modifica el Tít. II Cap. II Sec. VI. Art. 28 de las normas del 2013 dispone que los socios a cargo de la auditoría no deberán exceder el plazo de 7 años en la realización del encargo con un tiempo de espera de 2 años. En el caso de ingreso a la oferta pública se deberá deducir de los 7 años, aquellos en los cuales el profesional haya prestado servicios antes del ingreso al régimen. (Res. CNV 663/16 que modifica Tít. II Cap. II. Sec. VI. Art 28). Además de ello el auditor debe presentar DD. JJ. de carácter de independencia, experiencia y Consejo Profesional al que pertenece (Tít. II Cap. III Sec. VI Art. 22- 24, modificado por Res. CNV 668/16). Por su parte la CNV, en las normas del año 2013, establece para las empresas que hacen oferta pública de valores, la obligación de presentar estados financieros anuales hasta 70 días corridos después del cierre del ejercicio y trimestrales hasta 42 días corridos posteriores. Tratan en general de la información que debe ser remitida de forma obligatoria por parte de las emisoras, referida a los siguientes aspectos: asambleas; la necesaria para poder hacer oferta pública; contenido de los prospectos de emisión. En el título IV del mencionado cuerpo normativo, se especifica el régimen informativo anual (memoria del directorio, estados financieros, informe del auditor, actas de aprobación del órgano de administración, informe de la comisión fiscalizadora, reseña informativa, nómina de entidades controladas y vinculadas) y trimestral (estados financieros de períodos intermedios, informe del auditor, informe de síndico o consejo de vigilancia, actas de aprobación del órgano de administración, variaciones en la composición del grupo, reseña informativa). Particularmente en relación con la transparencia, el Tít. XII Cap. I requiere informar sobre: hechos relevantes, identidad de las autoridades de las emisoras y de personas físicas/jurídicas que adquieran más del 5% de los derechos a voto. Esta información estará disponible en la Autopista de Información Financiera, en el sitio web de la CNV. Además de lo mencionado, la Comisión Nacional de Valores mediante la Resolución General 516/07 aprobó los contenidos mínimos de un Código de Gobierno Societario (CGS) para la Argentina aplicable a las empresas que hagan oferta pública de valores (exceptuadas las pymes). La norma estableció la obligación a sus directorios de incluir un informe sobre el grado de cumplimiento del CGS como anexo a la memoria de los estados contables a partir de los ejercicios iniciados el 1 de enero de 2008. Posteriormente la RG 606/12 modifica los contenidos de la resolución anterior estableciendo principios que sintéticamente contemplan los siguientes conceptos: (1) Relación entre la emisora, su grupo económico, y sus partes relacionadas.   (2) Administración y supervisión de la emisora. (3) Política de identificación, medición, administración y divulgación del riesgo empresario. (4) Integridad de la información financiera y auditorías independientes, lo cual tiene como objetivo garantizar la independencia y transparencia de las funciones del Comité de Auditoría, de la Auditoría Interna y Auditoría Externa. La mayoría de los integrantes del Comité deben ser independientes y entre sus funciones se encuentra evaluar en forma anual a los auditores externos y contar con una política de rotación de los miembros de la Comisión Fiscalizadora y/o del Auditor externo. (5) Respeto por los derechos de los accionistas. (6) Vínculo responsable con la comunidad. (7) Remuneración justa y responsable. (8) Ética empresarial.   Securities and Exchange Commission (SEC). Es la agencia federal que regula los mercados financieros de Estados Unidos. Su labor es supervisar la industria de títulos, activos financieros, promover total claridad para proteger a los inversores contra malas prácticas en los mercados financieros y mantener la integridad en los mismos.  Para lograr su objetivo, la SEC exige a las empresas con valores bursátiles negociables, revelar al público toda la información financiera pertinente a su disposición, como banco común de información para que los inversionistas puedan juzgar y decidir por sí mismos si la inversión en los títulos y obligaciones de determinadas empresas constituyen una buena inversión. Sólo a través de un flujo regular y oportuno de información completa y precisa, podrán los inversionistas tomar las mejores decisiones.  La SEC supervisa a los participantes clave en el mundo de las bolsas y mercados financieros, incluyendo las bolsas de valores, los corredores, los consejeros de inversiones, los fondos mutuos, y los consorcios controladores de empresas de servicio público. Su principal preocupación radica en promover la divulgación de información importante, hacer valer las leyes y normas pertinentes, y proteger a los inversionistas que interactúan con las diversas organizaciones e individuos, de esta preocupación, se desprende la importancia crucial de lograr una efectiva autoridad para hacer efectivas las leyes y reglamentos. Nueva arquitectura financiera: el concepto nueva arquitectura financiera internacional (NAFI) es un conglomerado de organizaciones, buenas prácticas y estándares cuyo objetivo es alcanzar una estabilidad financiera internacional y reducir la ocurrencia de crisis internacionales. De acuerdo con Barry Eichengreen (1999), el objetivo de la NAFI es “reformar las instituciones, las estructuras y las políticas con objeto de predecir, prevenir y resolver mejor las crisis financieras”. El objetivo de la NAFI es bastante ambicioso y en aras de lograrlo, se han diseñado políticas que son la esencia de esta finalidad; estas, a su vez, están divididas en tres grandes grupos: •             Política macroeconómica y de transparencia de datos. •             Políticas de supervisión y regulación del sector financiero. •             Infraestructura institucional y de mercado. Las políticas definidas por la NAFI están desarrolladas en una estructura de principios y no de normas, lo cual da lineamientos y no reglas de taxativo cumplimiento. Entre estas es importante resaltar la política macroeconómica y de transparencia de datos, ya que esta define todo lo relacionado con la transparencia y la de infraestructura institucional y de mercado, teniendo en cuenta que esta comprende los lineamientos de gobierno corporativo y las relativas a información financiera. De acuerdo con la política macroeconómica y de transparencia de datos emitida por el Fondo Monetario Internacional (1999), “La transparencia consiste en que se den a conocer al público en forma comprensible, accesible y oportuna los objetivos de la política, el marco jurídico, institucional y económico de la misma, las decisiones de política y sus fundamentos, los datos y la información relacionada con las políticas monetarias y financieras y los términos en que los organismos deben rendir cuentas”. En la política de infraestructura institucional y de mercado se resaltan las medidas que a gobierno corporativo se refieren, todas ellas en consonancia con lo que indica la OCDE; y por otro lado, todo lo relacionado con las Normas Internacionales de Información Financiera (NIIF) y las Normas Internacionales de Auditoría (NIA). De acuerdo a la Arquitectura Financiera Internacional, es necesario utilizar un estándar de contabilidad de aplicación homogénea en todo el mundo; este objetivo se ha ido logrando gracias a la gestión de algunas entidades: por un lado, la IASB (International Accounting Standards Board), que es un organismo independiente del sector privado que desarrolla y aprueba las Normas Internacionales de Información Financiera; y, por otro lado, IASCF, la Fundación del Comité de Normas Internacionales de Contabilidad, que supervisa y apoya la IASB. La Securities and Exchange Commission, SEC: por medio de los comunicados 33- 9109 y 34-64578, la SEC ha sentado su posición y ha mostrado su apoyo al proceso de convergencia en Estados Unidos de US GAAP a NIIF, al sostener: “La incorporación de los IFRS en el sistema de información financiera de los emisores de los Estados Unidos requiere tener en cuenta el impacto en los inversores. Esta consideración indica que en la medida en que las normas de contabilidad y el proceso de elaboración de normas promueven la presentación de información financiera transparente y útil para apoyar a los inversores en su proceso de toma de decisiones de inversión… Además, esta consideración requiere una evaluación de la comprensión de los inversores y la educación en relación con las NIIF, como los principales beneficios para los inversionistas de un conjunto único de alta calidad mundialmente que generarán confianza en la base de los informes sobre resultados.

Marco normativo y/o regulatorio. Legislación Argentina. En la Argentina existen normas jurídicas que abordan el problema de la corrupción. La mayoría de ellas consisten en la ratificación de la entrada en vigencia de convenciones internacionales que nuestro país ha suscrito. La primera de ellas fue la Ley 24.759, del año 1996, que aprueba la Convención Interamericana contra la Corrupción, cuatro años después, la ley 25.319 aprobó la Convención sobre la Lucha contra el Cohecho de Funcionarios Públicos Extranjeros en las Transacciones Comerciales Internacionales impulsada por la OCDE, y en el año 2006 se aprobó la ley 26.097 que aprueba la Convención de las Naciones Unidas contra la Corrupción. En el medio, la ley 25.188, vigente desde el año 1999, regula la Ética en el Ejercicio de la Función Pública, estableciendo, entre otras cosas, la obligatoriedad de la presentación de declaraciones juradas de ingresos para los funcionarios electos o no, y la ley 25.233 del año 2000, modificatoria de los ministerios, creó la Oficina Anticorrupción en el ámbito del Ministerio de Justicia y Derechos Humanos. Hoy existen, además de la Oficina Anticorrupción, otros organismos encargados de tareas vinculadas con la corrupción: la Sindicatura General de la Nación, la Auditoría General de la Nación y la Fiscalía de Investigaciones Administrativas. Las tres desarrollan sus tareas en el ámbito de la Administración Nacional, estableciendo normas, controlándolas y realizando investigaciones de corrupción e irregularidades respectivamente.   Ley de Prevención de lavado de dinero. Las políticas   corporativas   surgen   de   los altos mandos, las  cabezas,  los  directores,  gerentes, consultores, etc, aquellos que tienen a su cargo el trazo del  camino  que  una  empresa  debe seguir,  la  conciencia  sobre  la  necesidad  de implementar   como   parte    de    las   políticas corporativas   de   la   empresa   el   sistema   de prevención  de  lavado  de  activos,  debe  darse inicialmente  en  esta  primera  esfera,  de  hecho este   es   el   primer   paso   que   contempla   un sistema de prevención. Si   no   se   interioriza   en   la   cúspide   de   la organización, el   resto   de   la   misma   estará condenado  al  fracaso,  la  sinergia  que  surge cuando los altos mandos toman conciencia real de la importancia que el sistema de prevención de  lavado  de  activos,  tiene  para  su  empresa, convierte  cualquier  posible  eslabón  débil  del sistema, en una oportunidad para incrementar la eficiencia del mismo. La implementación de un sistema de prevención de lavado  de  activos,  altamente eficiente,  en  materia  penal  permite  que  la responsabilidad    autónoma,    que    tiene    la empresa  ( persona  jurídica)  ,  pueda  excluirse en la medida que se acredite que el sistema de prevención  de  lavado  de  activos,  cumpla  con dos  requisitos  mínimos,  el  primero  que  haya sido   implementado   con   anterioridad   a   los hechos que son materia de investigación en un eventual proceso penal, y que se acredite que el sistema es   eficiente.   Por   el   momento este mismo sistema   de   prevención   en   nuestra legislación actual  permite  que  el  juez  penal exima de responsabilidad penal bajo un criterio de proporcionalidad. Comúnmente se entiende, de manera equivocada, que tener un área o funcionario encargado de cumplimiento (compliance) al interior de la empresa sirve solo – y casi exclusivamente – para encargarse de la pesada y aburrida tarea de llenar formularios para cumplir, valga la redundancia, con la legislación contra el lavado de activos y financiamiento del terrorismo. Otras empresas han ido un poco más allá por la presión de sus casas matrices y están incursionando en establecer “sistemas” de compliance para casos anticorrupción (normas como Bribery Act o FCPA). Más normas, más aburridos formularios. El cumplimiento – o compliance en su denominación en inglés – implica, en realidad, una corriente de pensamiento que se ve representada en una herramienta de protección de la empresa o de cualquier otra entidad; ello ante los riesgos penales que hoy son más palpables que antes. Bien puede utilizarse un verdadero sistema de compliance para resguardar, por ejemplo, a la empresa – y a sus funcionarios – ante los riesgos de accidentes con posibles consecuencias penales (lesiones o muertes) al ser un fabuloso generador de evidencias para acreditar que la entidad tiene una frontal lucha contra cualquier tipo de actividad delictiva. Con esto además, se puede acreditar, en el marco de una eventual investigación penal, que la empresa – y sus cabezas – carecen de responsabilidad porque cumplieron con lo que se conoce como “debida diligencia”. También, por qué no, el compliance puede ser muy valioso para poder procesar a un mal funcionario que actuó deslealmente y, por ejemplo, utilizó dinero de la empresa para beneficio propio. Si tenemos una visión legalista del asunto, seguramente el compliance será una carga pesada que dejaremos para llenado de formularios que cualquier persona (o cualquier “consultora”) puede hacer. Si la visión es de autorregulación y protección de los intereses de la entidad – y de sus funcionarios siempre expuestos -, entonces será un verdadero aliado. Las personas jurídicas han sido los vehículos del desarrollo económico por excelencia en el último siglo. Consecuentemente, también son grandes generadoras de riesgos para los bienes jurídicos. Es por tal motivo que los Estados –mediante la amenaza de sanciones penales o administrativas a las personas jurídicas y sus administradores- han logrado que las empresas se autorregulen a fin de controlar o mitigar los peligros que ellas mismas generan por su actividad, sea en el ámbito cambiario, financiero, obra vial, industrial, etc. La importancia del compliance es una práctica que tuvo su mayor impulso en los EE.UU. por la prevención de la corrupción corporativa. Luego se dispersó en el mundo entero, fruto de la competencia extraterritorial que ejerce la justicia de EE.UU., fundada en leyes como la Foreign Corrupt Practices Act (FCPA), no solo sobre sus sociedades, sino sobre todas aquellas que tuvieran algún vínculo con esepaís. Si bien originariamente se desarrolló fruto de la amenaza coercitiva del Estado, en la actualidad el compliance se encuentra arraigado en las costumbres de la mayoría de las empresas multinacionales. La autorregulación de la sociedad para la evitación de los riesgos jurídico-penales puede imponerse normativa o voluntariamente. Respecto a esta última, en la Argentina se da mayoritariamente en las empresas multinacionales, debido principalmente a su exposición a sanciones en otros países. En cuanto a los oficiales de cumplimiento respecta, sus funciones no se limitan a una determinada área sino que son amplias (vg. corrupción, lavado de activos, peligros ambientales, información confidencial). También es costumbre de las empresas establecer canales de denuncia, procedimientos de investigación y sanción de los hechos. Por otro lado, de momento solo existen normativamente obligaciones de compliance respecto al lavado de activos y financiamiento del terrorismo, cuyo bloque normativo se comprende básicamente por la ley 25.246 y sus modificaciones, las resoluciones de la Unidad de Información Financiera (UIF) y otros organismos de contralor que cumplen una función “coadyudante” en la materia, como el BCRA, CNV o la AFIP. La ley 25.246 establece en su art. 21 obligaciones genéricas de los sujetos obligados, como el de “conocer al cliente”, informar las operaciones sospechosas de lavado y evitar informarle al cliente. Más específicamente, el art. 7 de la resolución 70/2017 de la UIF establece diversas obligaciones para las Entidades Financieras y Cambiarias como la de capacitar al personal, establecer auditorías internas y externas y crear procedimiento y manuales de cumplimiento. Específicamente, la creación del cargo de oficial de cumplimiento es obligatoria para los sujetos obligados en la prevención del lavado de activos, según lo establecido por el art. 21 bis de la ley 25.246. Además dicho funcionario debe ser miembro del organismo de administración de la sociedad, según lo establecen las diversas resoluciones de la UIF, lo cual trae inconvenientes a la hora de atribuir responsabilidades, de acuerdo a lo que se analizará más adelante. En cuanto a la legislación penal en nuestro país, la única referencia que existe sobre el compliance es el anteúltimo párrafo del art. 304 del Código Penal, el cual establece algunas pautas para la graduación de la pena a las personas jurídicas en materia de lavados de activos, extendibles a los delitos contra el orden financiero y, asimismo, a los delitos tributarios.   Ley de responsabilidad penal de personas jurídicas. La autorregulación de la Empresa para la evitación de los riesgos jurídico-penales puede imponerse normativa o voluntariamente. Mediante la Ley de Responsabilidad Penal para Personas Jurídicas se intenta establecer la responsabilidad penal para las personas jurídicas por delitos cometidos contra la administración pública (cohecho y tráfico de influencias, malversación de caudales públicos, negociaciones incompatibles con el ejercicio de funciones públicas, exacciones ilegales, y fraude a la administración pública –se lo incluye aun cuando esté tipificado en otro título del Código Penal-) y por el cohecho transnacional tipificado en el art. 258 bis del Código Penal. Las penas previstas son del tipo de las mencionadas al comienzo: multa, suspensión total o parcial de actividades, pérdida o suspensión para acceder a beneficios o subsidios estatales o para participar en concursos o licitaciones públicas y cancelación de la personería jurídica. A su vez, señala en el artículo 9 que la persona jurídica se eximirá de la pena cuando espontáneamente haya denunciado un delito como consecuencia de una actividad de detección o investigación interna, cuando hubiere implementado un sistema de control y la supervisión son adecuados cuando, con anterioridad a la comisión del delito, y hubiere devuelto el beneficio indebido obtenido. Los artículos 22 (Programa) y 23 (Contenido del Programa), que mencionan los elementos de un control y supervisión adecuados, no hacen otra cosa que describir un típico sistema de integridad o compliance, cuya corroboración por parte de los jueces deberá llevar a eximir de sanción a las personas jurídicas.   Previsiones de responsabilidad. Las penas aplicables a las personas jurídicas serán las siguientes: 1) Multa de dos (2) a cinco (5) veces del beneficio indebido obtenido o que se hubiese podido obtener; 2) Suspensión total o parcial de actividades, que en ningún caso podrá exceder de diez (10) años; 3) Suspensión para participar en concursos o licitaciones estatales de obras o servicios públicos o en cualquier otra actividad vinculada con el Estado, que en ningún caso podrá exceder de diez (10) años; 4) Disolución y liquidación de la personería cuando hubiese sido creada al solo efecto de la comisión del delito, o esos actos constituyan la principal actividad de la entidad; 5) Pérdida o suspensión de los beneficios estatales que tuviere; 6) Publicación de un extracto de la sentencia condenatoria a costa de la persona jurídica.   Delitos que se podrán imputar a las Personas Jurídicas. La presente ley establece el régimen de responsabilidad penal aplicable a las personas jurídicas privadas, ya sean de capital nacional o extranjero, con o sin participación estatal, por los siguientes delitos: a) Cohecho y tráfico de influencias, nacional y transnacional, previstos por los artículos 258 y 258 bis del Código Penal; Tráfico de influencia. Art. 256 bis Código Penal. (agregado por la Ley 25.188). Se reprime al que “…por sí o por persona interpuesta solicitare o recibiere dinero o cualquier otra dádiva o aceptare una promesa directa o indirecta, para hacer valer indebidamente su influencia ante un funcionario público, a fin de que éste haga, retarde o deje de hacer algo relativo a sus funciones.”. “Si aquella conducta estuviera destinada a hacer valer indebidamente una influencia ante un magistrado del Poder Judicial o del Ministerio Público, a fin de obtener la emisión, dictado, demora u omisión de un dictamen, resolución o fallo en asuntos sometidos a su competencia, el máximo de la pena de prisión o reclusión se elevará a doce años”. Pena: Reclusión o prisión de uno a seis años e inhabilitación especial perpetua para ejercer la función pública. Cohecho activo. Art. 258 del Código Penal. Se reprime a quién “…directa o indirectamente diere u ofreciere dádivas en procura de alguna de las conductas reprimidas por los artículos 256 y 256 bis, primer párrafo. Si la dádiva se hiciere u ofreciere con el fin de obtener alguna de las conductas tipificadas en los artículos 256 bis, segundo párrafo, y 257, la pena será de reclusión o prisión de dos a seis años. Si el culpable fuere funcionario público, sufrirá además inhabilitación especial de dos a seis años en el primer caso y de tres a diez en el segundo.” Pena: Prisión de uno a seis años. Soborno transnacional. Art. 258 bis del Código Penal. Reprime a quién “…directa o indirectamente, ofreciere, prometiere u otorgare, indebidamente, a un funcionario público de otro Estado o de una organización pública internacional, ya sea en su beneficio o de un tercero, sumas de dinero o cualquier otro objeto de valor pecuniario u otras compensaciones tales como dádivas, favores, promesas o ventajas, a cambio de que dicho funcionario realice u omita realizar un acto relacionado con el ejercicio de sus funciones públicas, o para que haga valer la influencia derivada de su cargo en un asunto vinculado a una transacción de naturaleza económica, financiera o comercial. Se entenderá por funcionario público de otro Estado, o de cualquier entidad territorial reconocida por la Nación Argentina, a toda persona que haya sido designada o electa para cumplir una función pública, en cualquiera de sus niveles o divisiones territoriales de gobierno, o en toda clase de organismo, agencia o empresa pública en donde dicho Estado ejerza una influencia directa o indirecta.”. Pena: Prisión de uno (1) a seis (6) años e inhabilitación especial perpetua para ejercer la función pública.   b) Negociaciones incompatibles con el ejercicio de funciones públicas, previsto por el artículo 265 del Código Penal; Negociaciones Incompatibles. Art. 265 del Código Penal. “…el funcionario público que, directamente, por persona interpuesta o por acto simulado, se interesare en miras de un beneficio propio o de un tercero, en cualquier contrato u operación en que intervenga en razón de su cargo. Esta disposición será aplicable a los árbitros, amigables componedores, peritos, contadores, tutores, curadores, albaceas, síndicos y liquidadores, con respecto a las funciones cumplidas en el carácter de tales.”. Pena: Reclusión o prisión de uno a seis años e inhabilitación especial perpetua y se aplicará también multa de dos (2) a cinco (5) veces del valor del beneficio indebido pretendido u obtenido.   c) Concusión (Exacción agravada por el destino recibido), previsto por el artículo 268 del Código Penal; Concusión. Art. 268 del Código Penal. “…el funcionario público que convirtiere en provecho propio o de tercero las exacciones expresadas en los artículos anteriores”. Pena:  Prisión de dos a seis años e inhabilitación absoluta perpetua. Se aplicará también multa de dos (2) a cinco (5) veces del monto de la exacción.   d) Enriquecimiento ilícito de funcionarios y empleados, previstos por los artículos 268 (1) y (2) del Código Penal; Utilización indebida de Informaciones. Articulo 268 (1) del Código Penal. “… el funcionario público que con fines de lucro utilizare para sí o para un tercero informaciones o datos de carácter reservado de los que haya tomado conocimiento en razón de su cargo”. Pena: Prisión de uno (1) a seis (6) años, se aplicará también multa de dos (2) a cinco (5) veces del lucro obtenido.   Enriquecimiento Ilícito. Articulo 268 (2) del Código Penal. “… el que al ser debidamente requerido, no justificare la procedencia de un enriquecimiento patrimonial apreciable suyo o de persona interpuesta para disimularlo, ocurrido con posterioridad a la asunción de un cargo o empleo público y hasta dos años después de haber cesado en su desempeño”. Pena: Prisión de dos (2) a seis (6) años, multa de dos (2) a cinco (5) veces del valor del enriquecimiento, e inhabilitación absoluta perpetua.   e) Balances e informes falsos agravados, previsto por el artículo 300 bis del Código Penal. Balances Falsos. Art. 300 inc. 2 del Código Penal. “El fundador, director, administrador, liquidador o síndico de una sociedad anónima o cooperativa o de otra persona colectiva, que a sabiendas publicare, certificare o autorizare un inventario, un balance, una cuenta de ganancias y pérdidas o los correspondientes informes, actas o memorias, falsos o incompletos o informare a la asamblea o reunión de socios, con falsedad, sobre hechos importantes para apreciar la situación económica de la empresa, cualquiera que hubiere sido el propósito perseguido al verificarlo. Cuando los hechos delictivos previstos en el inciso 2) del artículo 300 hubieren sido realizados con el fin de ocultar la comisión de los delitos previstos en los artículos 258 y 258 bis…”. Pena:  Prisión de uno a cuatro años y multa de dos (2) a cinco (5) veces el valor falseado en los documentos y actos a los que se refiere el inciso mencionado.   Programa de Integridad. El en artículo 22 de la ley 27401 se establece el concepto de Programa de Integridad. Las personas jurídicas comprendidas en el presente régimen podrán implementar programas de integridad consistentes en el conjunto de acciones, mecanismos y procedimientos internos de promoción de la integridad, supervisión y control, orientados a prevenir, detectar y corregir irregularidades y actos ilícitos comprendidos por esta ley. El programa de integridad exigido debe guardar relación con los riesgos propios de la actividad que la persona jurídica realiza, su dimensión y capacidad económica, de conformidad a lo que establezca la reglamentación.   Contrataciones con el Estado nacional. La existencia de un Programa de Integridad adecuado conforme los artículos 22 y 23, será condición necesaria para poder contratar con el Estado nacional, en el marco de los contratos que: a) según la normativa vigente, por su monto, deberá ser aprobado por la autoridad competente con rango no menor a Ministro; y b) se encuentren comprendidos en el artículo 4º del decreto delegado Nº 1023/01 y/o regidos por las leyes 13.064, 17.520, 27.328 y los contratos de concesión o licencia de servicios públicos.   Exención de la Pena. La pena que correspondiere a la persona jurídica condenada en función de los criterios previstos en el artículo 7, quedara eximida en los términos del articulo 9 si se verificara alguna de las siguientes circunstancias: a) espontáneamente haya denunciado un delito previsto en esta ley como consecuencia de una actividad propia de detección e investigación interna; b) hubiere implementado un sistema de control y supervisión adecuado en los términos de los artículos 22 y 23 de esta ley, con anterioridad al hecho del proceso, cuya violación hubiera exigido un esfuerzo de los intervinientes en la comisión del delito; c) hubiere devuelto el beneficio indebido obtenido.   Acuerdo de Colaboración Eficaz. La persona jurídica y el Ministerio Público Fiscal podrán celebrar un acuerdo de colaboración eficaz, por medio del cual aquella se obligue a cooperar a través de la revelación de información o datos precisos, útiles y comprobables para el esclarecimiento de los hechos, la identificación de sus autores o partícipes o el recupero del producto o las ganancias del delito, así como al cumplimiento de las condiciones que se establezcan en virtud de lo previsto en el artículo 18 (1) de la presente ley. El acuerdo de colaboración eficaz podrá celebrarse hasta la citación a juicio. (1) Contenido del acuerdo. En el acuerdo se identificará el tipo de información, o datos a brindar o pruebas a aportar por la persona jurídica al Ministerio Público Fiscal, bajo las siguientes condiciones: a) pagar una multa equivalente a la mitad del mínimo establecido en el artículo 7° inciso 1) de la presente ley; b) restituir las cosas o ganancias que sean el producto o el provecho del delito; y c) abandonar en favor del Estado los bienes que presumiblemente resultarían decomisados en caso que recayera condena; Asimismo, podrán establecerse las siguientes condiciones, sin perjuicio de otras que pudieran acordarse según las circunstancias del caso: d) realizar las acciones necesarias para reparar el daño causado; e) prestar un determinado servicio en favor de la comunidad; f) aplicar medidas disciplinarias contra quienes hayan participado del hecho delictivo; g) implementar un programa de integridad en los términos de los artículos 22 y 23 de la presente ley o efectuar mejoras o modificaciones en un programa preexistente.   Normas ISO 19600 – Sistema de Gestión de Compliance. La Norma ISO 19600 pretende constituirse como una herramienta para ayudar a la función de Compliance en sus objetivos, entre los cuales debe de estar sin duda -y al menos- la detección y gestión de los riesgos por incumplimientos de sus obligaciones legales. Se trata de un documento internacional que establecerá un referente de buenas prácticas en materia de gestión de Compliance, más allá de fronteras, culturas y jurisdicciones. La Norma ISO 19600 es aplicable a todo tipo de organizaciones, independientemente de su tamaño y actividad, aunque en la misma norma se asumen las grandes diferencias que puede haber entre unas y otras empresas en función de volumen de operaciones, dispersión geográfica, mercados de referencia, etc. El propio texto de la Norma reconoce que el alcance con el que deben aplicarse las recomendaciones de la guía depende del tamaño, estructura, naturaleza y complejidad de cada organización. No se trata de hacer una norma rígida y ciega ante la diversidad de organizaciones. Antes bien, se trata de hacer una norma que articule una metodología común, medible y comparable, pero con capacidad de articular las necesidades del Compliance adaptadas a la operativa, distribución competencial, idiosincrasia, madurez y cultura de cumplimiento, momento económico, estrategia comercial, etc., de cada empresa y grupo de empresas. El Cumplimiento Normativo no admite una incorporación a las organizaciones basada en modelos industralizados que no permiten más adaptación que la puramente nominal, ni acepta la clonación de experiencias y resultados, porque aunque todas las empresas pudieran parecer iguales (a la vista de un observador inexperto o que las observe desde la estratosfera), cada una es diferente de cualquier otra. Es por ello que la Norma ISO 19600 recoge directrices para implantar, mantener y mejorar un sistema de gestión de Compliance eficaz y receptivo. Así, incluye recomendaciones sobre los elementos con los que una organización debería contar para asegurar que cumple su política de Compliance y que tiene capacidad para asumir sus obligaciones en este ámbito. Entre estas recomendaciones, se incluyen las relativas a la formación continua en Compliance para los perfiles implicados en su gestión y para toda la organización en cuanto a su rol en el cumplimiento, la integración del desempeño en Compliance en la evaluación del desempeño de los empleados, o la supervisión de los acuerdos de contratación externa para asegurarse de que recogen obligaciones en materia de Compliance. En síntesis, la norma ISO 19600, contiene: •             Directrices que orientan sobre la implementación, evaluación, mantenimiento y mejora de un Sistema de Gestión Compliance eficaz y eficiente. •             Recomendaciones sobre los aspectos que una organización debería considerar para garantizar el cumplimiento de su política de compliance y que cuenta con la capacidad para asumir sus obligaciones. •             Una descripción sobre la necesidad de mantener actualizada la formación relacionada con el compliance, para los profesionales dedicados a esta materia cuando tengan lugar cambios a nivel organizacional, legislativo o en los compromisos existentes con las partes interesadas. •             Información sobre la integración del desempeño en compliance en la evaluación del desempeño de los trabajadores o en la revisión de acuerdos de contratación externa para garantizar que se consideran obligaciones en esta materia.

Marco normativo y/o regulatorio. Convenciones internacionales. Entre los instrumentos normativos más destacados formulados  para el combate de la corrupción, el fraude y el lavado de activos, debemos considerar a la Convención de las Naciones Unidas contra la Corrupción,  la Convención Interamericana contra la Corrupción, Convención de la Unión Europea contra la corrupción de funcionarios, el Convenio penal sobre corrupción del Consejo de Europa, el Convenio civil sobre corrupción del Consejo de Europa, la Convención de las Naciones Unidas contra el crimen organizado transnacional, el Convenio de la OCDE sobre la lucha contra la corrupción de los agentes públicos extranjeros en las transacciones comerciales internacionales,  la Declaración contra la corrupción y aseguramiento de la transparencia de la APEC, la Ley Patriota de los Estados Unidos, la Ley de prácticas corruptas en el extranjero (FCPA-USA), la Ley Antisoborno del Reino Unido (UK Bribery Act), la Directiva (EU) 2015/849 sobre prevención del uso del sistema financiero para el lavado de dinero y financiamiento del terrorismo, la Ley Sarbanes- Oxley, el marco COSO-ERM, los Acuerdos de Basilea, las Recomendaciones del GAFI, entre otros.  Líneas Directrices de la OCDE para Empresas Multinacionales. En 1976, los países miembros de la OCDE, agrupados en el Comité de Inversiones  y  Empresas   Multinacionales, suscribieron  la  Declaración  sobre  Inversión  Internacional  y  Empresas Multinacionales , como expresión de un importante compromiso político con el fin   de   impulsar   la   cooperación   internacional   en   materia   de   transparencia   y   no discriminación  en las políticas de  inversión  extranjera.  Uno de los documentos que salieron de dicha declaración fueron  precisamente las  Líneas  Directrices  de  la  OCDE para  Empresas  Multinacionales, que  ha tenido  diversas  revisiones  a  lo  largo  del  tiempo siendo la de 2011 la última de ellas. Las Directrices son recomendaciones y  principios  no  vinculantes  emitidos  por  los gobiernos  y  dirigidos  a  las  empresas  multinacionales  que  operan  en  países  firmantes o  que  tienen  su  sede  en  ellos con  el  fin  de  alcanzar una  conducta  empresarial  íntegra  y responsable conforme a las pautas y normas reconocidas internacionalmente. Entre las principales obligaciones que las empresas deben realizar según la Declaración, destacan, entre  otras:  la  contribución al  progreso  económico,  social  y  medioambiental para  conseguir  un desarrollo  sostenible,  la  protección  y  promoción  de los  derechos humanos   internacionalmente   reconocidos   de   todas   las   personas   afectadas   por   su actividad, además, mantener una cooperación estrecha con la comunidad local, preservar los principios de buen gobierno corporativo y desarrollar e implementar buenas prácticas de  gobierno  corporativo, así  como poseer buenas prácticas  autodisciplinarias  así  como sistemas  de  gestión  eficaces  y,  finalmente, podemos  señalar  también  la  obligación abstenerse   de   tomar   medidas   discriminatorias   o   disciplinarias   contra   denunciantes internos que tengan razones legítimas. Un aspecto relevante de  las Directrices  es  la  creación  de  los  Puntos  Nacionales  de Contacto, que son entidades constituidas por los gobiernos de los países miembros con el fin de promover las Directrices y velar por su correcta implementación. Principios para el gobierno corporativo. Elaborados en 1999  y  posteriormente  revisados en  2004,  estos  Principios buscan que  los  gobiernos  elaboren  marcos  eficaces  y  robustos  para  el  buen  gobierno  corporativo,  promoviendo la transparencia  y eficacia de los mercados  y salvaguardando  la confianza  y la sostenibilidad. El  documento  desarrolla  seis principios  fundamentales  de gobierno  corporativo,  a saber,  la  garantía  de  un  marco  eficaz  para  el  gobierno  corporativo,  los  derechos fundamentales  de  los  accionistas  y  cuestiones  vinculadas  con  la  propiedad  y  el  control, trato  equitativo  de  los  accionistas,  el  papel  de  las  partes  interesadas  en  el  gobierno corporativo,  transparencia  y  revelación  de  datos  y,  por  último  las  responsabilidades  del Consejo de Administración. Finalmente, hay  que  resaltar  que  estos  Principios  se  centran  en  las  sociedades  con cotización oficial, tanto financieras como no financieras. Convenio de la Organización para la Cooperación y el Desarrollo Económico de  Lucha  contra  la  Corrupción  de  Agentes  Públicos  Extranjeros  en  las  Transacciones  Comerciales Internacionales. Adoptado  el  21  de  noviembre  de  1997,  el  objetivo  principal  de  este  Convenio  es penalizar a las empresas  e individuos que, en el  marco de sus transacciones económicas internacionales,  prometan  u  ofrezcan dádivas  u  otros  beneficios  a  agentes  públicos extranjeros, con el fin de beneficiarse en sus negocios comerciales. Así, esta Convención estipula obligaciones para los países firmantes en cuatro áreas: penal (art. 3), financiero y contable (art. 8), blanqueo de capitales (art. 7) y asistencia jurídica reciproca (art. 9). Con el fin de determinar el nivel de cumplimiento de los países firmantes, la OCDE está dirigiendo un  programa  de  seguimiento  y  monitoreo  basado  en  el  método  peer-to-peer review y hasta  ahora  los  resultados  reflejan  que  el  nivel  de  implementación  de  la Convención  difiere  enormemente  de  un  país  a  otro,  de  hecho, un  reciente estudio de  TI muestra  que  sólo  cuatro  países  firmantes  (Alemania,  Estados  Unidos,  Reino  Unido  y Suiza)  tienen  una  implementación  óptima  y  que  su legislación nacional refleja una  ejecución  adecuada  del  Convenio. Organización Internacional del Trabajo Declaración  tripartita  de  principios  sobre  las  empresas  multinacionales  y  la  política social. Aprobada  en  1977  y  con  posteriores  enmiendas  en  el  año  2002,  esta  Declaración  ofrece orientaciones  y  principios  en  materia  de  empleo,  política  social,  formación,  condiciones  dignas   de   trabajo   y   relaciones   de   trabajo.   Está   dirigida   tanto   a   las   empresas multinacionales como a los gobiernos y trabajadores y es de aplicación voluntaria. Sus principios están agrupados en cinco grandes categorías: 1)  Política  general  (v.  gr.,  promover  prácticas  sociales  adecuadas  o  contribuir  a  hacer realidad los derechos fundamentales del trabajo) 2)  Empleo  (extender  la  igualdad  de  oportunidades  y  trato,  promoción  y  seguridad  del empleo, entro otras.) 3)  Formación  (por  ejemplo,  ofrecer  formación  a  sus  trabajadores  de  todos  los  niveles  y dar oportunidades para ampliar la experiencia del cuerpo directivo local) 4) Condiciones de trabajo y vida (ofrecer salarios, prestaciones y condiciones justas y no menos favorables para los trabajadores que los ofrecidos por otros empleadores similares, mantener estándares altos de seguridad e higiene, entre otras) 5)  Relaciones de trabajo  (v.  gr., pleno respeto a la libertad  sindical  y  la  negociación colectiva  y examinar  las  reclamaciones  de  los  trabajadores,  de  conformidad  a  un procedimiento adecuado) Finalmente, cabe destacar que la Declaración insiste mucho en la cooperación entre todas las partes, esto es, los gobiernos, las empresas y los trabajadores de todos los países. Convención de las Naciones Unidas contra la Corrupción Firmada en 2003 y en vigor desde el año 2005, esta Convención es el primer instrumento de prevención y lucha contra la corrupción  jurídicamente  vinculante  a  nivel  global, cimentado en un amplio consenso mundial. La Convención consta de un Preámbulo y 71 artículos agrupados  en  ocho  capítulos  y  tiene  como  finalidad  proponer  a  los  países medidas para prevenir y combatir de forma más eficaz y eficiente la corrupción, así como promover,  facilitar  y  apoyar  la  cooperación  internacional  y  asistencia  técnica  en  dicha tarea de prevención  y  lucha, promoviendo la integridad, la transparencia  y  la obligación de rendir cuentas, junto con la debida gestión de los asuntos y los bienes públicos (art. 1) . “La Convención pretende ser, pues, un instrumento internacional amplio, comprensivo, funcional  y  efectivo,  que  tiene  en  cuenta  las  múltiples  facetas  del  fenómeno  de  la corrupción  y  que  establece  un  lenguaje  y  unas  guías  comunes  para  la  homogeneización de la  legislación  internacional  sobre  el  tema,  con  un  equilibrio  entre  la  prevención  y  el castigo” escribe Antonio Argandoña. Cabe  destacar  que  esta Convención  es  un  instrumento  legislativo  que  pone  un  énfasis  especial  en  el  carácter  preventivo  más  que  en  el represivo  y  contiene  diversos  artículos que hacen referencia expresa a la prevención de la corrupción en el sector privado. Finalmente,  cabe mencionar  que  ha  sido  hasta  ahora  ratificada  por  170  países  y  se  han puesto  en  marcha  diversos  procesos  y  mecanismos  de  evaluación  y  monitorización peer to  peer, aunque, desgraciadamente, en  estos  mecanismos  no  participan aún ni  el  sector privado, ni sindicatos, ni la sociedad civil. Principios Rectores sobre las Empresas y los Derechos Humanos. Los  Principios  Rectores  sobre  las  Empresas  y  los  Derechos  Humanos  se centran,  en primer  término,  en las  obligaciones  de  los  estados  de  respetar,  proteger  y  cumplir  los derechos humanos  y libertades fundamentales, por otro lado , en el papel especializado e  importante que desempeña la empresa en el mundo y, finalmente, en la necesidad de que los  derechos  y  obligaciones  vayan  acompañados  de  recursos  adecuados  y  efectivos de tutela y realización. De este modo, los Principios Rectores se encuentran estructurados en tres partes, a saber, una  dirigida  a  los  Estado,  otra  a  las  empresas  y  una  referida  a  los  mecanismos  de reparación,  con  una  consecuente  subdivisión a  su  vez  de  cada  uno  en principios fundacionales y principios operativos. En  cuanto  a  los  principios  fundacionales  para las empresas,  el  documento  señala  que  la responsabilidad  de  las  empresas  de  respetar  los  derechos  humanos debe  alcanzar como mínimo a los derechos que se encuentran recogidos en la Carta Internacional de Derechos Humanos  y  a  los  principios  establecidos  en  la  Declaración  de  la  OIT  relativa  a  los Principios y  Derechos  Fundamentales  en  el  Trabajo.  Por  otro  lado,  se  enfatiza  que  las empresas  deben  contar con  políticas  y  procedimientos apropiados  en  función  de  su tamaño, sector y circunstancias, contando, como mínimo, conun compromiso político, un proceso   de   debida   diligencia   y   mecanismos   adecuados   de   reparación   sobre   las  consecuencias negativas. En  cuanto  a  los  principios  operativo s,  el  documento  señala  que  es  preciso  que  las  empresas hagan una declaración política, aprobada por el más alto nivel directivo, donde  se establezca lo que la empresa espera en relación a los derechos humanos con respecto a sus  empleados,  socios  y  otras  partes  directamente  relacionadas  con  sus  actividades, operaciones,  productos  o  servicios, y que  se  haga  pública  y  se  difunda al  interior  y  al exterior, quedando reflejada en las políticas y procedimientos. Por otro lado, las empresas deben contar con un procedimiento de debida diligencia en materia de derechos humanos y“[e]ste  proceso  debe  incluir  una  evaluación  del  impacto  real  y  potencial  de  las actividades sobre los derechos humanos, la integración de las conclusiones, y la actuación al  respecto;  el  seguimiento  de  las  respuestas  y  la  comunicación  de  la  forma  en  que  se hace frente a las consecuencias negativas.” Finalmente, podemos destacar  que  se  necesitan  procesos  de  evaluación  de  actividades para  posteriormente  integrar  aquellas  conclusiones  y  recomendaciones  relevantes  en  sus políticas, procesos y medidas, así como un seguimiento de la eficacia de su respuesta y de mecanismos   de   solución   soluciones   con   indicadores   cualitativos   y   cuantitativos adecuados. Reglas internacionales de ética y conducta empresarial responsable En  aras  de  alcanzar un  horizonte cabal en  materia  de  prevención  de  la  corrupción  y buenas  prácticas,  nos  parece  relevante también  hacer  una  breve mención acerca  de algunas   reglas   y   principios   internacionales   proclamados   por   diversos   organismos internacionales distintos a los Estados que tienen gran peso en la escena internacional. De este modo, podemos destacar: Las  Reglas  de  la  ICC  para  Combatir  la  Corrupción.  Publicadas  inicialmente  en  1977 por la Cámara Internacional de Comercio, han tenido su última modificación en 2011. En ellas  se  contiene  un  Reglamento  Anticorrupción,  políticas  corporativas  para  apoyar  el cumplimiento   de   dicho   Reglamento   y   elementos   de   un   Programa   Corporativo   de Cumplimiento eficiente. Principios   empresariales   para   contrarrestar   el   soborno   (Business   Principles   for Countering  Briberyen su idioma  original)  de  Transparency International.  Adoptados inicialmente  en  el  año  2003  han  recibido  su  última  actualización  en  octubre  de  2013, incorporando  temas  de  conflicto  de  interés,  pagos  de  facilitación,  temas  de  lobby, reporting y  cooperación  con  autoridades,  entre  otras  novedades.  Asimismo,  se  ha publicado una edición de los Principios adaptados a las PYMES. Principios para Contrarrestar el Soborno (en idioma original Principles for Countering Bribery) el grupo Partnering Against Corruption Initiative(PACI) y el World Economic Forum (WEF).  Estos Principios  se  publicaron  en  2004  y  sufrieron  su  última  revisión  en 2014, tienen como objetivo, según se narra en su introducción, asistir a las empresas para eliminar   cualquier   forma   de   soborno,   impulsar   el   compromiso   para   combatir   la corrupción   y  contribuir  a  la  mejora  de  los  estándares  éticos  en  los  negocios,  la transparencia y la rendición de cuentas. Principios del Pacto Mundial de Naciones Unidas. Son 10 principios relacionados con los  derechos  humanos,  medioambiente,  trabajo  y anticorrupción,  derivados  de  las Declaraciones de la ONU en estas materias y a partir de los cuales se pide a las empresas adoptar, promover y promulgar un conjunto de estándares, prácticas y valores en sintonía con dichas temáticas. Principios  de  Transparencia  y  Prevención  de  la  Corrupción  para  las  Empresas de Transparencia  Internacional - España.  Publicados  en  2012  y  a  cargo  de  la Dra.  Silvina Bacigalupo  Saggese, catedrática  de  Derecho  Penal  de  la  Universidad  Autónoma  de Madrid, constituyen  un  conjunto  de directrices  dirigido a  las  empresas  cuyo  objetivo  es contribuir a la mejora de la transparencia, la responsabilidad y la rendición de cuentas en aras de prevenir la potencialexistencia de corrupción en el seno de la empresa. Finalmente   podemos   nombrar  también otros   principios   como son los AA1000 AccountAbility  Principles  Standard  2008,  las  pautas  del Social  Accountability  8000  (SA8000) o los estándares ISO 26000 “Social Responsability”, ISO 37001 “Antibribery management systems” o ISO 19000 “Auditing management systems”.   Principales guías internacionales En este último epígrafe de la sección sobre directrices internacionales hacemos referencia  a algunas de las principales guías oficiales que acompañan a varios de los documentos  antes reseñados para facilitar su acceso y complementar comprensión: Department of Justice, Securities and Exchange Commission. Resource Guide to the Foreign Corrupt Practices Act. United States Sentencing Commission. U.S. Government issued Sentencing Guidelines The Ministry of Justice, United Kingdom. The Bribery Act 2010: Guidance OECD. Good Practice Guidance 2010 World Bank. Integrity Compliance Guidelines 2011 UN Global Compact. A Guide for Anticorruption Risk Assessment-Reporting Guidance on the 10th principle against corruption. United Nations Conference on Trade and Development. Guidance on good practices in corporate governance disclosure. Global Reporting Initiative. Reporting Principles and Standard Disclosures- Sustainability Reporting Guidelines United Nations Office on Drugs and Crime. An Anticorruption Ethics and Compliance Programme for Business: A Practical Guide- A Resource Guide on State Measures for Strengthening Corporate Integrity Transparency International. International Principles forWhistleblower Legislation:  Best Practices for Laws to protect whistleblowers and support whistleblowing in the  public interest

Lineamientos y herramientas utilizadas para el desarrollo y emisión de políticas y normas de procedimientos para los distintos procesos de la organización. El Corporate Compliance es un conjunto de procedimientos y buenas prácticas adoptados por las empresas líderes para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención y gestión, formación, detección, minimización y control de los mismos. Por qué lo necesitamos El entorno legislativo en el que la empresa desarrolla sus actividades es cada vez más abundante y complejo. El nivel de  beligerancia de las autoridades y organismos regulatorios es cada vez mayor y el impacto de la regulación es más intenso que nunca. Por ello, y por los recientes escándalos societarios y el innegable incremento de la sensibilidad social respecto de la “ética de los negocios”, un mayor número de organizaciones públicas y privadas internalizan estándares éticos y legales como protocolos de buen gobierno de obligado cumplimiento. Los riesgos a prevenir son aquellos que conllevan consecuencias como el daño reputacional, la imposición de multas y sanciones, las pérdidas de negocio por contratos no ejecutables o la exclusión de licitaciones o subvenciones públicas, entre otras. Un programa integral de Corporate Compliance se compone de múltiples elementos y su consecución depende en gran medida de la creación de una cultura corporativa de estricto cumplimiento de las normas y políticas éticas de la empresa. Por ello, es imprescindible que se establezcan mecanismos de control o medidas de respuesta ante posibles incumplimientos, incluyendo entre otros acciones de formación, una estrategia de comunicación interna y externa del programa y la adopción de buenas prácticas. Es un sistema claramente definido que integra las diferentes medidas de compliance y está basado en tres pilares: prevenir, detectar y responder. Prevenir: Es el pilar fundamental. Se basa en la formación y la comunicación. Comprende las actividades que proporcionan a jefaturas y empleados la información necesaria para el comportamiento íntegro día a día. De igual manera, se han de elaborar normativas y procedimientos que complementen al Código de conducta en los negocios y cuyo objetivo es la prevención de incumplimientos de la legislación externa y de las normas internas. Para conseguir una mayor agilidad en el proceso se debe dotar a la organización de herramientas específicas en ámbitos como, por ejemplo, los socios comerciales, el negocio de proyectos, los regalos, los patrocinios, las donaciones, etc. Detectar: Como la prevención no siempre es suficiente, la compañía, además, ha de contar con una serie de mecanismos para detectar los posibles casos que se puedan dar o que pueden llevar a malas praxis. El elemento central es establecer canales de comunicación como el canal de denuncia o whistle-blowing, accesibles tanto a nivel interno como externo de la organización. Los controles internos se ejecutan de forma periódica y son sometidos a una evaluación interna que, a su vez, se complementa con la auditoría externa. Responder: El tercer pilar del sistema de compliance lo conforman unas consecuencias y unas respuestas claras que no deben dar lugar a equívocos. La empresa ha de disponer de un comité disciplinario para evaluar las medidas que se deben adoptar en caso de incumplimiento de la legislación vigente o de las normativas internas. Los programas de compliance, programas de cumplimiento normativo o programa de integridad, entendidos como sistemas de control interno para prevenir y descubrir los ilícitos que se cometan al amparo de las estructuras empresariales (BACIGALUPO, 2011:106), son un signo del compromiso de las empresas con el cumplimiento de la ley o, cuando menos, un mecanismo eficaz para la prevención y persecución de tales conductas. Puede ser susceptible de controversia si estos modelos promueven realmente el comportamiento ético de las compañías (WEAVER, 2014:293; y BLOUNT y MARKEL, 2012:1044-1045), pero lo que no parece discutible es que son un elemento útil en la prevención, detección y persecución de las conductas ilícitas. En EE. UU., donde la discusión doctrinal sobre este tipo de programas comienza en los años 60 del siglo pasado, la crisis financiera de principios de este siglo ha avivado el debate sobre su utilidad, al menos tal como son concebidos por las sentencing guidelines y, particularmente, sobre si realmente fomentan el comportamiento ético de las empresas. En efecto, esta forma de acercarse al problema de la prevención de la comisión de ilícitos en el seno de las estructuras empresariales, a través de la implementación de programas de compliance, que crean estructuras destinadas a prevenir y detectar tales conductas -compliance-based approach-, no es compartida por todos los estudiosos de esta problemática. Algunos autores entienden que este modelo debe ser sustituido por aquel en el que lo relevante sea el desarrollo dentro de la organización de una cultura ética -integrity-based approach- que fomente un comportamiento honorable y responsable de los miembros de la organización, evitando de esta forma la implementación de lo que se ha llamado cosmetic compliance; esto es, programas de cumplimiento que lo único que pretenden es rebajar las posibles sanciones a la entidad por la comisión de las conductas ilícitas de sus empleados. Como vamos a ver con más detalle a continuación, todo programa de cumplimiento deberá incorporar mecanismos adecuados para la detección de las conductas ilícitas que se cometan bajo el paraguas de la organización y para su castigo interno. Además, si la empresa quiere mostrar «su disposición» a colaborar con las autoridades, su denuncia será determinante. Por tanto, las posibilidades de que tales conductas queden impunes disminuyen considerablemente, haciéndolo, en la misma medida, el atractivo de su comisión. La incorporación a los programas de compliance de normas concretas destinadas a prevenir la corrupción aparece como una medida preventiva eficaz para disuadir de su comisión a los miembros de la organización y, por tanto, es una medida esencial para que la organización pueda eludir su propia responsabilidad como entidad. Los compliance programs se convierten en una pieza fundamental en la lucha contra la corrupción en el seno de las estructuras empresariales. Pero para que ello sea efectivamente así y el programa de cumplimiento sea realmente una herramienta eficaz y no un mero cosmetic compliance su contenido deberá ajustarse a unas pautas. Estas deberán seguir, sin duda, las exigencias derivadas de la normativa nacional en su caso, pero, también, y especialmente, tal como hemos destacado con anterioridad, las marcadas por la FCPA y la Bribery Act. Ambas normas se han convertido en la «punta de lanza» de la lucha global contra la corrupción, independientemente del lugar del mundo donde se produzca el soborno. Partiendo de estas premisas, las líneas fundamentales que tendría que cumplir un programa de cumplimiento eficaz para prevenir la corrupción serían las siguientes: 1) El compromiso de la dirección de la entidad con «la cultura del cumplimiento» -culture of compliance-. Los directivos de la compañía han de implicarse en la implementación y vigilancia del programa, porque una sólida cultura ética es la base de un programa de cumplimiento sólido. La lucha contra el soborno debe ser una postura de la entidad y aquellos que la dirigen son los que están en mejor posición para defenderla. 2) Un código de conducta claro, conciso y accesible a todos los empleados, que incorpore las reglas y los procedimientos para su cumplimiento, así como las consecuencias de su incumplimiento. Estos códigos éticos o de conducta no pueden ser meras declaraciones programáticas. A estos efectos el personal de la empresa debe conocer tanto su existencia como sus resultados. En este código ético o de conducta deben incluirse las normas que regulen cuál es la política de la compañía sobre cuestiones tales como el ofrecimiento o aceptación de obsequios, atenciones de hospitalidad o gastos de promoción, para intentar clarificar, en la medida de lo posible, cuándo una determinada práctica comercial puede ser ilícita por encubrir una forma de soborno. La materia relativa a regalos, atenciones de hospitalidad y gastos de promoción se contempla expresamente en The Bribery Act 2010 Guidance (22-36). En este ámbito es especialmente significativo lo sucedido en Alemania, después del denominado WM-Ticket-Affäre («caso de las entradas de la Copa Mundial»), consistente, en síntesis, en los hechos siguientes: en 2006, Utz Claassen fue juzgado por un posible delito de cohecho a funcionarios públicos por regalar entradas para la Copa Mundial de Fútbol (que se celebró en Alemania en 2006) a varios cargos públicos. El citado, consejero delegado de la compañía enérgetica Energie Baden-Württemberg AG (EnBW), fue absuelto, pero la incertidumbre que se generó entre las empresas sobre la legalidad de los gastos de hospitalidad y promoción dio lugar a la publicación, en julio de 2011, de la guía Hospitality und Strafrecht - ein Leitfaden, por parte de la asociación S20, el Cómite Olímpico Alemán y el Ministerio Federal Alemán del Interior. Esta guía considera que es una práctica habitual, por parte de las empresas, la invitación a eventos deportivos y culturales, tanto de posibles socios comerciales como de autoridades y aporta directrices dirigidas a todos los empleados de una compañía y, en particular, a los de los departamentos de compliance y a los asesores legales de las empresas, para arrojar luz sobre los problemas asociados a las invitaciones a tales eventos. 3) Una evaluación adecuada, periódica y continua de los riesgos potenciales que afronta la entidad en el ámbito de la corrupción en función de su tamaño, estructura, actividad y mercado. Debe prestarse especial atención a diversos tipos de riesgos, como son: i) country risk, o riesgos concretos derivados de la situación de un país; ii) sectorial risk o riesgos sectoriales, desde el momento en que hay sectores en los que el riesgo de soborno es más elevado; iii) transaction risk, directamente relacionados con el tipo concreto de operación, porque algunas de ellas son, a estos efectos, más arriesgadas que otras; iv) business opportunity risk, que son los riesgos que presentan determinados proyectos por su gran valor, su alto número de intervinientes, por no ajustarse a los precios al mercado o por tener unos objetivos poco claros; y iv) business partnership risk, esto es, aquellos riesgos que derivan de las asociaciones con otras entidades. 4) Existencia de personal específico, con la autonomía y autoridad necesarias, que se encargue de la vigilancia de la implementación del programa de cumplimiento. 5) Dotación adecuada de recursos económicos para su ejecución, en función de las características de la empresa y de los riesgos que afronte. 6) Una adecuada formación del personal, que deberá contar además con vías para solicitar un asesoramiento urgente si fuera preciso. 7) La existencia de incentivos si se cumple el compliance. 8) El control eficaz de los terceros que trabajen para la entidad en concepto de agentes, consultores o distribuidores (due diligence procedures). La entidad debe dotarse de procedimientos adecuados para disminuir el riesgo de que los terceros que realicen actividades en su nombre incurran en prácticas corruptas. También deben solicitar información sobre aquellas personas con las que entablen relaciones comerciales. 9) Un canal de denuncias y un procedimiento para desarrollar las investigaciones internas. El programa de compliance debe diseñar la vía o vías para denunciar internamente posibles comportamientos ilícitos, así como el procedimiento para llevar a cabo las investigaciones internas que sean necesarias, ante la noticia de que estos comportamientos se están llevando a cabo. Del éxito de estas investigaciones y de los datos que las mismas proporcionen dependerá en gran medida la fortaleza de la posición de la entidad si finalmente se le exigen responsabilidades por tales ilícitos; pudiendo beneficiarse, asimismo, de las ventajas que supone el reconocimiento de su disposición a colaborar con las autoridades. El desarrollo de estas investigaciones genera múltiples cuestiones, derivadas, la mayoría, de la dificultad de establecer un equilibrio entre los intereses de la entidad y los intereses de sus empleados, que pueden no ser coincidentes. También resulta interesante la problemática derivada de la obligación o no de la compañía de facilitar a las autoridades los datos derivados de dicha investigación, en íntima relación con el reconocimiento y alcance, respecto a la entidad, de derechos tales como el de la confidencialidad entre abogado y cliente o el derecho a no auto incriminarse. 10) Un régimen de disciplinario interno para los infractores. 11) La evaluación del propio programa para introducir, en su caso, las mejoras que fueran necesarias.   Mucho más que un código y una línea de denuncias. Con el Régimen de Responsabilidad Penal de las Personas Jurídicas, las empresas están preocupadas por las nuevas responsabilidades penales que afectan. Pero deben tener presente que contar con un Código Ético y una línea de denuncias por correo electrónico, no es sinónimo de Compliance. El Código Ético es el instrumento normativo de mayor nivel en la estructura de la organización, lo que implica que el sistema que se aplique debe regirse por los principios éticos definidos en el mismo. El Código Ético será el documento que contendrá los principios éticos que la empresa aplica en todos los ámbitos de su actividad. Representa el compromiso de la empresa con el cumplimiento de las leyes y de los valores éticos que en ellas se defienden. El Programa de Compliance será el garante del cumplimiento de los compromisos establecidos en el Código Ético. Siendo el objetivo de un Programa de Compliance garantizar que todos los miembros de la organización apliquen de forma efectiva las medidas de prevención y control previstas, de forma que este Programa de Compliance consiga la eliminación de actuaciones que puedan poner en riesgo a la persona jurídica.   Código de Conducta y Políticas relacionadas. Un elemento fundamental de los programas de cumplimiento es la aprobación de códigos de conducta o códigos éticos que reflejen de forma clara las normas y políticas que han de regir las distintas actividades de la compañía. Son, en definitiva, el primer documento que recoge y establece los valores éticos y principios recogidos por la compañía. Las compañías deben de contar con Reglamentos internos o códigos éticos de actuación que establezcan el marco ético de actuación de sus empleados y de la Alta dirección de la entidad. Además de estos principios generales, incluyen elementos para asegurar su cumplimiento. Por lo general, hacen referencia expresa al canal de denuncias, a la atribución de responsabilidades de los distintos órganos y miembros con responsabilidades en la materia, y al régimen disciplinario en supuestos de vulneración de los principios éticos o normas de conducta de establecidos por la organización. No estamos hablando por tanto de un documento de buenas prácticas o una declaración de intenciones sin mayores consecuencias. Los códigos éticos han de generar obligaciones hacia los destinatarios (principalmente directivos y empleados, pero pudiendo hacerse extensivos a proveedores o aquellos grupos de interés que se establezcan), imponiéndose las sanciones que corresponda de casos de incumplimiento. Así pues, el Código de Conducta contendrá las normas y principios generales que regulen la actividad empresarial y que sean aplicables a todas las personas que pertenecen a la organización. 1. Códigos de ética: contienen enunciados de valores y principios referidos al propósito de la corporación, a sus obligaciones y responsabilidades hacia los stakeholders y a las normas que deberán conformar el comportamiento de sus integrantes. 2. Códigos de conducta: constituyen enunciados de reglas expresadas de forma afirmativa o negativa acerca de aquello que pueden o no pueden hacer los integrantes de la corporación. Pueden fijar penalidades por incumplimiento y fijar los procedimientos para hacer cumplir las normas y apelar en caso de disenso o conflicto de intereses. Para diseñarlo es preciso seguir estos pasos: -              Se designa un comité de ética, con no más de siete personas y no menos de tres. -              Los integrantes deben ser de primer nivel y saber consensuar. -              Este equipo debe redactar el contenido del código para comunicarlo a la alta dirección. -              Se define qué hacer en casos que propicien conflictos de interés, cumplimiento de las leyes locales; así como establecer criterios de privacidad, confidencialidad, comunicación interna, ceses laborales y llamados de atención. -              El comité presenta el borrador preliminar para que la alta dirección lo revise y apruebe para su promulgación final. Esto simboliza una declaración pública acerca de aquello en lo que se está comprometiendo. -              Se define la vía para comunicar el conjunto de normativas del código. -              No hacerlo equivaldría en convertirlo en letra muerta. -              Se otorga credibilidad al código al estar vinculado a estímulos y sanciones que deberán cumplirse para que no pierda impacto y credibilidad. -              Se designa una comisión de honor, compuesta por empleados de reconocida trayectoria en la organización. -              Se capacita al talento y personal de la organización para que entiendan la importancia de asumir un código de ética, así como disponer de un comité de ética y considerar ampliamente al comité de honor. -              El Comité establece comunicación con todas las áreas de la organización. -              La realización de seminarios podría ayudar a permear en todos los niveles, al igual que los comunicados y boletines. -              Se implementan mecanismos de denuncia y certificaciones internas.   Política de donaciones. Una preocupación en materia de cumplimiento son las donaciones caritativas. Es frecuente que los funcionarios de gobiernos en América Latina amenacen con el cierre de una planta de fabricación si la empresa no realiza una donación a una entidad de caridad. O hacen de la donación una condición para el otorgamiento de una licitación o la firma de un acuerdo de negocios en particular. La respuesta de muchas empresas a estas solicitudes es que si la entidad caritativa es una sociedad sin fines de lucro debidamente inscrita pueden seguir adelante con la donación. Pero este es exactamente el tipo de conducta que puede traer problemas con las autoridades de cumplimiento. Implementar un programa oficial y realizar donaciones caritativas según un cronograma establecido puede ayudarle a evitar donaciones al azar que pueden generar sospecha en los fiscales. Es importante realizar contribuciones directas a las organizaciones de caridad y supervisar si los fondos se utilizan para el objetivo indicado. La sola celebración de un acuerdo de donación con la organización no lo pondrá a salvo de las acusaciones de soborno si las circunstancias no son claras. “Resulta poco creíble que por la mañana el director de ventas descubra una nueva organización benéfica y tenga la necesidad de aportar USD 50 000 inmediatamente”, concluye Jonathan Adams, Director de Cumplimiento Corporativo en México. “Esto en la realidad no sucede”. Otro método para combatir la aparente ilegalidad es hacer públicas las donaciones caritativas o los servicios de hospitalidad corporativa en un comunicado de prensa publicado en la página web de la empresa. Darle publicidad al tema puede ayudarle a desvirtuar la suposición de que utiliza la donación o los servicios de hospitalidad como un medio para obtener un tratamiento especial de los funcionarios gubernamentales.   Política de obsequios, agasajos y viajes. Regalos y atenciones. El ofrecimiento de un regalo costoso o de un lujoso entretenimiento (o atención) pueden ser percibidos como soborno de acuerdo con las leyes locales, y de hecho pueden ser utilizados como formas de soborno más sutiles que el dinero en efectivo, brindados con la intención deliberada de ganar de manera indebida una ventaja comercial, y tal vez allanando el camino para un soborno de mayor envergadura. Sin embargo, los regalos y atenciones razonables que se ofrecen abiertamente en el transcurso de la actividad comercial con el fin de fomentar buenas relaciones y marcar ocasiones especiales no constituyen sobornos. Por consiguiente, es importante entender la diferencia. Para poder proteger a su empresa y a la gente que trabaja con Ud., convenga en qué momento pueden darse o aceptarse regalos y atenciones, así como qué registros deben llevarse de ellos. Asegúrese además de que sus socios comerciales conozcan sus reglas. Contribuciones benéficas y patrocinio. Los sobornos pueden disimularse en forma de contribuciones benéficas o patrocinios. Asegúrese de que el dinero que su empresa paga a una entidad benéfica no dependa de un acuerdo comercial ni se realice con el fin de conseguir un contrato o hacer negocio. Dé siempre ese dinero a la organización y no a una persona. El patrocinio se refiere a los pagos que realiza la empresa, en efectivo o en especie, para poder vincular su nombre a un evento popular, por ejemplo a una actividad deportiva, o relacionarse con una persona conocida, por ejemplo un cantante. El beneficio para la empresa radica en la asociación de su nombre con lo conocido y famoso, pero el patrocinio debería ofrecer beneficios reales y ponderables para la empresa, como más publicidad y una mayor solidez de la marca. Asegúrese de que el patrocinio se realice para el beneficio de la empresa y que no se utilice para encubrir un soborno. Pagos de facilitación. Los pagos de facilitación constituyen simplemente otra forma de soborno y, como tales, son ilegales en casi todos los países. Puede tratarse de montos pequeños exigidos por los proveedores de servicios con el fin de garantizar o ‘facilitar’ los servicios a los que Ud. -o su empresa- tiene derecho, como por ejemplo conectar un teléfono u obtener un visado, o bien puede ser dinero que se ofrece al personal de aduanas, inmigraciones u otro tipo de funcionarios para ‘acelerar’ la prestación de servicios y la concesión de permisos.  Desafortunadamente, estos pagos son tan comunes en tantos países que se consideran como algo ‘normal’ o ‘inevitable’, aunque sean ilegales y por tanto se puedan y deban evitar. Tener claro cómo puede asegurarse de no realizar pagos de facilitación le servirá, tanto a Ud. como a sus socios, para enfrentar este problema.   Política de uso de bienes de la empresa. Las personas deshonestas pueden realizar infinidad de actuaciones no deseadas en sus empresas. Con independencia de los fraudes internos tradicionales, pues las organizaciones cuentan con medios para luchar contra este tipo de actos al ser un problema reconocido, se pueden producir también otros muchos comportamientos indebidos que, generalmente, no se suelen considerar a pesar de los daños que causan. A título de ejemplo se pueden señalar las siguientes modalidades: a) De carácter general por parte de cualquier empleado, destacando negligencias, rendimiento inferior al normal, destrozo intencionado de material o uso desmedido de medios de la empresa. b) Aprovechar la confianza de jefes y compañeros para lucrarse a costa de la sociedad o, incluso, cometer actos fraudulentos para que pasen desapercibidos. c) Ocupaciones complementarias en otros negocios sin consentimiento. d) Utilización de los medios de la empresa para actividades privadas. e) Aceptar sobornos a cambio de contrapartidas, que pueden consistir en conceder o en influir para que se obtengan permisos, concesiones, información, adjudicaciones de obras o servicios, subvenciones, etc. f) El uso de información privilegiada, entendida como aquella que tiene una persona en situación de confidencialidad o lealtad para con una empresa, que puede producir beneficios extraordinarios al alterar el valor de las acciones o de otros activos financieros de la empresa, y que se usa en beneficio del que posee la información o de un tercero. La posibilidad de estos comportamientos se debiera tener siempre en cuenta y, además, considerarlos como posibles fraudes a la empresa en la mayoría de los casos, aunque trabajadores y empresarios no sean conscientes de ello. Fundamentalmente porque, al margen de otros aspectos, ocasionan malos ejemplos y quebrantos en las sociedades, incluso con peores consecuencias que las de los fraudes considerados como tradicionales, ya que éstos se pueden registrar mientras que las acciones expuestas no se suelen computar. En efecto, la mayoría de las veces el posible daño a la organización por este tipo de comportamientos no se suele tener en cuenta, al igual que los posibles riesgos de determinadas actitudes. Se debe destacar que más de la mitad de los fraudes realizados en las empresas son perpetrados por sus directivos. Abusando de su posición, pueden realizar infinidad de actos indebidos, como por ejemplo: a) En relación con el inmovilizado, mediante obras particulares que luego son facturadas a las empresas, apropiación o uso privado de elementos propiedad de la organización (como cuadros o automóviles), ventas ventajosas a la compañía de elementos propios, alquiler a la sociedad de oficinas o naves de su propiedad a precios superiores a los de mercado, etc. b) Aprovechar los gastos de las empresas para cargar servicios particulares, como choferes, cocineros y jardineros. c) Esconder pagos de carácter personal entre los gastos generales de las compañías, como los de un despacho privado o seguros de vida. d) Abusar de la tesorería de las empresas, mediante el desvío y apropiación de fondos que se intenta justificar, en ocasiones, con las más peregrinas ocurrencias. e) Obtención de suplementos dinerarios, mediante gastos no justificados o dietas inexistentes, o abusar de su posición imponiendo sueldos excesivos y blindajes desproporcionados. f) Beneficiar a terceros, especialmente amigos y familiares, a costa de la empresa. g) Implicar a la empresa en operaciones privadas o servirse de la actividad del negocio para la obtención de beneficios particulares. Las disposiciones de carácter laboral delimitan deberes y obligaciones de los trabajadores; no obstante, existen también acciones que no están prohibidas por ninguna norma, pero que están fuera de los límites morales admitidos. Al igual que muchos individuos se imponen unas reglas personales de actuación profesional, las empresas pueden establecer un código de conducta a seguir por sus empleados con el comportamiento que se desea que tengan. El Informe Cadbury aporta la reflexión de que “es importante que todos los empleados sepan qué normas de conducta se espera que observen". Igualmente, considera como una buena práctica que los órganos de gobierno de las empresas "redacten códigos deontológicos o declaraciones de procedimientos empresariales", estimando conveniente la divulgación de los mismos, "tanto interna como externamente". La finalidad de los códigos de conducta es clara y así lo piensan la mayoría de los directivos que los han implantado en sus empresas; sin embargo, algún profesional opina que el funcionamiento ético de las entidades no puede confiarse a la imposición de códigos de conducta éticos basados en la opinión de la mayoría o en la cultura imperante en cada lugar y momento. Precisando que la única manera que las empresas sean éticas es que lo sean las personas que las integran. Con independencia de los códigos internos, tendentes a un comportamiento adecuado de empleados y directivos en sus empresas, también existen una serie de códigos externos que imponen deberes éticos que rebasan los ámbitos de las propias organizaciones o comprometen la actuación de las mismas a nivel institucional o sectorial. En relación con esto último, se puede deducir que, cuanto más estén definidas pautas de conducta empresarial, menor puede ser la probabilidad de que directivos y empleados puedan utilizar la operativa de sus organizaciones para realizar actos fraudulentos o indebidos. Los códigos pueden ser eficaces en la lucha contra los actos deshonestos en la medida que, al estar impuestos obligatoriamente, sus incumplimientos generan sanciones, disciplinarias en los internos y de carácter administrativo, en los externos.  Resulta evidente que la voluntariedad de algunos códigos éticos ha dificultado que se cumplan sus objetivos, resultando en la práctica "declaraciones de buenas intenciones”. En este sentido, es de destacar en nuestro país a las reglas para un buen gobierno de las sociedades, Código de Olivencia, pues, aunque haya supuesto un importante impulso en el campo del gobierno corporativo de las empresas, al cabo de dos años de su implantación son pocas las que han aceptado voluntariamente sus normas y sólo la mitad de las sociedades que cotizan en Bolsa lo han incorporado, resaltándose también incumplimientos de sus recomendaciones o su asunción tramposa.   Política corporativa. Los recursos asignados para el trabajo son de propiedad de la empresa y es obligación de sus trabajadores velar por su debido uso. Estos deberán restringirse a la actividad laboral para la cual son asignados. • Todos los integrantes de esta empresa deben hacerse responsables del cuidado de los recursos asignados y de obtener el mayor beneficio, el máximo provecho y potencial de los recursos que la institución les pone a su disposición. • En atención al beneficio sobre el consumo de energía y recursos, cada miembro de la empresa siempre debe preocuparse de apagar las luces no ocupadas, cerrar llaves de agua que no estén siendo utilizadas, botar basura y desperdicios en los recipientes dispuestos para ello, no botar al ambiente aceites y otros contaminantes. • Bienes de la Empresa: Se debe proteger y cuidar los bienes de la empresa, utilizándolos para el objetivo que se ha previsto. No deben ser utilizados para su beneficio personal o de cualquier otra persona que no sea la empresa. • Uso del sentido común. Por ejemplo, las llamadas por teléfono o correo electrónico personal efectuadas ocasionalmente desde su lugar de trabajo son aceptables pero en un tiempo excesivo, es un uso indebido de los bienes de la empresa. • La política de la empresa y, en beneficio de los trabajadores, puede permitir el uso personal adicional de determinados bienes, por ejemplo un vehículo de la empresa o un teléfono celular. Revise y analice las restricciones que el uso personal tiene sobre esos bienes de la empresa y que, en consecuencia, se utilicen según lo previsto. • La apropiación de los bienes de la Empresa, ya sea el robo físico, como el retiro no autorizado de un producto, equipo o información de la empresa o robo a través de desfalco o información falsa intencional de uso de recursos, horas o gastos, puede dar lugar al término de contrato y a un proceso penal. La Empresa considera el robo o apropiación indebida en el lugar de trabajo de bienes pertenecientes a otros trabajadores de la misma manera que considera el hurto de los bienes de la Empresa. • No se acepta el uso de los bienes de la empresa fuera de sus responsabilidades con ésta. Por ejemplo, el uso de herramientas, equipos o instalaciones de la empresa para fines personales o externos. Es posible que ocasionalmente se autorice el uso de éstos para otros fines (personales o de terceros) en cuyo caso se requiere la aprobación previa, por escrito, de la Gerencia. Por ejemplo, cuando una escuela local o Junta de Vecinos solicita en préstamo un proyector de video, etc. • Cada trabajador de la empresa se ha comprometido a prestarle servicios personales a ésta, en el estricto cumplimiento de determinado horario. Participar o realizar actividades personales durante el horario laboral que interfieran o le impidan cumplir con sus responsabilidades laborales es una falta grave a este Código de Ética y un incumplimiento a las obligaciones contractuales contraídas. • No utilice las computadoras y los equipos de la empresa para negocios externos, usos personales sin relación con sus labores, ni para actividades ilegales o no éticas tales como juegos on-line, descarga de música o videos, juegos de azar, pornografía u otro tema ofensivo o no ético. • No aproveche para sí mismo una oportunidad de beneficios económicos de la que tuvo conocimiento debido a su cargo o a través del uso de un bien o información de la empresa. • Son recursos de la empresa, entre otros: productos en proceso o terminados; tiempo de los trabajadores en su horario de trabajo; equipos, sistemas y programas de computación; teléfonos, fotocopiadoras, maquinarias, información confidencial, marcas comerciales; bases de datos de trabajadores, clientes y proveedores.   Política de comunicaciones. La  función  de  Compliance  velará  por  que  la  organización  disponga  de  un  conocimiento  actualizado  de  las  obligaciones  de  Compliance  cuyo  riesgo  de  incumplimiento previene, detecta y gestiona operando el Programa de Compliance que tiene asignado. Puesto que el volumen y naturaleza de las obligaciones de Compliance  sobre  las  que  se  proyectan uno o varios Programas de Compliance pueden ser amplios, especialmente en las superestructuras de Compliance, los cometidos de seguimiento y actualización de las mismas pueden recaer en otras funciones o áreas especializadas en la organización. En tales casos, la función de Compliance se asegurará de que existe una atribución de responsabilidad en tal sentido hacia las funciones o áreas correspondientes, y de que desempeñan razonablemente tal cometido. La función de Compliance velará por que las normas o documentos de los que deriven  obligaciones  de  Compliance  sean  accesibles  a  los  representantes  de  los colectivos que precisen consultar sus contenidos. La función de Compliance se asegurará de que la función o área de la organización que tenga  atribuida  la  responsabilidad  del  seguimiento  de  las  obligaciones  de  Compliance,  cuando  no  sea  la  propia función de Compliance, facilita el acceso a sus contenidos a las personas que lo precisen. La  función  de  Compliance  tratará  que  las  obligaciones  de  Compliance derivadas  de  las  normas  o  documentos  anteriores  sean  comprendidos  por  los  individuos a los que afecte, impulsando las acciones de formación y concientización oportunas.   Política de confidencialidad. El objetivo de esta Política es establecer los requisitos bajo los cuales, cada uno de los miembros de una Empresa deben tratar la información originada en el ámbito de la misma, protegiendo dicha información, así como evitando su divulgación no autorizada a terceros que pudiera poner en riesgo el cumplimiento de los objetivos de la sociedad. Será considerada información confidencial: ▪ La información interna declarada explícitamente como confidencial y la de terceros entregada bajo acuerdo de confidencialidad. ▪ Datos de trabajadores, proveedores y demás terceras personas relacionadas con la empresa que no hayan sido difundidos públicamente por MA o por los propietarios de los datos. ▪ Documentación relacionada con las actividades de las distintas áreas de la Empresa que no haya sido difundida públicamente por las mismas. La difusión de información confidencial, ya sea de manera intencionada o accidental, puede ocasionar graves perjuicios en la imagen de una empresa y en las relaciones con trabajadores y terceras personas vinculadas con él. Por ello, con el objeto de garantizar que la información se utilice con el grado de secreto y confidencialidad necesarios, se establecen las siguientes pautas: ▪ Todos los trabajadores deberán cumplir con el deber de discreción, secreto y confidencialidad en relación con la Información Confidencial de la que disponen para el ejercicio de las tareas propias de su puesto de trabajo o de las correspondientes a su participación en los diferentes comités o grupos existentes en la empresa. ▪ Se utilizará la información con fines legítimos y de forma honesta y responsable, y se dará cumplimiento a lo dispuesto en la Ley de Protección de Datos y demás normativa que vele por la confidencialidad de la información. ▪ Se deberá cumplir con el deber de confidencialidad, según lo dispuesto en los contratos suscritos con los diferentes clientes, proveedores, y demás terceras personas vinculadas con la empresa. ▪ Ningún trabajador deberá, ni durante la vigencia de su relación societaria/laboral, ni una vez finalizada ésta, difundir información confidencial sin la debida autorización de la empresa. Se deberá informar con carácter inmediato al superior jerárquico sobre: • Cualquier uso, difusión y/o publicación de información confidencial por parte de otros trabajadores. • Cualquier intento realizado por un tercero ajeno de obtener información confidencial de cualquier empleado. Mecanismos establecidos para garantizar la confidencialidad: ▪ Firma de un compromiso de confidencialidad, en el momento de la incorporación de un trabajador. ▪ Incorporación de una cláusula de confidencialidad en los contratos firmados por la empresa. ▪ Firma de un documento de confidencialidad por parte de los contratistas, subcontratistas, consultores, y demás individuos o entidades ajenas, que tengan acceso a información privada y confidencial de ésta, en el desarrollo de su trabajo. ▪ Accesos restringidos a la información disponible en la red informática interna.

Política de conflicto de intereses. La definición del llamado “conflicto de interés” pasa por aquellas circunstancias generadoras de los mismos que son aquellas en las que se produce un conflicto entre los intereses de una empresa o determinadas personas vinculadas a la misma o a su grupo empresarial, y las obligaciones de dicha empresa respecto de un cliente; o entre los diferentes intereses de dos o más de sus clientes ante los cuales la empresa en cuestión mantenga obligaciones de índole económica o jurídica. El Art. 85 de la Ley de Contrato de Trabajo sobre el deber de fidelidad: “El trabajador debe observar todos aquellos deberes de fidelidad que deriven de la índole de las tareas que tenga asignadas, guardando reserva o secreto de las informaciones a que tenga acceso y que exijan tal comportamiento de su parte”. El Art. 88. de la Ley de Contrato de Trabajo sobre el deber de no concurrencia: “El trabajador debe abstenerse de ejecutar negociaciones por cuenta propia o ajena, que pudieran afectar los intereses del empleador, salvo autorización de éste”; Los Arts. 248; 271 y 272 de la Ley General de Sociedades y Art. 4° inc. 3 del Capítulo II, Título XII de las Normas de la Comisión Nacional de Valores (NT 2013), sobre conflictos de intereses en las sociedades; Para identificar los tipos de conflictos de interés que pueden surgir al prestar cualquier clase de servicios, cuya existencia pueda menoscabar los intereses de un cliente, habitualmente se ha de tener en cuenta como mínimo, si la empresa o una persona competente de la misma, tales como: (i) administrador; (ii) socio; (iii) gestor o (iv) empleado de la misma, o incluso (v) una persona directa o indirectamente vinculada a dicha empresa mediante una relación de control, se pudiera encontrar en alguna de las situaciones siguientes que propicie la situación del mencionado conflicto, sea como consecuencia de la prestación de servicios, o por otros motivos: a). Si la empresa o la persona considerada pudiera obtener un beneficio o evitar una pérdida, a expensas del cliente. b). Si la empresa o la persona considerada tuviera un interés en el resultado de un servicio prestado al cliente, o de una operación efectuada por cuenta del cliente que sea diferente del interés del cliente en el resultado que pudiera producirse. c). Si La empresa o la persona considerada tuviera incentivos para favorecer los intereses de otro cliente o grupo de clientes, frente a los intereses del propio cliente. d). Si la empresa o la persona considerada desarrollara la misma actividad que ejerciera el cliente. e). Si la empresa o la persona considerada recibiera o pudiera recibir de una persona diferente del cliente, un incentivo, en relación con unservicio prestado al cliente sea de la naturaleza que sea, citándose a título de ejemplo los siguientes: en forma de dinero, de bienes o servicios, aparte de la retribución habitual correspondiente, que se perciba por la realización der ese servicio. La política que se establezca viene a exigir habitualmente de manera explícita la formalización, por escrito, de la “Política de gestión de los conflictos de interés”. Por ello, la estructura de las políticas de prevención de dichos conflictos a título de ejemplo, puede ser representada de la manera que se indica a continuación: a). Identificación de potenciales conflictos de interés. b). Criterios generales de gestión de conflictos de interés (aspecto sobre el que informar a los clientes dentro de la “Política de gestión de conflictos de interés”). c). Procedimientos de registro de servicios o actividades que originan conflictos de intereses. d). Formación y comunicación interna en materia de conflictos de interés. e). Comunicaciones y advertencias a clientes en materia de conflictos de interés. f). Tratamiento de operaciones personales. Entre los principales métodos que pueden utilizar para gestionar conflictos de interés reales o potenciales, aunque no se trate de una lista exhaustiva, destacan los siguientes: a). La existencia, bajo la responsabilidad directa del Comité de Dirección, de un Departamento de Cumplimiento independiente cuya misión radica en llevar a cabo. b). El seguimiento de la prevención, identificación y gestión de los conflictos de intereses. c). Los procedimientos y sistemas para identificar situaciones específicas donde existan intereses contrapuestos d). El seguimiento de la operativa por cuenta propia de los empleados de sujetos a lo dispuesto en el Código de conducta y en la Política de gestión de operativa por cuenta propia. e). La supervisión y aprobación por los comités de productos, independientes de los representantes de la empresa directamente implicados, cubriendo (entre otras cuestiones) fijación de precios, colocación y estructura de transacciones y productos. f). La supervisión de los contactos entre y dentro de los negocios en los que sus clientes tengan intereses adversos o que estén en competencia con los clientes de otras unidades de negocio g). Las políticas y procedimientos que garanticen un tratamiento justo y/o igual de los clientes o clases de clientes h). La regulación de la inversión personal y las actividades comerciales de los empleados por parte del Departamento de Cumplimiento para evitar conflictos de intereses que surjan en contra de los intereses de los clientes i). La formación de empleados j). Las normas que rijan la aceptación y otorgamiento de incentivos, incluyendo la divulgación de dichas disposiciones a los clientes k). La divulgación general o específica de conflictos de intereses a clientes cuando resulte necesario, incluidos, de forma no exhaustiva, los casos en que no se considere posible disponer de unas disposiciones suficientes para evitar o gestionar con plenas garantías un conflicto de intereses.   Sistemas de Reporte de incumplimiento (líneas de denuncia y seguimiento de reportes). La  organización  procurará  establecer  uno  o  varios  canales  a  través  de  los  cuales  empleados  y  eventualmente  terceros  puedan  realizar  comunicaciones  confidenciales relacionadas con el Código Ético, Código de conducta o norma de alto nivel equivalente. La función de Compliance intervendrá en la supervisión de la tramitación de reclamaciones o denuncias a través de los canales internos que tenga establecida la organización. Sus responsables y, en caso de concurrir, el máximo representante de la función de Compliance estarán directamente involucrados en estos cometidos. La  función de  Compliance velará  para  que  los  canales  internos  de  denuncia  sean fácilmente accesibles, conocidos, confidenciales y garanticen los derechos de que sean titulares las personas cuyos datos sean tratados, garantizando la no adopción de represalias frente a comunicaciones realizadas de buena fe. Búsqueda de orientación. Las empresas deben ofrecer algún modo para que los empleados y socios comerciales presenten preguntas, busquen orientación o sugieran mejoras al programa anticorrupción. Ello se puede lograr por medio de la designación de una persona o un departamento dedicado dentro de la empresa o por medio de una línea telefónica de ayuda. El apoyar a los empleados y socios comerciales en la interpretación práctica de las políticas y los procedimientos de la empresa facilita la comunicación y confianza entre el departamento de cumplimiento y los empleados individuales y socios comerciales. También ayuda a identificar áreas de inquietud en las que se pudiera necesitar apoyo y capacitación adicional (v. gr., en relación con la provisión de regalos a los socios comerciales). Las empresas pueden establecer una línea telefónica interna, que puede ser conocida como la línea de ayuda o por alguna otra expresión neutral similar. La línea de ayuda también puede ser provista por proveedores de servicios externos. Detección de infracciones. Las empresas pueden recurrir a diversas fuentes internas y externas para detectar las infracciones a sus políticas y procedimientos anticorrupción. Las empresas podrían preferir la detección de infracciones por medio de fuentes internas para evitar las posibles consecuencias negativas relacionadas con las infracciones, como el daño a la reputación ocasionado por informes públicos sobre corrupción. Ello puede incluir la capacidad de responder a las acusaciones con un mecanismo propio, que permita averiguar las circunstancias, y con los procedimientos apropiados. Sin embargo, esas investigaciones internas suelen ser percibidas como invasivas, tanto en la esfera empresarial como en la esfera privada de los empleados. Por lo tanto, suelen ser vistas con suspicacia y temor. Para contrarrestar esa percepción y otras, es una buena práctica garantizar tanta transparencia como sea posible en torno al tema de las investigaciones. Ello se logra haciendo un mapeo gráfico del proceso que represente claramente los pasos de la investigación y describa quién es responsable de cada paso, y que además demarque las interacciones con otros departamentos. Esos pasos pueden incluir la obtención de un mandato para realizar una investigación interna, hacer los sondeos y la planificación para la investigación, efectuar la investigación, publicar y evaluar legalmente los resultados (v. gr., con respecto a la cooperación con las autoridades, como se describe en la sección L). Esa transparencia sirve para calmar cualquier inquietud de los empleados, y también puede usarse para explicar a las otras partes interesadas, el personal directivo, los sindicatos, etc., qué pueden esperar cuando se realiza una investigación interna. El mapeo también ayuda a tener claridad y facilita la orientación en el trabajo diario del investigador. El proceso de investigación también debe basarse en los buenos principios consagrados dentro del estado de derecho, que incluyen,  por ejemplo, la presunción de inocencia, el derecho a ser escuchado y la preservación de la integridad de una investigación a través del principio de “quién tiene necesidad de saber”. La protección de la confidencialidad con respecto a las personas o el contenido también demuestra respeto por los requisitos legales de privacidad de los datos. Por último, las empresas tienen que garantizar que esta preferencia por la detección a través de fuentes internas no impida el desarrollo de un ambiente basado en la confianza. El personal directivo debe recibir informes periódicos de las faltas de conducta o prácticas irregulares detectadas, creados a partir de fuentes internas y externas. Denuncia de infracciones. La denuncia de infracciones puede definirse como la divulgación de información sobre casos reales o percibidos de corrupción en la empresa a personas u órganos que se considera que pueden emprender acciones. Los denunciantes han sido reconocidos como una fuente importante para la detección de faltas de conducta, dado que la corrupción puede abarcar un alto grado de complejidad y un sistema sofisticado para encubrir la evidencia. La denuncia de infracciones puede ser muy valiosa para la lucha contra la corrupción, ya que los denunciantes normalmente son personas de adentro que pueden ofrecer información que no sería detectada o no estaría disponible a través del sistema de control interno de la empresa. La información no siempre constituye evidencia, pero puede servir para señalar una falta y llevar a las autoridades institucionales a lanzar una investigación. Las empresas pueden desarrollar un conjunto de mecanismos de apoyo para facilitar la denuncia de infracciones. Las infracciones pueden denunciarse directamente a los superiores o al departamento de cumplimiento de la empresa. Alternativamente, dado que los empleados podrían no siempre sentirse cómodos procediendo de esa manera, las empresas pueden designar a una persona de mucha confianza como ombudsman. Las empresas también pueden establecer una línea interna para denuncias. Esa línea de denuncia también puede ser utilizada por proveedores de servicios externos. El departamento de cumplimiento, las líneas internas de denuncia o el ombudsman pueden propiciar la denuncia de infracciones por parte de los empleados y socios comerciales con confianza y sin riesgo de represalias. Este último punto es de la mayor importancia al establecer mecanismos efectivos de denuncia. Las empresas tienen que abordar el riesgo de represalias para los que denuncian faltas de conducta de sus colegas, pares o superiores. Los estudios han revelado que el miedo a las represalias, que pueden asumir la forma de la pérdida del trabajo, el acoso de los pares o a restricciones en las condiciones y el acceso al lugar de trabajo, es la principal razón por la que los posibles informantes optan por permanecer en silencio. Para aliviar el miedo a las represalias, las empresas pueden facilitar la denuncia estableciendo una política que declare abiertamente que se espera que se denuncien las infracciones y los incidentes que se presencien. Esa política debe declarar explícitamente que ningún empleado o socio comercial será discriminado o despedido debido a la denuncia legítima de faltas de conducta relacionadas con la corrupción. Las empresas deben asegurarse de que la información provista por los denunciantes sea tratada con un procedimiento de seguimiento rápido y estructurado y que el curso de acción posterior que se asuma sea comunicado al denunciante. Si hay personas que consideran que la denuncia no conduce a nada, podrían sentirse desmotivadas para denunciar casos futuros o podrían acudir a instancias externas.   Identificación de señales de alerta (red flags). El programa de evaluación de riesgos debe de centrarse sólo en los posibles delitos que puede cometer la empresa; muchas de ellas no tendrán riesgos en el delito de trata de seres humanos pero otras empresas por ejemplo sí que pueden tener este riesgo. En este sentido más adelante escribiré un artículo especifico sobre qué podemos realizar un análisis de riesgos. En ese artículo tan sólo vamos a analizar los riesgos penales ( y sólo los que la empresa pueda tener un beneficio directo o indirecto) Pero podemos realizar análisis sobres riesgos legales, o incluso sobre delitos que la empresa aunque no vaya a obtener un beneficio directo o indirecto queramos tenerlo en cuenta; por ejemplo, en empresas donde se trabajar con niños, puede ser que exista un riesgo que monitores puedan abusar de niños; en este sentido la empresa no obtendría ningún beneficio directo o indirecto, pero si pasa en nuestra empresa este delito, el daño a la imagen es grandísisimo y por tanto forme parte de nuestro análisis de riesgo. La gestión de riesgos en la empresa tiene 3 Fases.   A) LA PRIMERA FASE ES LA IDENTIFICACIÓN DE LOS RIESGOS. Antes de comenzar a realizar el análisis de riesgos debemos de ser conscientes de que el sistema que sigamos para analizar los riesgos debe de ser simple; he visto como muchos consultores, o compliance officer,  se hacen unos líos mentales bastantes importantes y al final eso no vale para nada, porque hay empresas que son más pequeñas, o porque directamente la dirección no entiende nada y se termina por no utilizar; Deberemos de seguir la máxima de la sencillez a la hora de realizar nuestro sistema de análisis de riesgo, y luego más adelante mejorarlo poco a poco. Una vez sabido esto debemos de identificar los riesgos penales que la empresa puede estar expuesta y no hay otra manera que analizar la empresa en profundidad, tenemos que empezar por analizar la empresa de una forma genérica: PRIMERO: Analizaremos el contexto de la empresa en su conjunto; Cual es el objeto social de la misma (podemos verlo en las escrituras de la empresa), las actividades que hacen, los productos que venden, y cuáles son los canales de distribución de los mismos, incluso las zonas geográficas puede ser un buen indicador ( si la empresa actúa en zonas donde hay grupos criminales puede ser que  tenga un riesgo de cometer determinados delitos si los grupos criminales les piden financiación) SEGUNDO: Debemos de seguir analizando quienes son los socios, los proveedores, clientes, etc… por si podemos detectar algún riesgo. Analizaremos si la empresa tiene contratos con Administraciones públicas ( para comprobar y analizar que no podamos cometer un delito de tráfico de influencias por ejemplo, o en general contra la Administración pública). Concretamente suelo poner mucho énfasis en los procesos operativos; Por ejemplo si alguien está encargado de la compra de un material a un proveedor, como se hace todo ese proceso. Desde que se pide hasta que entra en la empresa; Imaginemos que nuestro empleado de compras necesita dinero para su familia y pide comisiones para comprar con ese proveedor. En este sentido me gusta analizar todos los procesos de la empresa, compra, ventas, marketing, cajas, departamento financiero etc.. Es muy importante a la hora de realizar la identificación de riesgos penales el que tengamos delante un organigrama de la empresa y podamos ir departamento por departamento. TERCERO: Igualmente conviene hacer un inventario de personal apoderado, y de quien toma las decisiones, y como se hace de forma detallada. Número de empleados de la empresa (cuantos más empleados en la empresa, más probabilidad de poder cometer un delito. CUARTO: Detectar si la empresa presta servicios de con algún impacto medioambiental, o maneja explosivos, sustancias inflamables o corrosivas; en general analizar si la empresa tiene alguna actividad de riesgo. Ya hemos hablado de destripar a la empresa en todos sus sentidos; en el análisis de riesgos podemos ver un ejemplo de ello: imaginemos un hospital; un hospital que necesita muchas medicinas, mucho material quirófano, medicamento etc.. hay siempre alguien que está encargado de decir que se ha agotado tal medicamento, quizás haya otro que sea quien lo encargue, y más tarde llega a un proveedor, o varios proveedores que encargan este productos que se agotado. Entre medias estoy seguro que alguien se encarga de pedir varios presupuesto al mejor postor. Todos estos procesos hay que conocerlos y analizarlos, porque de este destripamiento, es donde se ven los posibles riesgos; QUINTO: Una de las partes fundamentales de la evaluación de riesgos es saber que tenemos que tener en cuenta los factores externos de la empresa. Si la empresa por ejemplo opera en países que tienen un alto grado de corrupción, nos dará una pista de posibles delitos que la empresa puede cometer; también como factor externo podemos tener que la empresa esté en un sector en el que el perfil del sector sea un factor de riesgo bastante alto; por ejemplo empresas de transporte que viajan a otros países. También debemos de analizar la situación económica de la empresa: Otro aspecto a valorar de cara a determinar la probabilidad de comisión de un delito del que la empresa pueda resultar penalmente responsable es la situación económica en la que se encuentre, entendiéndose que cuando una entidad atraviesa dificultades económicas puede existir un mayor grado de probabilidad de comisión de delitos a partir de la realización de acciones de las que la empresa pueda obtener un beneficio económico o ventajas frente a sus competidores. Por ejemplo, en estas circunstancias podría incurrirse en delitos que pudieran afectar a competidores (daños informáticos, propiedad industrial, etc.) o delitos relacionados con el órgano regulador (cohecho o tráfico de influencias) para tratar de posicionarse nuevamente en el mercado. En un primer momento si sólo realizamos el análisis de riesgos sobre el titulo del delito, no estaría mal, pero está claro que es mejor descender un poco en las diferentes formas de cometer esos delitos para que refleje la realidad de la empresa; y pongo un ejemplo: Puede ser que en nuestra empresa nos aplique el delito contra la salud pública porque tratamos alimentos y puede ser que exista un riesgo en el sentido de dar alimentos caducados o en mal estado, ( la empresa obtendría un beneficio a la hora de ahorrarse una compra de alimentos en buen estado) tenemos claro que el delito contra la salud pública lo tenemos identificado, pero está claro que dentro del delito contra la salud pública tenemos el delito de tráfico de droga, y por tanto aunque nos aplique el delito contra la salud pública, no nos aplica el delito de tráfico de drogas. Pues bien, una vez realizado este análisis general de la empresa tendremos lo que se llama la IDENTIFICACIÓN DE LOS RIESGOS, y el análisis especial mediante el checklist, tendremos un inventario de posibles delitos que la empresa puede cometer. Tenemos lo que podemos denominar una brocha gorda de posibles delitos. Ahora tenemos que analizar estos riesgos que hemos identificado;   B) LA SEGUNDA FASE ES HACER UN ANÁLISIS DE LOS RIESGOS. De los posibles delitos que hipotéticamente la empresa puede ser que cometa, debemos de analizar,  preguntarnos la probabilidad que esa empresa cometa ese tipo de delito, y en el caso de que esa probabilidad se de, el impacto que tendría en nuestra empresa; •             La probabilidad de que ese delito pueda ocurrir en nuestra empresa puede calcularse en base a: el número de empleados que tiene la entidad y los controles que tienen puestos para que ese delito no se cometa o incluso valorando si ese delito ha sido cometido en la empresa con anterioridad. Por ejemplo, tener a los trabajadores, trabajando en una situación con mucho peligro. El riesgo lo vamos a valorar de 1 a 5. Si en la empresa hay 100 trabajadores yo creo que la probabilidad es muy alta, le doy un valor de 5. Y además me dicen en la empresa que no cumplen con la Prevención de riesgos laborales, pues le doy otro 5. Por tanto la media de 5 y 5 es 5, la probabilidad de que cometan ese delito es 5, o lo que es lo mismo, muy alta. En cambio si la empresa me dijera que tiene implantada la Ley de prevención de Riesgos Laborales, le daría en ese aspecto del 1 al 5, un 2, dependiendo de cómo tengan implantado esta prevención. •             En cambio el impacto podemos manejar valores como la Imagen, es decir, el daño reputacional que nos hace a la empresa en caso de que en la empresa ese delito ocurra. Los riesgos operacionales como que nos cierren la empresa, Las posibles sanciones que podemos obtener si se comete el delito; Igualmente podemos valorarlo del 1 al 5; La media de la probabilidad y del impacto nos da el resultado final; Resultado que previamente teníamos que haber definido que todo lo que sea superior a 3 o a 4, vamos a considerarlo como un riesgo, y por tanto vamos a implantar controles para prevenir ese delito.   C) POR ULTIMO Y TERCERA FASE LA EVALUACIÓN DEL  RIESGO. Una vez detectados los riesgos que la empresa puede cometer, tenemos que pasar al siguiente paso que es poner procedimientos para que no sucedan.   Prevención de riesgos con terceras partes: due diligence de terceros relacionados (agentes, representantes, proveedores, socios de negocios). Aplicación del programa anticorrupción a los socios comerciales. Las empresas operan en entornos complejos y se relacionan a diario con diversossocios comerciales, como proveedores, contratistas, agentes, sucursales y empresas conjuntas. El nivel de interacción con esos socios varía, y podría incluir relaciones informales, relaciones contractuales individuales o la integración estrecha de actividades comerciales. El nivel de influencia que tienen las empresas sobre sus socios también varía. Aunque algunos socios comerciales se mantienen completamente independientes, otros pueden actuar en representación de la empresa o estar relacionados financieramente a través de inversiones pequeñas o grandes. Aunque la relación con socios comerciales es necesaria para hacer negocios, también puede representar riesgos considerables para las empresas con respecto a la corrupción. Las empresas que se relacionan con socios comerciales que tienen estándares anticorrupción más bajos pueden enfrentar investigaciones de corrupción o, incluso, ser responsabilizadas por el comportamiento inadecuado de sus socios. Las empresas no deben hacer caso omiso de los actos de corrupción de sus socios comerciales. Las leyes nacionales responsabilizan cada vez más a las empresas por las infracciones de sus socios comerciales. Adicionalmente, la reputación de una empresa se puede ver gravemente afectada si se le asocia con un socio corrupto. Esta sección describe los distintos tipos de relaciones comerciales y resalta prácticas clave que pueden establecer las empresas para reducir el riesgo de corrupción en esas relaciones. Las empresas se relacionan con una amplia gama de socios comerciales sobre los cuales tienen distintos grados de control o de influencia determinante. El tipo de relación influye tanto en la exposición al riesgo como en el nivel de influencia sobre los socios para cumplir las políticas y los procedimientos anticorrupción. Esta sección describe cinco tipos de relaciones comerciales: • Sucursales; • Filiales; • Empresas conjuntas; • Agentes e intermediarios; y • Contratistas y proveedores. La categorización de los distintos tipos de relaciones permite a las empresas evaluar adecuadamente los riesgos relacionados con cada tipo de relación y establecer prácticas de mitigación para cada una. En general, se aconseja a las empresas establecer políticas que exijan normas similares a los socios comerciales sobre los cuales tienen control e influencia determinante efectivos. Las empresas deben además alentar a otros socios a que adopten esas normas. Las prácticas de diligencia debida para seleccionar y supervisar las relaciones comerciales, además de los procesos para respaldar la adaptación de las normas, deben ser definidas claramente y estar basadas en los riesgos identificados. Todos los socios comerciales deben ser conscientes de las políticas y los procedimientos y las consecuencias de no cumplirlos. La identificación de distintos tipos de socios comerciales también facilita una reacción efectiva en caso de que se detecte un incumplimiento de las normas. Selección de socios comerciales. Las empresas deben ejercer la diligencia debida al seleccionar a los socios comerciales, incluso para las fusiones y adquisiciones. Ello no solo debe aplicarse a los aspectos estratégicos, comerciales, operativos y de la reputación, sino también a los riesgos de corrupción. La selección de los socios comerciales debe basarse en un proceso claro, complementado con requisitos estrictos de documentación, para prevenir irregularidades (v. gr., conflictos de intereses en la selección de proveedores).  Se debe ejercer la diligencia debida antes de relacionarse con un socio comercial para identificar los problemas existentes, los riesgos posibles y las actividades de mitigación para minimizar esos riesgos. El alcance y la intensidad de la diligencia debida en la selección de socios pueden determinarse a través de la evaluación general de riesgos de la empresa. Por ejemplo, los proveedores en una industria o país particularmente riesgosos pueden ser sometidos a un proceso de diligencia debida más minucioso antes de establecer una relación. Ejercer la diligencia debida puede incluir los exámenes normales de las áreas relacionadas con la corrupción, pero también puede incluir exámenes sobre áreas de riesgo más detallados y específicos de esa relación, como: • Exámenes de la situación legal y el tipo de organización del socio comercial, incluyendo la jurisdicción en la que fue constituido; • La evaluación de las estructuras de dependencia y titularidad financiera o institucional del socio comercial (v. gr., una empresa que sea propiedad parcial del gobierno); • La determinación de cualquier conflicto de intereses del personal clave del socio comercial; • La evaluación del compromiso anticorrupción del personal directivo del socio comercial (v. gr., participación activa en iniciativas voluntarias anticorrupción); • La acumulación de información sobre la reputación del socio comercial (v. gr., a través de consultas a otros socios, asociaciones comerciales locales, embajadas); • El examen de su trayectoria con respecto a la corrupción (v. gr., incidentes previos, retiros de licencias); • La evaluación de la calidad del programa anticorrupción existente del socio comercial. La diligencia debida debe permitir la identificación inicial de indicadores de alerta que señalen los riesgos jurídicos, comerciales y operativos, y los riesgos que implica para la reputación la relación con ese socio comercial. Sobre la base de la diligencia debida inicial y el nivel de exposición al riesgo, las empresas deben establecer actividades de mitigación pertinentes para minimizar los riesgos. Esas medidas pueden ser un compromiso formal y escrito del socio comercial con el código de conducta de la empresa, su participación en programas de capacitación o la provisión de información sobre el programa anticorrupción del socio comercial. En los casos en los que la empresa no pueda obtener suficiente información o no pueda alentar al posible socio comercial a participar en actividades de mitigación del riesgo, la empresa no deberá relacionarse con ese socio y procurará buscar alternativas. Supervisión de los socios comerciales. Sobre la base de la diligencia debida inicial se puede determinar el alcance, la frecuencia y el enfoque de la supervisión del comportamiento del socio comercial. El alcance de la supervisión puede variar considerablemente, dependiendo de la exposición total al riesgo del socio. En el caso de los proveedores en países de bajo riesgo, podría bastar con la verificación de la existencia de una declaración formal escrita en la que se comprometen a cumplir las normas de la empresa. En las áreas de alto riesgo, o cuando se relacionen con socios críticos, las empresas podrían optar por efectuar un análisis exhaustivo del programa anticorrupción del socio, incluyendo entrevistas con todas las partes interesadas y evaluaciones de expertos. Dependiendo del nivel de exposición al riesgo, la empresa decidirá el enfoque apropiado para supervisar al socio comercial, que puede ser uno de los siguientes: • Autoevaluación: Las empresas pueden exigir que sus socios comerciales les provean información sobre la situación de su programa anticorrupción a través de un formulario de autoevaluación; • Investigaciones propias: Las empresas pueden efectuar sus propios análisis para evaluar la calidad y el alcance del programa anticorrupción del socio, ya sea basándose en investigaciones y antecedentes o involucrando directamente al socio; y • Evaluación o valoración independiente: Las empresas pueden decidir obtener o exigir algún tipo de evaluación o valoración independiente de terceros confiables (v. gr., contadores, peritos independientes) que evalúen el grado de calidad y el alcance del programa anticorrupción del socio. Cómo motivar a los socios comerciales para que se adhieran a las normas de la empresa. Los socios comerciales sobre los cuales la empresa matriz tiene control efectivo pueden estar obligados a cumplir las normas anticorrupción de la empresa matriz. En el caso de otros socios comerciales con los cuales la empresa no tiene influencia suficiente como para exigirles adhesión a sus normas, se tienen que considerar medidas que alienten a los socios comerciales, ya sea penalizando el incumplimiento de las normas anticorrupción (sanciones) o recompensando la adhesión o la superación de las normas (incentivos). Las empresas pueden considerar diferentes opciones, como se describe a continuación, que pueden ser aplicadas directamente a los socios comerciales o en un esfuerzo conjunto con otras partes interesadas: • Las sanciones comerciales para los socios comerciales pueden incluir: la terminación de las relaciones (v. gr., la cancelación de un contrato de suministro), la exclusión de oportunidades comerciales (v. gr., el retiro de la licencia para participar en contratos) o la asignación de condiciones desfavorables (v. gr., costos de financiamiento más elevados debido a una prima de riesgo más alta). Los incentivos comerciales para los socios comerciales pueden incluir: el acceso a oportunidades comerciales (v. gr., condición de proveedor preferido) y la asignación de condiciones favorables (v. gr., menor frecuencia de supervisión del socio comercial); • Las sanciones legales son aplicadas primordialmente por el Estado. Esas sanciones incluyen multas, pagos de indemnización o incluso penas de prisión para los representantes. Sin embargo, las empresas también pueden intentar usar el sistema legal para aplicar sanciones a los socios comerciales. Por ejemplo, un cliente puede imponer una multa contractual a un proveedor por el incumplimiento de una cláusula contractual anticorrupción. De igual manera, el mismo cliente puede optar por reclamar una indemnización. Los incentivos de mitigación legal, que ofrecen a las empresas una reducción de una sanción relacionada con ciertas conductas, también son aplicados primordialmente por el Estado; y • Los incentivos y las sanciones relacionados con la reputación normalmente no son aplicados directamente por las empresas a sus socios comerciales, sino más bien a través de organizaciones de la sociedad civil. Esas medidas pueden incluir la publicación de un acontecimiento relacionado con la corrupción (v. gr., bajo la forma de una campaña o un artículo) o el análisis comparativo del desempeño comercial (v. gr., calificando a las empresas conforme a la divulgación de información sobre su programa anticorrupción). En los casos en los que las empresas apliquen sanciones a sus socios comerciales por violar sus políticas y procedimientos anticorrupción, se deben considerar los incentivos a la mitigación para rehabilitar a las empresas que muestran un mejor comportamiento anticorrupción.

Gestión de riesgos del personal propio. Investigaciones, background checks. Proyectar internamente los procedimientos de diligencia debida supone una cuidada selección de las personas que se incorporan a la organización -normalmente en régimen laboral- desde la perspectiva de Compliance. Algunos estándares señalan expresamente la conveniencia de realizar una comprobación del personal que accede a cargos de control y supervisión, como son, por ejemplo, los propios responsables del programa de Compliance (US Sentencing Commission Guidelines). Visto desde una perspectiva más amplia (ISO 19600), se trata de cerciorarse de que las personas de la organización disponen de las competencias necesarias para desarrollar su trabajo y asumir sus obligaciones de Compliance. Y esto hace referencia a cualquier persona afectada por ellas, incluidas, lógicamente, las ubicadas en la primera línea de defensa y no limitándose a escrutar aquellas que ocupan funciones en la segunda o tercera. El término “competencias” tiene un significado amplio, y no se limita a la formación técnica sino también a la alineación con los compromisos asumidos por la organización. La diligencia debida en su proyección interna sigue también una aproximación basada en el riesgo, lo cual tiene consecuencias alejadas del pensamiento popular. Así, no es necesariamente cierto que el riesgo de Compliance en la empresa se concentre en su equipo directivo, puesto que cualquier persona involucrada en la gestión operativa (primera línea de defensa) eventualmente puede generar un nivel alto de exposición. Así, por ejemplo, en negocios de asistencia a colectivos desprotegidos (ancianos o niños, por ejemplo), las personas en contacto directo con ellos pueden desarrollar conductas contrarias a los mandatos de la Ley o la ética, susceptibles de perjudicar la integridad patrimonial o física de aquéllos, sin que ocupen una posición especialmente relevante en la jerarquía de la organización, para identificar aquellos colectivos susceptibles de participar en ellas y proyectar medidas tendentes a evitar que se materialicen (incluida la diligencia debida en su selección), con independencia de jerarquías. Sobre esta base podrás discriminar, siendo más laxo en colectivos sin capacidad de exponer a la empresa, concentrando los esfuerzos en los que sí pueden hacerlo. El área de Recursos Humanos (RR.HH.) suele ocuparse del proceso de selección e incorporación de personas en la empresa, ajustando su operativa a una política o procedimientos que determina los pasos a seguir. En tal caso, procede asegurar que incorpora las tres etapas que mencioné en el apartado anterior. Por ejemplo: • Una adecuada selección, revisando, dentro del marco legal, los antecedentes de los candidatos. Recuerda que estarás sometido a los límites que determine la normativa en materia de privacidad y no discriminación de las jurisdicciones donde opere la empresa, lo cual puede impedir que en algunos países solicites/obtengas determinada información o documentación sobre ellos, como certificados de antecedentes penales, por ejemplo. Sin embargo, no suelen existir restricciones para acceder y valorar con objetividad información exhibida pública y voluntariamente por el propio sujeto en redes sociales abiertas, por ejemplo. • Una adecuada contratación, incluyendo los compromisos contractuales procedentes en cuanto al conocimiento de las normas esenciales de la empresa y consentimiento en seguirlas. En esta etapa puede desempeñar un papel importante el contenido del denominado “welcome pack” y el modo en que se gestiona. • El seguimiento de la evolución del empleado, que no sólo aconseja una confirmación periódica de sus compromisos (conocimiento de las políticas que le afectan y ausencia de incidentes relacionados con ellas), sino también el establecimiento de indicadores de riesgo (Key Risk Indicators –KRI-) que permitan monitorizar su nivel efectivo de anuencia (mecanismo de risk metrics) y amparen incentivos o acciones de corrección. En cualquier caso, tanto la mecánica de confirmaciones periódicas como de risk metrics deben respetar lo establecido en la normativa laboral, existiendo allí un espacio evidente de interacción entre Compliance y RR.HH., especialmente importante para evitar incentivos que se puedan interpretar en clave de discriminación o acoso, o correctivos que eventualmente excedan las competencias legales de la empresa empleadora.   Documentación de Políticas Internas (metodología y modelos). La evaluación de un modelo de Compliance debería comenzar por analizar los documentos que lo describen. Adicionalmente, se deberían analizar también los documentos que provengan de su ejecución práctica (informes de seguimiento, auditorías, reportes internos o externos…). Estos documentos deberían custodiarse de manera ordenada y rigurosa. Atendiendo a la doctrina general, existen estándares que facilitan directrices sobre el modo de hacerlo: según la tipología de los documentos archivados, por las áreas o funciones a las que afectan, etc. Doble función de la gestión documental: Podríamos decir que una buena elaboración de documentos y su difusión tendría dos objetivos fundamentales: 1. Función divulgativa: Como ya hemos señalado en el punto anteriores, el nivel de difusión del modelo es muy importante a la hora de la adecuada instauración del mismo. De este modo, el hecho de que todos los miembros de la organización, en cada uno de sus niveles, tengan un conocimiento de la existencia del modelo, la comprensión de para qué sirve, y los beneficios y canales de su uso, implicará que los niveles de eficiencia en la instauración aumenten. Así, tanto la formación como la información serán claves en este aspecto. 2. Método de acreditación de evidencia: Cualquier sistema de control debe dejar evidencia de las tareas desarrolladas, tanto a nivel de contenido (existencia), como a nivel cronológico de las instauraciones, mejoras, supervisiones y aspectos relacionaos en la evolución del mismos (efectividad y continuidad). El concepto de “información documentada” es realmente amplio, abarcando cualquier soporte idóneo para dejar evidencia del Modelo de Compliance y su aplicación práctica. Podemos dividir los elementos documentales relacionados con el Compliance, en dos grandes grupos: - Documentos descriptivos: Aquellos consistentes en explicar las premisas del sistema, las medidas que la organización ha previsto para su funcionamiento, los códigos y recomendaciones desarrollados, y las tareas o instrucciones básicas a cada nivel de la organización en relación al sistema. - Documentos derivados de la ejecución práctica: Son los que se originan como consecuencia de las tareas desarrolladas por el propio órgano de cumplimiento, o aquellos profesionales, externos o internos, que evalúan el mismo. Así los informes o reportes de detección de riesgos, reportes de auditoría, seguimiento y control, los formularios de chequeo, test, actas de reuniones, reportes de denuncias, etc. Los documentos se crean, reciben y utilizan durante la realización de las actividades propias de cada organización. Para apoyar la continuidad de dichas actividades, cumplir con el marco reglamentario y facilitar la necesaria rendición de cuentas, las organizaciones (en nuestro caso el sistema de “compliance”) deberían crear y mantener documentos auténticos, fiables y utilizables, y proteger la integridad de dichos documentos durante todo el tiempo que sea necesario. Para lograr esto, las organizaciones deberían establecer y llevar a cabo un exhaustivo programa de gestión de documentos. Los principales aspectos que debería contener son: a. Determinación de los documentos que deberían ser creados en cada proceso de negocio y la información que es necesario incluir en dichos documentos; b. Forma y la estructura en que los documentos se deberían crear e incorporar al sistema, y las tecnologías que tienen que usarse; c. Determinación de los metadatos que deberían crearse junto al documento y a lo largo de los procesos relacionados con el mismo y cómo se vincularán y gestionarán dichos metadatos a lo largo del tiempo. d. Determinación de los requisitos para recuperar, usar y transmitir documentos durante los procesos o por otros posibles usuarios y los plazos de conservación necesarios para cumplirlos; e. Decidir cómo organizar los documentos de manera que se cumplan los requisitos necesarios para su uso; f. Evaluación de los riesgos que se derivarían de la ausencia de documentos que testimonien las actividades realizadas; g. Conservación de los documentos y políticas de permisos de acceso a los mismos a lo largo del tiempo, con objeto de satisfacer las necesidades de la organización y las autoridades. h. Cumplimiento de los requisitos legales y reglamentarios, las normas aplicables y la política de la organización; i. Ofrecer garantías de que los documentos se conservan en un entorno seguro. j. Garantizar que los documentos sólo se conservan durante el periodo de tiempo necesario o requerido; y k. Identificar y evaluar las oportunidades para mejorar la eficacia, eficiencia o calidad de los procesos, las decisiones y las acciones que puedan derivarse de una mejor creación o gestión de los documentos.   Documentación de Normas de Procedimiento (metodología y modelos). Libros y registros precisos. El sistema de controles internos exige que se mantengan libros y registros precisos. Los libros y registros son la base de los exámenes y balances de los controles de detección. Esos documentos también son importantes porque proveen evidencia en caso de que se identifiquen debilidades e irregularidades. La expresión “libros y registros” no solo se refiere a la documentación de transacciones financieras (aunque ésta es de la mayor importancia, como se describe a continuación). La expresión también incluye a otros registros que documentan las relaciones o actividades comerciales, como los contratos o los recibos de entrega. La empresa debe tener una política clara y procedimientos de apoyo (incluyendo controles internos) para mantener libros y registros precisos, que pueden incluir los siguientes elementos: • Todas las transacciones, activos y pasivos deben reflejarse de manera precisa y justa en los libros y registros de la empresa, descritos con razonable nivel de detalle e ir respaldados de la documentación original; • Todas las transacciones deben registrarse únicamente en los libros oficiales de la empresa. Las cuentas no registradas en libros deben estar prohibidas; • Las transacciones, los activos y pasivos deben registrarse a tiempo y en orden cronológico; • Los libros y registros deben salvaguardarse para evitar su destrucción intencional o involuntaria, alteraciones inadecuadas o no autorizadas, o su divulgación; • Los libros y registros no deben destruirse antes de que expire el plazo impuesto por las regulaciones legales; • Cada transacción debe registrarse de manera consistente de principio a fin; • Las transacciones deben tener un propósito genuino y legítimo; y • Los registros electrónicos deben mantenerse en un formato solo de lectura, que no se pueda borrar ni reescribir; deben estar organizados y ser producidos o reproducidos inmediatamente. Los pagos corruptos suelen hacerse desde cuentas bancarias o a través de provisiones de dinero en efectivo que no están documentados en los libros y registros financieros de la empresa (v. gr., cuentas que no estén registradas en los libros). Por lo tanto, las entradas y salidas de dinero en efectivo deben ser vistas como un área de riesgo, que tiene que mitigarse con políticas adecuadas sobre los libros y registros y con procedimientos de apoyo, como controles internos para la conciliación de pagos y exámenes de los pagos a paraísos fiscales. La Convención de las Naciones Unidas contra la Corrupción resalta en el párrafo 3 de su artículo 12 la importancia de llevar libros y registros para evitar la corrupción, y prohíbe diversos actos como el establecimiento de cuentas que no estén registradas en los libros, el registro de gastos no existentes o el uso de documentos falsos. Los libros y registros deben estar disponibles para ser revisados por el consejo de administración o un órgano equivalente, y también para los auditores internos y externos. Los auditores internos y externos también podrían inspeccionar las cuentas bancarias de la empresa y las relaciones entre sus representantes y los del banco (para evaluar un posible conflicto de intereses).   Comunicación y entrenamiento de programas de compliance. Las empresas que establecen un programa anticorrupción no solo deben garantizar que sus empleados y socios comerciales relevantes estén al tanto de sus políticas y procedimientos, sino que además tengan la información y las aptitudes necesarias para identificar y superar los desafíos relacionados con la corrupción. Las actividades de comunicación y capacitación regulares desempeñan una función clave en el proceso de concientización y en el compromiso con el programa anticorrupción. Esta sección analiza las consideraciones para la realización de actividades de comunicación y capacitación regulares, y describe los principales tipos de estas clases de actividades. Se destaca la importancia de la divulgación de información. La comunicación y capacitación sobre políticas y procedimientos anticorrupción de la empresa deben estar dirigidas a los empleados y los socios comerciales sobre los cuales la empresa tiene control efectivo o una influencia determinante. Las empresas también podrían considerar la inclusión de otros socios comerciales relevantes, como sus proveedores, en sus actividades de comunicación y capacitación para reducir el riesgo de corrupción. Por ejemplo, un director de ventas de un proveedor externo podría tratar de obtener una ventaja indebida ofreciendo un soborno al funcionario de contratación de la empresa. Las empresas podrían considerar convertir el cumplimiento de su programa anticorrupción en una obligación contractual para los socios comerciales de alto riesgo, y respaldarla con actividades de comunicación y capacitación. La comunicación y capacitación también deben incluir el proceso interno de reclutamiento y el externo de contratación. El conocimiento y la comprensión del programa anticorrupción de la empresa deben ser un criterio para el reclutamiento o el establecimiento de una relación comercial. La comunicación y capacitación deben proveerse de manera regular. Sobre la base de su perfil de riesgo individual y su tolerancia, la empresa debe decidir si las dirige a todos los empleados o únicamente a aquellos que probablemente estarán expuestos a los riesgos de corrupción. El personal interno puede recibir comunicaciones y participar en una capacitación estandarizada obligatoria al menos una vez al año, de modo que los mensajes clave del programa continúen siendo una prioridad en la agenda de todos. El personal directivo medio, que tiene la más alta visibilidad e interactúa más frecuentemente con sus empleados, desempeña también una función clave en la transmisión de los mensajes de comunicación y capacitación de la empresa. Los empleados y socios comerciales relevantes en procesos de alto riesgo, como la contratación y la logística, las industrias de alto riesgo u otras áreas de riesgo, pueden requerir comunicación y capacitación más frecuentes y personalizadas. Los requisitos específicos y la frecuencia de la comunicación y capacitación deben basarse en la evaluación general de riesgos. Además de las actividades regulares, la comunicación y capacitación también pueden estar vinculadas a ocasiones especiales o acontecimientos importantes, como: • Las actualizaciones sobre políticas internas o regulaciones legales externas; • Los cambios institucionales (v. gr., un nuevo director de cumplimiento); • Nuevos lineamientos internos o herramientas de apoyo; • Las asambleas anuales de accionistas; • Los acontecimientos de la temporada (v. gr., un boletín especial o la capacitación sobre regalos durante la temporada de invierno); • Acontecimientos nacionales o internacionales anticorrupción (v. gr., el Día Internacional contra la Corrupción (9 de diciembre)); • La participación en una iniciativa voluntaria, como el Pacto Mundial de las Naciones Unidas, la Iniciativa de Alianza contra la Corrupción (PACI) del Foro Económico Mundial, la Iniciativa de Transparencia en la Industria Extractiva (EITI), la Iniciativa de Transparencia en el Sector de la Construcción (CoST); • Las noticias sobre iniciativas anticorrupción de las organizaciones de la sociedad civil y los socios comerciales; y • La publicación de informes de sostenibilidad de la empresa o de responsabilidad cívica empresarial. Las actividades de comunicación y capacitación deben documentarse para permitir la evaluación de su efectividad, eficiencia y sostenibilidad. Los registros de asistencia de los empleados a las sesiones de capacitación deben conservarse para mostrar en detalle cuánta capacitación ha recibido cada empleado. Ello permitirá a la empresa defenderse mejor si surgen acusaciones de corrupción. Tipos de comunicación y capacitación. Las actividades de comunicación y capacitación sobre las políticas y los procedimientos anticorrupción de la empresa deben ofrecer un mensaje claro y coherente a los empleados y socios comerciales relevantes bajo la forma de comunicaciones y capacitación estandarizadas. Las empresas deben además ofrecer comunicación y capacitación personalizadas para abordar desafíos y necesidades específicos de ciertos grupos (v. gr., los funcionarios de logística que enfrentan demandas de extorsión). La comunicación y capacitación estandarizadas destacan el compromiso general de la empresa con la tolerancia cero a la corrupción. Deben incluir información sobre las políticas y los procedimientos, además de sus fundamentos, objetivos y procesos subyacentes. Se deben ofrecer antecedentes de los fundamentos del programa, para fortalecer la comprensión de la necesidad de las políticas y los procedimientos y las distintas situaciones en las que pueden surgir riesgos de corrupción. La comunicación y capacitación deben ir respaldadas por mensajes del personal directivo y los órganos de supervisión de la empresa. Los ejemplos prácticos son importantes para demostrar la coherencia entre las acciones de una persona y las normas y valores de la empresa (v. gr., otorgando un reconocimiento especial a un empleado que haya resistido satisfactoriamente una situación conflictiva). La comunicación y capacitación estandarizadas a menudo utilizan canales comunes para el autoaprendizaje, como páginas web, correos electrónicos, boletines o cursos de capacitación por computadora. Esos canales permiten una distribución y documentación fáciles y económicas. Idealmente, se puede ofrecer la comunicación y capacitación estandarizadas a distintos públicos, y adaptarlas según sea necesario en términos de idioma y medio de  comunicación. La comunicación y capacitación personalizadas deben ofrecerse a empleados y socios comerciales selectos y abordar sus desafíos particulares con respecto a la corrupción. Ello puede incluir capacitación con juegos de rol, que permita a los empleados reaccionar adecuadamente a las incitaciones al soborno o extorsiones de un cliente, socio comercial o una autoridad pública. Adicionalmente, las empresas pueden ofrecer capacitación personalizada sobre los procesos de diligencia debida para los proveedores e información acerca de las regulaciones locales sobre la competencia o la protección de los datos.

Conceptos vinculados con riegos de Fraude. Existen distintas definiciones de fraude en los sectores privado y público y en las instituciones académicas. En el Black’s Law Dictionary el fraude se define como “una tergiversación consciente de la verdad o la ocultación de un hecho material para inducir a otros a actuar en perjuicio propio”. Análogamente, la ACFE define el fraude como “todo acto u omisión intencionados dirigidos a engañar a otros, como resultado de lo cual la víctima sufre una pérdida y/o el autor obtiene un beneficio”. La definición que se ofrece en las Normas Internacionales de Auditoría (ISAS) es la de “un acto intencionado realizado por una o más personas de la dirección, los responsables del gobierno de la entidad, los empleados o terceros, que conlleve la utilización del engaño con el fin de conseguir una ventaja injusta o ilegal”. El Grupo de Auditores Externos de las Naciones Unidas, los Organismos Especializados y el Organismo Internacional de Energía Atómica se refirió al término “fraude” en una guía de auditoría publicada en 1996 como “un acto intencionado cometido por uno o más miembros de la administración, empleados o terceros que tenga como consecuencia la presentación de información errónea en los estados financieros.”. La Guía Antifraude se construye sobre la base del Marco Integrado de Control Interno COSO 2013 (en adelante Marco de COSO 2013) que posicionó al riesgo de fraude como un tipo de riesgo que puede afectar el "logro de los objetivos” de la organización. La Guía considera las siguientes categorías:   Reporte fraudulento de información financiera. “Cualquier declaración errónea intencional de información contable constituye un reporte fraudulento de información financiera.”   Reporte fraudulento de información no financiera. “Reporte fraudulento de riesgos y esquemas no financieros que podrían dar lugar a falsedad en los reportes de información ambiental, seguridad, control de calidad o métricas operativas”.   Malversación de activos. “Por parte de empleados, clientes o proveedores, u organizaciones criminales” afectando los activos tangibles e intangibles de la organización, así como las oportunidades de negocio. Algunos ejemplos incluyen: • Robo de empleados. • Facturas de proveedores ficticios. • Falsas reclamaciones de clientes. • Ciberataques externos. • Otros actos ilegales y de corrupción”.   Constituyen actos ilegales: “violaciones a las leyes o regulaciones gubernamentales que podrían ocasionar un impacto material, directo o indirecto, en los reportes financieros externos”. • Como ejemplos se incluyen el soborno, instigación, encubrimiento o complicidad en el fraude, violación a las leyes, uso ilícito de información personal, secretos comerciales o información de seguridad nacional; violaciones de carácter laboral, de exportación de tecnología o leyes de protección al consumidor. • La corrupción se define como "el mal uso del poder delegado para la obtención de un beneficio privado" (p.ej. violaciones del U.S. Foreign Corrupt Practices Act (FCPA por sus siglas en inglés) o leyes similares de otros países).   Clases de Fraudes.   Fraude Gerencial. Se da cuando la gerencia a varios niveles patrocina, soporta y dirige el fraude mediante la manipulación y abuso de una política, desarrollo de esquemas ingeniosos para el uso ilícito de los activos de la empresa o uso inadecuado de los fondos y recursos.   Fraude Interno. El que cometen los empleados de la empresa. Se da por la comisión de actos ilícitos, los que lo realizan no poseen habilidades técnicas o sofisticadas, lo hacen porque tienen conocimiento de las debilidades del control interno existente en la empresa.   Fraude externo. El que cometen personas externas a la empresa.   Fraude en colusión. Es cuando el fraude es llevado a cabo por empleados y personas externas, quienes en común acuerdo utilizan esquemas para hacer uso y apropiarse indebidamente de los bienes de la empresa, creando un esquema elaborado y difícil de detectar.   Fraudes por socios del negocio. Cuando uno de los socios hace mal uso de la información o bienes de la empresa.   Fraude tecnológico. Es el que se da utilizando la tecnología moderna de los sistemas informáticos. Su objetivo no siempre va encaminado a apropiarse de dinero o información sino a producir pérdidas por medio de ataques cibernéticos, insertando virus a los sistemas, que pueden causar interrupción del negocio, principalmente para empresas en red o que manejan operaciones en línea o compras por internet y todo servicio de comercio electrónico, así como causar daño en la información financiera contable, que afecta la toma de decisiones importantes.   Fraude en el capital intelectual. Esto se da cuando se introducen espías industriales en las empresas y que sin escrúpulos tratan de apoderase del conocimiento intelectual para robarlo y venderlo a mejor postor. Como fórmulas químicas o información relacionada con tecnología.   Elementos que inducen al Fraude.   Elementos Previos. Para que un individuo cometa el fraude es necesario que existan las siguientes condiciones: • Facilidad de cometer el hecho • Deficiente supervisión de actividades, falta de controles • Falta de racionalización de los recursos • Que se justifique la realización del hecho • Falta de cultura ética y moral, en el personal de la empresa   Elementos de vulnerabilidad: Son debilidades en un proceso o sistema que conducen a una mayor probabilidad de que se tengan personas que busquen opciones de fraude, como: • Escala de salarios bajos con relación a la actividad económica • Falta de oportunidad de desarrollo del personal • Mala selección de personal • Débil sistema de control interno • Débil sistema de información • Falta de tecnología u obsolescencia de la misma para detectar fraudes.   Cómo y en qué forma se dan los fraudes contra la empresa. Dada la magnitud de los métodos seguidos para llevar a cabo tales abusos y la inventiva que se pone al cometerlos, es difícil encontrar una sistematización de tales métodos, pero puede encontrarse una respuesta en los siguientes ejemplos típicos: • Apropiación de valores que se escapan totalmente a la contabilización. • Uso de comprobantes falsos, inventados o ya utilizados • Apropiación de los cobros y otros valores de cuya recepción estén autorizados los empleados. • Registros de gastos ficticios • Malversación de efectivo y su encubrimiento por medio de trucos contables como: errores de suma, traslados falsos, retrasos en los asientos, etc. • Utilización de los proveedores para satisfacer compras personales por cuenta de la empresa. • Abuso del crédito de la empresa. • Utilización de lagunas o espacios en blanco en los documentos. • Complicidad de terceras personas, extrañas o no al negocio, para la malversación de mercancías, ventas simuladas, especulaciones, acuerdos particulares con los clientes, etc. • Fraudes a base de personas o cuentas ficticias, operaciones con empresas u hombres de paja. • Registro de operaciones simuladas y asientos imaginarios. • Alteraciones fraudulentas en los registros de inventarios. • Colusión con clientes. • Cobros de participaciones indebidas a base de balances falsos. • Cobros de comisiones a base de ventas ficticias. • Ventas de un ejercicio registradas en otros. • Cancelación de cuentas por cobrar no autorizadas a través de traslados a las reservas de cuentas incobrables.   Algunas maniobras fraudulentas. • Fraudes que se cometen con los comprobantes contables: • Re utilización de comprobantes ya utilizados con anterioridad. • Utilización de comprobantes falsos • Adulteración de comprobantes • Falsificación de firmas • Destrucción o pérdida de comprobantes • Comprobantes con anotaciones deliberadamente erróneas.   Fraudes que se urden con los registros contables. • Pérdida o destrucción de fichas, volantes, vouchers o libros. • Errores en los importes, sumas y traslados. • Raspaduras para rehacer registros o anotaciones. • Registros contables atrasados. • Asientos contables falsos. • Partidas contables de redacción ambigua o caprichosa. • Contrapartidas de contabilidad falsas. • Contrapartidas de contabilidad no autorizadas. • Cargos y abonos a cuentas indebidamente utilizadas.   Fraudes que se comenten con los cheques. • Cheques recibidos por la empresa. • Cheques emitidos por la empresa • Cheques al portador. • Cheques sin fondos. • Cheques con firmas falsificadas. • Mal uso de la protectora de cheques • Cheques aún no utilizados • No observación de secuencia numérica de los cheques.   Fraudes que se cometen en cuentas por cobrar y ventas. • Órdenes de despacho o ventas en exceso de lo realmente facturado. • Utilización de listas de precios de ventas falsos o descontinuados. • Facturas originales entregadas al cliente con un valor y a contabilidad para su registro (copias) con otro valor. • Emisión de notas de crédito con descuentos no autorizados. • Falso reingreso de devoluciones o reclamos de mercancías por parte de clientes   Simple sustracción de bienes. • Sustracción de dinero, mercaderías y otros bienes. • Falsos egresos de mercaderías.   Situaciones propicias para cometer fraudes en áreas vulnerables Caja Chica. • Que los comprobantes se preparen a manualmente. • Que nadie apruebe los comprobantes previos a su pago. • Costumbre o práctica de canje de cheques personales. • Comprobantes sin indicio de quién recibió el bien o servicio • Comprobantes formado parte del fondo de caja chica, con fecha posterior al último reembolso. • Emisión de cheque de reintegro “al portador”.   Egresos, en efectivo o por medio de cheque. • Política de efectuar pagos en efectivo. • Política de emitir cheques “al portador”, “a nosotros mismos” o “a la vista”. • Preparación de cheques no observando medidas ni precauciones que impidan su posterior alteración. • No mutilar adecuadamente ni guardar los cheques anulados • Firmar cheques en blanco. • Efectuar pagos sin comprobantes legítimos y aprobados. • No cancelar de "pagado” los comprobantes en el momento de su firma para evitar duplicidad • Utilizar excesivamente “documentos provisionales” para autorizar y efectuar pagos.   Ingresos, en efectivo y por medio de cheques. • Ausencia de control de los ingresos que deba recibir y depositar el cajero. • Que las remesas que no se puedan depositar oportunamente queden sin registrarse. • Que los cheques depositados y devueltos por el Banco por falta de cobro, los reciba de nuevo el cajero, que no haya segregación de funciones en el manejo de efectivo • Que no se sellen con endoso restrictivo de inmediato los cheques que se reciben. • Liberalidad de recibir cheques emitidos a terceros y no directamente a nombre de la empresa. • Que no se depositen intactos y oportunamente los ingresos. • Retención indebida en caja, de los ingresos. • Que nunca se haga un arqueo de caja por empleados independientes al cajero. • Que los fondos de caja se utilicen para cambiar cheques de funcionarios, empleados, clientes y otras personas.   Cuentas por cobrar y ventas. • Que los pedidos de clientes no sean aprobados por escrito por un funcionario responsable. • Que los envíos se hagan sin exigir la nota de envío debidamente aprobada. • No hacer referencias cruzadas entre los documentos de envío y facturas. • No sumar las facturas expedidas por el departamento de facturación y no enviar los totales al encargado del mayor. • No revisar las facturas ni su correlatividad y secuencia de fechas por parte de un empleado independiente al encargado de facturación. • No obtener evidencia escrita del transportista de la mercadería que recoge para su entrega a clientes con evidencia de dicha entrega a satisfacción • No encuadernar en orden numérico y correlativo las facturas emitidas. • No observar la secuencia numérica de las facturas. • Emisión de notas de crédito sin aprobación • Cancelación de cuentas por cobrar, sin la adecuada aprobación o alteración de registros en el auxiliar de cuentas por cobrar • Descontinuar esfuerzos de cobro por las cuentas canceladas por incobrables. • No enviar estados de cuenta mensuales a los clientes. • Permitir que las diferencias comunicadas por los clientes sean investigadas por empleados que manejen cobros o sean los encargados de cuentas por cobrar. • No examinar periódicamente, por empleados ajeno a su custodio, los documentos de cobro, facturas, letras, etc. • No obtener un recibo de las facturas entregadas para su cobro. • No liquidar diariamente al cobrador efectuando corte de formas. • Pobre segregación de funciones o saturación de atribuciones.   Nóminas y Planillas. • Carencia de registros adecuados de personal. • Falta de segregación de funciones entre: quienes preparan las nóminas y quienes preparan los registros de tiempo. • Falta de justificación y aprobación de horas extras. • Descuido en la política de vacaciones y anticipos a personal. • Falta de segregación de funciones entre: quienes contrata, despiden y preparan las nóminas. • Falta de revisión previa de los cálculos de las nóminas. • Falta de conciliación de las nóminas de sueldos con totales mostrados en las nóminas anteriores, sin investigar los cambios. • Falta de supervisión en todo lo relacionado con el pago, control, registro y preparación de nóminas.   Fraudes y Desfalcos. Una de las funciones más importantes del Contador Público y Auditor, continúa siendo el ayudar a la prevención y (por implicación, pero no necesariamente) al descubrimientos de desfalcos. La Asociación Nacional de Contadores de los Estados Unidos ha elaborado una interesante lista de la cual se ha extractado lo siguiente:   Principales señales de peligro de fraude: • Pedir prestadas pequeñas sumas de dinero a compañeros de trabajo. • Colocar cheques personales en la caja chica o en los fondos para cambio (cheques sin fecha, con fecha adelantada y con fecha atrasada) pidiendo al cajero que “retenga” los cheques, sin depositar o hacerlos efectivos. • Cheques personales que se han sido prestados o devueltos por el Banco por razones anormales. • Frecuente presencia de cobradores o acreedores en la oficina y el uso excesivo del teléfono para “espantar” a los acreedores. • Colocar en caja chica vales sin aprobación, o persuadir a los empleados que puedan autorizarlos, a que acepten vales que en realidad representen préstamos a corto plazo. • Inclinación a cubrir ineficiencias y a “tapa” errores en las cifras. • Crítica constante de los demás, con el fin de alejar sospechas. • Dar explicaciones pomposas y sin sentido en cualquier investigación. • Proceder raro y peculiar. • Ser aficionado a cualquier tipo de juegos de azar, sin posibilidad de poder afrontar las pérdidas. • Beber excesivamente y asociarse con personas de conducta dudosa. • Comprar automóviles y muebles costosos, realizar viajes de placer. • Tratar de explicar un nivel de vida alto como consecuencia de haber obtenido herencia, lo que muchas veces amerita una investigación confidencial. • Disgustarse cuando se hacen preguntas razonables; mostrar gran serenidad bajo un interrogatorio severo. • Negarse a dejar a otros sustitutos durante el día, para la custodia de los registros. • Negarse a tomar vacaciones, por temor a que se descubran errores o malos manejos. No aceptar ascensos. • Trato y agasajo constante por parte de un miembro del personal de un proveedor. • Mantener una gran cuenta bancaria o la compra de grandes valores.   Principales métodos usados en los desfalcos. • Hurto de sellos de correo y timbres fiscales. • Robos de mercaderías, herramientas y otras partidas del equipo. • Aprobación de pequeñas sumas de los fondos de caja. • Colocar en la caja chica vales o cheques sin fechas, con fechas adelantadas fechas atrasadas. • No registrar algunas ventas de mercaderías y embolsarse el efectivo. • Crear “sobrantes” en los fondos de caja y en las registradoras, no registrando o registrando de menos en determinada transacción. • Sobrecargar las cuentas de gastos, con gastos ficticios (Kilometraje, gastos de representación, etc.) • Malversar pagos recibidos de un cliente y sustituirlos con pagos posteriores de este o de otros clientes. • Apropiarse de pagos hechos por Clientes y emitir un recibo provisional. • Cobrar una cuenta atrasada, apropiarse el dinero y cargarla a “cuentas incobrables”. • Cobrar una cuenta ya cargada a “cuentas incobrables” y no informarlos. • Acreditar falsos reclamos de clientes o por mercancías devueltas. • No depositar diariamente en los bancos, o depositar solamente parte de lo cobrado. • Alterar las fechas en las planillas de depósitos para cubrir apropiaciones. • Hacer depósitos por sumas redondas tratando de cubrir los faltantes de fin de mes. • Mostrar personal imaginario en las nóminas de pago. • Mantener empleados en las nóminas de pago con posterioridad a la fecha de su despido o renuncia. • Falsear los cálculos y las sumas en la nómina de pago. • Destruir facturas de ventas. • Alterar las facturas de venta después de entregar la copia al cliente. • Anular facturas de venta por medio de falsas explicaciones. • Retener dinero proveniente de ventas de contado, usando una falsa cuenta deudora. • Registrar descuentos de caja injustificables. • Aumentar las sumas de los pagos hechos al contabilizar los gastos. • Utilizar copias de comprobantes o facturas cuyo original ya fue pagado. • Usar facturas de gastos personales para cubrir dinero salido de la caja. • Uso de “facturas” preparados por uno mismo y falsificación de las aprobaciones. • Pagos de facturas falsas, obtenidos en colusión con los proveedores. • Aumento de las sumas de las facturas, en colusión con los proveedores. • Cargar a la empresa compras personales, utilizando indebidamente órdenes de compra o utilizando tarjeta de crédito empresarial. • Facturar mercancías para beneficio personal, con cargo a cuentas ficticias. • Despachar mercancías a la casa de un empleado o pariente para su aprovechamiento. • Falsificar los inventarios para cubrir robos. • Usar adelantos para gastos del negocio, en beneficio personal. • Cobrar indebidamente cheques pagaderos a favor de la empresa. • Falsificar los endosos de los cheques pagaderos a los proveedores. • Insertar en los libros hojas con cuentas o cantidades ficticias. • Demorar deliberadamente las conciliaciones de la cuenta de un cliente. • Mostrar sumas erradas en los registros de entradas y salidas de caja. • Confundir deliberadamente los asientos en las cuentas de control y de detalle. • Hacer nuevas hojas para los libros con el fin de evitar que se descubran las manipulaciones. • No cerrar el libro de ingresos de caja a su debido tiempo o no hacer el debido corte de formas. • Vender materiales sobrantes o de desecho y embolsarse el producto de la venta. • Vender el uso de las llaves del negocio, bodega o cajas por dinero. • Vender la combinación de la caja o bóveda por dinero. • Facilitar información confidencial de la empresa.   Acciones a seguir ante un presunto fraude. • Realizar una minuciosa investigación del incidente, documentando apropiadamente todos los aspectos para llegar a una conclusión objetiva. • Tomar medidas apropiadas y consistentes contra los culpables • Evaluar y mejorar los controles pertinentes, enfatizar en la constante supervisión y evidenciar a través de firmas, los controles correspondientes a cada transacción que implique autorización, máxime en el manejo de efectivo • Comunicación y entrenamiento para reafirmar los valores de la empresa, el código de conducta y las expectativas • Monitoreo constante y control cruzado de cifras y validaciones, manteniendo la segregación de funciones

Fraude corporativo. El fraude corporativo engloba las actuaciones en contra de los intereses de los stakeholders (partes interesadas), defraudación a las administraciones públicas, la elaboración y divulgación de estados financieros fraudulentos y, en general, violación de la regulación legal con objeto de generar un beneficio económico. Estas conductas pueden implicar la distorsión intencionada de los estados financieros a través de la manipulación, falsificación o alteración de documentos y registros contables, o bien la omisión de cantidades y su presentación. Pueden cometerse por directivos, empleados o sindicatos perjudicando económicamente a sus propias organizaciones. El fraude empresarial se caracteriza por ser un delito transnacional, mutable, perpetrado por individuos considerados de “guante blanco” y cuya cuantía y consecuencias son difíciles de estimar. A continuación, se explican las particularidades de este delito: Transnacional. En un entorno cada vez más globalizado y debido al creciente avance de la tecnología, las entidades se internacionalizan y emplean todos los recursos posibles para la obtención de beneficios. Del mismo modo, las prácticas ilícitas de las empresas no conocen frontera, y pasan de ser una cuestión local a ser un fenómeno global. Un ejemplo de ello es la creciente presencia de las empresas 35 en centros financieros off-shore, conocidos como paraísos fiscales, para la obtención de beneficios fiscales. Este hecho hace necesario combatir los delitos económicos y el fraude fiscal de las empresas a nivel internacional. Mutante. Los defraudadores de las compañías utilizan medios variados y novedosos que resultan complicados de catalogar porque evolucionan y varían a lo largo de los años. Por lo tanto, el fraude empresarial no es un concepto fijo definido, como tampoco lo es el perfil del perpetrador. Crimen de cuello blanco. Los delitos de “cuello blanco”, también conocidos como de “guante blanco” hacen referencia a los individuos que cometen el fraude corporativo. Estos tienden a ser individuos con formación profesional y de un elevado status social. Se volverá a incidir en este concepto cuando se comente el perfil del defraudador. Difícil de estimar. La cuantía defraudada es complicada de valorar porque el fraude corporativo lleva implícita la ocultación. La cuantificación de las consecuencias es, a su vez, difícil de establecer. Así, informes de distintos organismos públicos y privados publican estimaciones diferentes de su importancia.   Tipos de fraude corporativo. Los tipos de fraude cometidos en las entidades son variables y cambian constantemente a medida que la sociedad evoluciona y surgen nuevos medios para defraudar. Por ello, se pueden encontrar diferentes clasificaciones dependiendo de cuál sea el criterio que consideremos. Apropiación indebida de activos. La malversación y el fraude en las compras son las formas de apropiación indebida más frecuentes. La malversación se trata del delito que cometen los dirigentes o un tercero autorizado para sustraer caudales a su cargo. Manipulación contable. La manipulación contable engloba prácticas como la contabilidad creativa (creative accounting o earnings management), aprovecha los vacíos de la normativa, las alternativas existentes en la legislación y la posibilidad de efectuar estimaciones optimistas o pesimistas, para que las cuentas se aproximen a lo que le interesa a la empresa (directivos y administradores) en lugar de ofrecer una imagen objetiva. A menudo la contabilidad creativa puede ser un tipo de maquillaje contable que respeta la legalidad, pero hace uso de la valoración que más provecho le reporta con el fin de reflejar mejores resultados en las cuentas anuales. Transacciones no autorizadas. Las transacciones no autorizadas son todas las operaciones de compra, venta, obtención de financiación y aplicación de está realizadas al margen de los intereses y objetivos fijados por la compañía. Soborno y corrupción. Las formas de corrupción son variadas y no están claramente definidas, por ser este fenómeno complejo y cambiante. La corrupción se puede definir como la acción u omisión de dar o pedir dinero, bienes, un empleo, la promesa de obtenerlo en beneficio del que paga o de un tercero. Incluye a ambas partes de la transacción que incumplen una ley, contrato, costumbre o código profesional que actúa de acuerdo a los intereses de la organización. Un ejemplo de corrupción en el sector privado son las atenciones al director de compras de una compañía para lograr un pedido. El soborno, la extorsión, ciertas comisiones, regalos y favores son algunos de los tipos más habituales de corrupción en la empresa, siempre que el objetivo de éstos sea influir en la decisión del receptor. En el soborno la iniciativa la toma la persona que efectúa el pago, mientras que en la extorsión es quién recibe el pago. Fraude fiscal. El fraude fiscal engloba las prácticas que tienen como objetivo la elusión y/o evasión fiscal. Para ello las organizaciones se pueden beneficiar de condiciones tributarias favorables en paraísos fiscales, valiéndose de la protección del secreto bancario y empresarial. El uso de diferentes empresas pantalla para ocultar la actividad ilegal tambiénes frecuente en estos casos. Insider trading. El insider traiding, o abuso de información privilegiada, se refiere al conjunto de operaciones bursátiles que se realizan en el mercado como consecuencia del uso ilegal de información privilegiada. Se centran en sacar provecho de las transacciones, comprando cuando tienen información favorable y vendiendo en caso contrario.   Blanqueo de capitales. – La conversión o transferencia de bienes procedentes o de la participación de una actividad delictiva con el fin de ocultar la naturaleza ilícita de los bienes o ayudar a los implicados a eludir las responsabilidades derivadas de estos hechos. – El encubrimiento de la naturaleza, el origen, la ubicación o la propiedad real de bienes que proceden de una actividad delictiva. – La adquisición, posesión o utilización de bienes teniendo constancia de la procedencia delictiva de dicha actividad. – Las tentativas de perpetrar, colaborar, instigar o aconsejar a alguien a cometer cualquiera de las anteriores actividades.   Cibercrimen: violación del IP y robo de información. El cibercrimen se considera un medio novedoso de cometer un delito económico, siendo el delito informático más frecuente el robo de la dirección IP y de la información confidencial, como operaciones comerciales, documentación de alta dirección o algoritmos criptográficos. Estos medios pueden ser útiles para espiar o robar información relevante de la compañía por lo que suponen a su vez un riesgo potencial a tener en cuenta por las organizaciones.   Fraude informático. Es la manipulación indebida de datos, tomando como medio un sistema de tratamiento de información, lo que da como resultado una adulteración o alteración de los datos contenidos en ese sistema, en cualquiera de las fases de su tratamiento, con o sin ánimo de lucro. El fraude informático delito informático realizado con intención de engañar o perjudicar a una persona u organización y proporcionar un beneficio ilegítimo a quien lo realiza. Lo informático del fraude está en el aprovechamiento, utilización o abuso de las características funcionales de los sistemas informáticos como instrumento para realizar una conducta astuta, engañosa, artera; o sea, el carácter informático del fraude alude al instrumento con cuyo auxilio se efectúa la defraudación. Para que, se configure la defraudación informática esta debe tener las notas características y configuradoras de una defraudación, es decir que debe existir un perjuicio económico, irrogado mediante un comportamiento engañoso, astuto, artero, o sea un medio fraudulento que en este caso sería la propia manipulación informática.   Principales sujetos pasivos de los fraudes informáticos. Los sujetos pasivos que pueden ser afectados por los fraudes informáticos son todas las empresas o instituciones del sector público o privado, que tengan información en computadoras los principales blancos de este tipo de delito son: • Las empresas. • Los bancos o instituciones financieras. • Los servicios públicos. • Las compañías de seguros. Varios autores coinciden en que las modificaciones de los datos, vía manipulaciones se cometen principalmente por los propios trabajadores de las empresas perjudicadas, tomando en consideración que son los que tienen mayor acceso a sus sistemas, pero con el desarrollo de las técnicas telemáticas, como el Internet y servicios como cajeros automáticos, se ha abierto un nuevo campo para las manipulaciones de datos realizados por terceros extraños.   Características. Las características intrínsecas de todo tipo de fraude son las siguientes: • El fraude es una acción deliberada de manipulación de datos: en la entrada, en el programa o en la salida de datos. • El fraude puede producirse en cualquiera de las fases de de tratamiento o procesamiento o procesamiento informático de los datos. • El objeto es obtener un beneficio económico. • El fraude se realiza contra una organización o persona. • El medio informático está involucrado directa o indirectamente.   Sanción en Argentina. La figura del fraude informático fue incorporada en el artículo 173 del código penal inciso 16 de la siguiente manera: “El que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos. La pena será de tres (3) meses a cuatro (4) años de prisión”. En Argentina el delito de fraude informático como un tipo autónomo y no como una figura especial de las previstas en los arts. 172 y 173 del Código Penal. Se entiende que en el fraude informático, la conducta del autor está signada por la conjunción de dos elementos típicos ausentes en los tipos tradicionales de fraude previstos en Código: el ánimo de lucro y el perjuicio patrimonial fruto de una transferencia patrimonial no consentida sin que medie engaño ni voluntad humana viciada. El ánimo de lucro es el elemento subjetivo del tipo que distingue el fraude informático de las figuras de acceso ilegítimo informático y daño informático en los casos en que la comisión de las conductas descriptas en estos tipos trae aparejado un perjuicio patrimonial. El medio comisivo del delito de fraude informático consiste en la manipulación o despliegue de cualquier artificio semejante sobre un sistema o dato informático. Se ha optado por definir la conducta que caracteriza este delito como una "manipulación" o "artificio tecnológico semejante" en el entendimiento de que dichos términos comprenden tanto la acción de supresión, modificación, adulteración o ingreso de información falsa en un sistema o dato informático. El hecho se agrava cuando el fraude informático recae en alguna Administración Pública Nacional o Provincial, o entidad financiera.   Acciones para la mitigación del riesgo de fraudes. La Guía Antifraude (Marco de COSO 2013)proporciona orientación detallada y recursos para la implementación de cada uno de los principios de gestión del riesgo de fraude: Principio 1. Se refiere al gobierno del riesgo de fraude mediante el establecimiento de una base de comportamiento ético (no solo de cumplimiento) y de un "programa de gobierno corporativo relacionado específicamente al riesgo de fraude.” La Guía señala que es "crítico para el éxito de un Programa de Gestión del Riesgo de Fraude que un miembro de la Alta Gerencia asuma la responsabilidad general de la gestión del riesgo de fraude y que reporte al Directorio de manera periódica.” Principio 2. Aborda la evaluación del riesgo de fraude mediante la identificación de esquemas específicos, la evaluación de su probabilidad e impacto potencial y la evaluación de la efectividad de los controles existentes en la organización. La Guía reconoce que la tolerancia al riesgo es una consideración importante, una organización debe invertir en la gestión de sus riesgos más críticos. Principio 3. Aborda las actividades de control antifraude. Los controles son específicos para cada riesgo de fraude y han sido diseñados para prevenir (y disuadir) eventos de fraude o para detectarlos lo antes posible. Una organización debe utilizar una combinación de controles en diferentes puntos de un proceso de negocios. Los controles preventivos son ampliamente difundidos; mientras que los controles detectivos operan detrás. Como veremos más adelante, la Guía describe cómo el análisis de datos (data analytics) proporciona no sólo controles detectivos eficientes desde el punto de vista de costos, sino también una visión diferente en la identificación de anomalías, tendencias e indicadores de riesgo.  La Guía describe procedimientos antifraude en el área de Recursos Humanos, incluyendo la verificación de antecedentes (background checks), revisión de sistemas de compensación e incentivos, evaluación de segregación de funciones, ejecución de encuestas a empleados, ejecución de entrevistas de salida e implementación de sistemas confidenciales de reporte (Whistleblower System). La Guía también destaca el problema del abuso de la posición de confianza o evasión de controles por parte de la Gerencia señalando que "todos los casos, aunque pocos, de fraudes catastróficos ocurridos en el pasado fueron perpetrados por ejecutivos de la Alta Gerencia." Principio 4. Destaca la respuesta frente a reportes de fraude a través de "un sistema para la revisión, investigación y resolución de situaciones de incumplimiento y/o denuncias de fraude y mala conducta de manera oportuna, competente y confidencial.” Una organización debe tener protocolos de investigación y respuesta frente al fraude, iniciando con una cultura de “diga-algo-si-sabe-algo", y continuando con la clasificación de los reportes, gestión de casos, aseguramiento de la evidencia, asesoría legal y de contabilidad forense, análisis de causa raíz y remediación de controles. Principio 5. Aborda el monitoreo de las actividades del Programa para asegurar que cada uno de los cinco principios está presente y funciona de manera adecuada, y para tomar acción frente a las deficiencias identificadas. Las organizaciones deben establecer métricas del funcionamiento y desempeño del Programa, p.ej. tendencias de los incidentes de fraude cada año. Asimismo, deben "considerar los esquemas de fraude conocidos y los nuevos fraudes descubiertos y reportados en otras industrias y en otras organizaciones del mismo sector.”   Acciones desarrolladas para el control preventivo de fraudes. La prevención es clave en toda organización y no siempre se encuentra implementada con la debida diligencia. Los controles preventivos son de gran utilidad y se encuentra demostrada su efectividad. Éstos combinan políticas, procedimientos, entrenamiento y actividades de comunicación. Las principales herramientas son el código de conducta, mantener estándares de contratación y promoción, monitoreo de Auditoría Interna y comunicar y difundir las medidas adoptadas.   Racionalización / Presión (Control). • Código de ética, • Manuales de conducta, • Política de RRHH, • Evaluación de clima laboral, • Líneas de reporte de irregularidades.   Oportunidad. • Business Intelligence orientado a drivers de fraude (Parametrización de alertas), • Aplicación de Ley de Bendford (facilita la detección de un fraude en las cuentas si se han cambiado demasiados números sin seguir esta regla.), • Modelos analíticos automatizados (Fraud Management Software), • Uso de escenarios de fraude predeterminados en análisis de circuitos, • Procedimientos de data mining, • Líneas de reporte de irregularidades.   Estructura de un plan de prevención de fraude. Un plan de prevención de fraude dentro de la empresa debería contener los siguientes elementos: 1.Análisis y monitoreo de los principales riesgos de fraude dentro del negocio o segmento de operaciones de la compañía. 2.Segregación de la responsabilidad (Fraud risk ownership) de los riesgos de fraude identificados. 3.Evaluación permanente (Fraud risk assesment) de nuevos eventos o patrones de fraude que se puedan estar generando. 4.Establecimiento de una política de manejo de eventos de fraude. 5.Análisis de controles que mitiguen eventos de fraude a nivel procesos. 6. Mejora continua del Ambiente de control, relacionado con aspectos directos a eventos de fraude. 7. Planes proactivos de detección de fraudes.   Estructura de un plan de prevención de fraude (Mínimo)   Auditorías sorpresivas • Generan ambiente de control. • Costo medio / alto (S/ alcance). • Efectividad media y Riesgo de detección Alto.   Líneas de reporte de irregularidades • Bien comunicadas generan un amplio ambiente de control. • Costo bajo. • Efectividad media / alta. Riesgo de detección bajo.   Capacitación al personal • Genera un amplio ambiente de control. • Costo Medio. • Efectividad media (dependiendo de la cultura del personal)   Acciones desarrolladas para el control detectivo de fraudes. Los controles detectivos son actividades que reconocen si el fraude está siendo cometido o ya ha sido perpetuado. Una difusión adecuada de las diversas políticas, normas y procedimientos es uno de los elementos más potentes en la disuasión de fraudes. Las principales herramientas son: canal de denuncias, trabajos de auditoría interna y revisión de datos transaccionales claves, sanciones disciplinarias, etc. A- Procedimientos generales que ejemplifica la NIA 240, respecto a los procedimientos para detectar el riesgo de fraude relacionado con la información financiera fraudulenta:   Respecto a reconocimiento de ingresos: • Desempeñar procedimientos analíticos sustantivos. • Técnicas de auditoría asistida por computadora para identificar relaciones o transacciones inusuales. • Confirmación de clientes. • Investigación con personal de ventas y mercadotecnia de la entidad o de asesoría legal interna respecto de ventas o embarques cerca del final del ejercicio. • Estar físicamente presente en una o más localidades al final del ejercicio para observar mercancías que se embarcan. • Desempeñar otros procedimientos de cierre de ventas e inventarios. • Para transacciones automáticas, poner a prueba los controles que aseguran el correcto registro.   Respecto a cantidades de inventario: • Examinar los registros de inventario para identificar localidades o partidas que requieran atención específica durante o después del conteo físico del inventario. • Observar conteos de inventario sin anuncio previo o conducir conteos de inventario en todas las localidades en la misma fecha. • Conducir conteos de inventario en o cerca del final del ejercicio • Desempeñar procedimientos adicionales durante la observación del conteo, por ejemplo, examinar más rigurosamente los contenidos de artículos en cajas, la manera en que se apilan, o etiquetan las mercancías y la calidad de sustancias líquida. Puede ser útil usar el trabajo de un experto. • Comparar las cantidades para el periodo actual con periodos anteriores por clase o categoría de inventario, localidad u otros criterios o comparación de cantidades contadas con registros perpetuos. • Usar técnicas de auditoría con ayuda de computadora para pruebas adicionales de la compilación de los conteos de inventario físico.   Respecto a estimaciones de la administración: • Usar un experto para desarrollar una estimación independiente para comparación con la estimación de la administración. • Hacer extensivas las investigaciones con personas fuera de la administración y del departamento de contabilidad para corroborar la capacidad e intención de la administración de llevar a cabo planes que son relevantes para desarrollar la estimación.   B- Procedimientos para detectar el riesgo de fraude relacionado con la malversación de activos: • Contar efectivo o valores al final o cerca del final de año. • Confirmar directamente con clientes la actividad de cuentas por el ejercicio bajo auditoría. • Analizar recuperaciones de cuentas canceladas. • Analizar escasez de inventario por localidad o tipo de producto. • Comparar índices clave de inventario sobre norma de la industria. • Revisar documentación de soporte por reducciones a registros del inventario perpetuo. • Realizar un cotejo computarizado de la lista de vendedores con una lista de empleados para identificar coincidencia de direcciones o número de teléfono. • Realizar una busca o computarizada de registros de nómina para identificar direcciones, identificación de empleados o números de pagos de impuestos o cuentas bancarias duplicados. • Revisar archivos de personal en busca de los que tienen poca o ninguna evidencia de actividad, por ejemplo, falta de evaluaciones del desempeño. • Analizar descuentos y devoluciones de ventas en busca de patrones o tendencias inusuales. • Confirmar términos específicos de contratos con terceros. • Obtener evidencia de que los contratos se están cumpliendo de acuerdo con sus términos. • Revisar la propiedad de gastos grandes e inusuales. • Revisar la autorización y valor en libros de préstamos de la administración senior y partes relacionadas. • Revisar el nivel y propiedad de reportes de gastos sometidos por la administración senior.   Acciones de Control Detectivo. Ambiente de control y la gerencia. El ambiente de control incluye la cultura y ambiente de comunicación abierta, siendo la gerencia la cara visible de la organización ante los empleados. Es de vital importancia su participación y ejemplo sobre las políticas antifraude. Para ello deben mantener y hacer respetar una cultura de honestidad y estándares éticos. Promover controles para prevenir, disuadir y detectar el fraude. Todo ello en el marco definido por el Directorio. Código de Conducta, promoviendo un sano ambiente de control.  Un código de conducta efectivo es aquel conocido por toda la organización y otros stakeholders (empleados, clientes, proveedores, etc.); esto se logra con un plan de comunicación y de entrenamiento interactivo y periódico. El código debe delinear estándares claros y objetivos para ser cumplidos y establecer un proceso justo para determinar las violaciones. El código de conducta debe incluir materias como: Conflicto de intereses, uso de información privilegiada, regalos, acoso sexual, discriminación, robo, etc. Canal de Denuncias y otros métodos. Un canal de denuncias es una línea directa de alerta que mitiga y descubre el fraude real y sospechado. Este canal debe ser independiente de la gerencia y tiene por objetivo recibir de manera anónima las preocupaciones de empleados y de terceros a la organización sobre temas objetables de contabilidad, auditoría, violaciones al código de conducta y dilemas éticos. El proceso de administración de las denuncias debe estar adecuadamente documentado el seguimiento y conformidad de cada una de ellas. Monitoreo del Directorio y Auditoría Interna. El fraude siendo un riesgo crítico debe ser monitoreado periódicamente por el Directorio, por la gerencia y por Auditoría Interna. Auditoría Interna siendo por excelencia un evaluador de controles a nivel organizacional, es el mejor apoyo del Directorio en la evaluación de las mitigaciones y detecciones del riesgo de fraude. Auditoría Interna deberá incorporar en su Plan Anual el seguimiento a las actividades con mayor riesgo de fraude tanto en la revisión de hechos pasados como de seguimiento en tiempo real, incorporando factores de riesgo como: vacaciones acumuladas en exceso preocuparse de los cargos críticos respectivos, accesos a cuentas claves, falta de segregaciones funcionales, etc. Una forma recomendable de realizar controles detectivos de fraude que apoyan al área de auditoría, es aplicar herramientas de seguimiento y análisis de datos sobre operaciones claves, datos financieros y transacciones críticas sobre las cuales exista un potencial riesgo fraude. Aplicación de medidas disciplinarias. Debe configurarse un sistema disciplinario que esté bien difundido y que se encuentre enmarcado en la normativa que lo afecta. Las sanciones a aplicar deben ser iguales para todos los empleados, independiente de su condición en la empresa, y deben ser acordes a la gravedad de cada situación. Investigaciones y medidas correctivas. Es un proceso mandatado por el Directorio para obtener las causas y responsables ante una situación fraudulenta. Este proceso podrá comprender: - Monitoreo por el Comité de Auditoría con un responsable externo para una mayor independencia de la organización - Ser analizado por auditores externos - Tener un protocolo ampliamente conocido - Ser colaborativa entre los empleados y transparente Respecto de las medidas correctivas, se deberá considerar lo siguiente: - Analizar el control fallido y mejorarlo o aplicar nuevos controles de mitigación - Sancionar a los responsables y las jefaturas cuando sea el caso - Comunicar a los empleados cuando se haya efectuado una sanción - Derivar el caso fraudulento a instancias externas a la organización con la investigación respectiva, considerando los eventuales efectos sobre riesgo reputacional que pudieran afectar   Herramientas utilizadas para la prevención y detección de fraudes.   Técnicas de Auditoria. Las técnicas a las que se pueden recurrir para la búsqueda de información son: Técnicas de Verificación Ocular: Comparación, Observación, Revisión Selectiva, Rastreo. Técnicas de Verificación Verbal: Indagación. Técnicas de Verificación Escrita: Análisis, Conciliación, Confirmación. Técnicas de Verificación Documental: Comprobación, Computación. Técnicas de Verificación Física: Inspección Técnicas Analíticas. Técnicas Informáticas.   Dactiloscopia: Es una de las ramas de la lofoscopia encargada del estudio, clasificación, archivo y recuperación de las mismas impresiones dactilares que aparecen en las falanges dactilares de los dedos de las manos.   Documentología: Es el examen total del documento en su integridad, se analiza el soporte (papel), y los distintos elementos fijos que se encuentren en este, como sistemas de impresión, dispositivos de seguridad y tintan empleadas, para determinar si el documento es auténtico, falso o se encuentra adulterado. La documentología estudia: Cheques, títulos-valores, sellos de correos, documentos de identificación, billetes de banco y de lotería, tarjeta de crédito, etc. Grafismo y escrituras de origen manual (manuscritos, holografías o autográficas). Impresos (tipografía, flexografia, etc.), Copias fotográficas. Textos mecanográficos, escritos con impresoras de computador.   Grafología Forense: Es el estudio que tiene como objetivo verificar la autenticidad o determinar la autoría de los grafismos escritos en un soporte. Se analizan guarismos, gráficas y firmas, examinando detalladamente características como el tipo de letra, forma de la letra, tipos de trazos, rasgos, etc. Dentro de las actividades de los grafólogos se encuentran las siguientes: Detección de falsificaciones. Determinación de autoría de firmas y escrituras. Detección de forjamientos, alteraciones, agregados físicos o químicos   Informática Forense: Es la ciencia que se encarga de analizar sistemas informáticos a fin de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Los investigadores en informática forense usan gran cantidad de técnicas y herramientas de hardware y software que automatizan y aceleran el análisis computacional como el rastreo de información en la memoria y archivos de los computadores, análisis de datos borrados en el disco duro de los computadores para descubrir evidencias. El auditor forense utiliza la informática forense ya no solo para recuperar información, sino como una herramienta de descubrir hechos ilícitos, dado que las fallas de dispositivos no son por errores humanos sino por actividades fraudulentas para borrar, ocultar o adulterar información.

Indicadores de fraudes.   Indicador 1. Irregularidades en los documentos. Los fraudes comerciales, al igual que las operaciones legítimas, suponen el uso de múltiples documentos para explicar, exponer y reflejar la operación. Pero los documentos utilizados en fraudes comerciales suelen diferenciarse de los usados en las operaciones legítimas, bien por su redacción inadecuada o bien porque contienen algunas particularidades insólitas cuyo fin es inducir a la inversión, acrecentar la fiabilidad del defraudador, explicar los rendimientos extraordinarios que éste asevera, o porque estipulan procedimientos inusuales. Suele ser posible determinar la probabilidad o la presencia de fraude comercial detectando estos aspectos irregulares. Los documentos utilizados en apoyo de un fraude comercial pueden ser auténticos, fraudulentos, falsificados o ficticios, y pueden ser extendidos o autenticados correcta o incorrectamente por instituciones o particulares. A veces pueden intervenir profesionales en su creación o autenticación. Indicador 2. Uso indebido de términos técnicos. El comercio y las finanzas modernas son complejos y requieren habitualmente el uso de términos especializados relativos a una operación o su financiamiento. En los fraudes comerciales se suele utilizar esos términos para dar la impresión de un proyecto verdadero, deslumbrar a las víctimas o intimidarlas, o disimular la imposibilidad de explicar incongruencias o aspectos ilegales de la operación. Los defraudadores no son siempre expertos en la materia, por lo que con frecuencia usan erróneamente los términos especializados, dando así indicios de que la operación no es auténtica. En las operaciones lícitas puede haber ocasionalmente errores no esenciales para las mismas, y cuando un uso erróneo sea poco frecuente o el error no afecte a la naturaleza del plan, es menos probable que indique fraude comercial. En cambio, cuando el uso erróneo afecta a un término esencial para el proyecto, o se da con regularidad y frecuencia, puede ser indicio de que la operación no es lícita. Indicador 3. Incongruencias en la operación. En un fraude refinado, las incongruencias pueden no ser obvias, como sucede cuando profesionales de sociedades aparentemente acreditadas de abogacía, contabilidad y banca, tal vez engañadas con éxito por un defraudador, han contribuido involuntariamente a la creación de documentos fraudulentos. Sin embargo, en un plan fraudulento característico, es poco probable que los defraudadores se preocupen de los aspectos reales de una operación en su búsqueda de una posible víctima. De hecho, es posible que los defraudadores creen incongruencias deliberadamente, esperando que las personas más informadas desistan de la operación y queden solo las víctimas potenciales más vulnerables. Asimismo, no se preocupan necesariamente de la concordancia entre todos los aspectos de la operación. Suelen recurrir a modelos de fraude antiguos, elaborados por otros hace decenios, y simplemente los adaptan a Internet o sustituyen los viejos nombres por los de instrumentos ficticios inventados, de resonancia moderna, como “títulos antiterrorismo o títulos antidroga”, y posiblemente desconozcan las incongruencias internas del fraude. Los defraudadores suelen no ser expertos en los campos de la inversión o los negocios contemplados en sus tramas y, por carecer de esa experiencia, es posible que sin darse cuenta originen incongruencias en la operación, en documentos aislados o entre unos documentos y otros, o puede haber incongruencias entre lo que se ha escrito y lo que se dice en diversas ocasiones. Indicador 4. Uso indebido de nombres. En los fraudes comerciales hay diversas maneras de usar indebidamente los nombres, en particular los de quienes gozan de reputación o influencia en el sector. Análogamente, pueden utilizarse los nombres, logotipos, marcas comerciales, lemas publicitarios y emblemas de una sociedad u otra entidad para cometer un fraude. Un defraudador puede dar a entender que personas conocidas en el sector han examinado y aprobado la pretendida operación, dando a entender así a la víctima que el plan fraudulento tiene credibilidad, validez y aplicabilidad. Asimismo, puede presentar o promover un plan afirmando tener una relación falsa o exagerada con una persona o entidad conocida por la víctima o sus consejeros. Puede también dar el nombre de una persona o entidad afamada como suyo propio o sugerir su asociación con la misma, o bien simplemente adoptar el nombre de otra persona o entidad para ocultar la identidad propia. Indicador 5. Rendimientos desproporcionados. Todo inversionista busca un rendimiento máximo. Ahora bien, hay que recordar que los rendimientos son siempre proporcionales a la apreciación del riesgo, la cual varía de unas inversiones a otras. Cuando el riesgo es elevado, los inversionistas exigen, antes de colocar su capital en esa situación insegura, rendimientos mayores que los que tendrían con inversiones menos arriesgadas. En consecuencia, cuanto más alto es el riesgo, mayor es el rendimiento prometido. A fin de inducir a la inversión, en los fraudes comerciales se falsea este principio de proporcionalidad y se prometen rendimientos elevados sin riesgos o con un riesgo limitado. Con frecuencia los rendimientos prometidos son incluso muy superiores a los que podrían obtenerse con inversiones altamente especulativas. La ausencia de riesgo en la inversión propuesta se recalca con una serie de medios, en particular, promesas o garantías del defraudador o de terceros, incluso de entidades. Algunos planes fraudulentos ofrecen supuestas pruebas de que los rendimientos son devengados, o incluso se abonan realmente, con cargo al capital inicialmente invertido o al aportado por otros inversionistas (los planes “Ponzi”). Indicador 6. Secretismo indebido. La transparencia es esencial en el funcionamiento de los mercados financieros modernos y la información sobre estos mercados e inversiones es ampliamente accesible. Por otra parte, los inversionistas realizan inversiones basándose en información confidencial o información cuyo significado no se comprende en general. En ciertas situaciones puede ser ilegal actuar en base a esa información. En otras actividades comerciales, las empresas procuran por diversos medios legítimos evitar la revelación por sus empleados u otras personas de información confidencial o de técnicas industriales para mantener su competitividad en la industria. Ahora bien, tales restricciones casi nunca son procedentes en lo que atañe a los inversionistas y, sobre todo, en lo que respecta a los medios por los que se van a generar fondos. Secretismo indebido es un grado de secreto que va más allá de los límites adecuados para la operación. Indicador 7. Operaciones excesivamente complejas o excesivamente simples. Aunque las operaciones comerciales, en particular las de ámbito transnacional, pueden a veces ser complejas por su misma naturaleza, la persona a la que se pide tomar una decisión con consecuencias financieras debe comprender, al menos en lo fundamental, la operación en que se solicita su participación. Frecuentemente los defraudadores usan como modelo operaciones legítimas muy complejas y que, por lo tanto, se lanzan al mercado solo para los inversionistas muy avezados. Este modelo lo utiliza luego el defraudador para involucrar a personas menos experimentadas, que tal vez no puedan comprender la naturaleza de la operación ni la necesidad de esa complejidad. Además, es posible que se cree una maraña de empresas u otras entidades para alejar de toda culpa al defraudador cuando se descubra su fechoría, frustrar la recuperación de los bienes, blanquear el producto del delito, o permitir al defraudador la posibilidad de seguir sus manejos en una serie de tramas paralelas. La complejidad artificial o innecesaria y las simplificaciones exageradas y absurdas son dos técnicas que aplican los defraudadores para dejar en la penumbra los aspectos fundamentales de la operación, que por lo general carecen de lógica económica. Indicador 8. Frustración de la diligencia debida. La persona o la entidad a la que se solicite una decisión que tenga consecuencias financieras debe cuidarse de proceder con la diligencia debida utilizando fuentes independientes que investiguen la operación propuesta, en particular cualquier aspecto inhabitual. La persona a la que se solicita una inversión debe ser la más motivada, y la mejor situada, para obrar con la diligencia debida. En los fraudes comerciales se recurre a artificios muy variados para frustrar el ejercicio de la diligencia debida, ya sea originando distracciones, suscitando una falsa atmósfera de credibilidad al dar la impresión de una aprobación masiva, interviniendo en los medios por los cuales se ejerce la diligencia debida, remitiendo al inversionista a fuentes no independientes, adoptando tácticas de venta con gran apremio, reiterando la urgencia o la necesidad de secreto, o maniobras parecidas. Es sumamente sospechosa toda tentativa de burlar la investigación completa e independiente de la operación y, en especial, de aspectos insólitos o dudosos. Indicador 9. Abuso de incentivos. Un fraude comercial puede consistir en aprovechar los incentivos al rendimiento profesional dados por una entidad o sus ofrecimientos de asistencia, regalos, favores y otros alicientes a determinados individuos a cambio de una prestación que de otra manera no se recibiría, o de pasar por alto cierta actividad cuestionable. Indicador 10. Inducción psicológica y tendido de trampas. Los defraudadores pueden tratar de embaucar a las víctimas recurriendo primero a instigaciones y manipulación psicológicas, para convencerlas de que participen en el fraude, y luego tenderles una trampa en lo que respecta a la ilegalidad real o imaginaria de su participación. Esa trampa se utiliza después contra las víctimas para distraer su atención u obtener su silencio sobre el fraude comercial mucho más grave que los defraudadores están cometiendo. Indicador 11. Fallos de los controles preventivos a causa de crisis. Los defraudadores comerciales pueden explotar puntos débiles de los sistemas de control para aprovecharse de los impulsos generosos o emocionales generados a consecuencia de catástrofes naturales o provocadas por el hombre. Indicador 12. Transferencia inmediata, rápida o irrevocable de fondos. Los defraudadores comerciales a menudo ejercen presión sobre los posibles inversionistas no solo para que tomen rápidamente una decisión, sino para que hagan transferencias inmediatas o rápidas de fondos, dando poco o ningún tiempo para actuar con la diligencia debida o para consultar a expertos. Indicador 13. Fuente de reembolso cuestionable o desconocida. En los fraudes comerciales se deja a menudo en la sombra la fuente de pago de las supuestas ganancias o beneficios resultantes de la inversión, aludiendo a fuentes imprecisas, fuentes extranjeras, fuentes inciertas, por ejemplo, a “programas de comercio” genéricos (a veces en mercados “secretos”), o insinuando fuentes de pago existentes en jurisdicciones internacionales no reguladas o radicadas en entidades no sujetas a regulación. Indicador 14. Aspectos o explicaciones irracionales o ilógicos. Una vez efectuada una inversión, el defraudador, deseoso de prolongar el fraude o de ocultar el producto, suele recurrir a cualquier razón que tenga o que sea superficialmente plausible para explicar todo aspecto que se cuestione. Muchas veces estas excusas o explicaciones no resisten un análisis riguroso y demuestran que hay fraude comercial. Indicador 15. Fraude basado en el abuso de afinidades o de relaciones personales. En los fraudes comerciales se suelen aprovechar factores no económicos, como la confianza espontánea entre personas de procedencias similares, para hacer que las víctimas potenciales no actúen con la diligencia debida que ejercerían en otras circunstancias y servirse de ese grupo como fuente de posibles víctimas. Asimismo, los defraudadores tratan a menudo de fingir que adoptan las creencias o rasgos comunes que unen al grupo o que son característicos del mismo. Indicador 16. Fraude cometido por directivos o empleados o con su participación. Los directivos y empleados (inclusive las personas con acceso a información confidencial de sociedades, como agentes, contratistas y empresas y partes asociadas) de todos los niveles pueden participar en toda una serie de fraudes, desde obtener un puesto de confianza con miras a cometer una estafa, hasta aprovecharse de una oportunidad o situación dada en el seno de una entidad, bien sea solos o de consuno con otros empleados o personas del exterior. Indicador 17. Intervención o participación insólita de profesionales. La participación de un profesional no garantiza que una operación sea forzosamente lícita, sobre todo cuando esa participación parece algo insólita. Como es natural, los profesionales intervienen en las operaciones comerciales desempeñando diversas funciones. Además, las empresas recurren a ellos para que las asesoren y para protegerse del fraude comercial. Pueden utilizar los servicios de un abogado que redacte los documentos de una operación, de un contable que aconseje sobre la forma de hacer constar la operación en los libros de la empresa o sobre sus repercusiones fiscales, o bien de un asesor financiero o un banquero que recomiende una operación determinada o que asesore sobre ciertos tipos de operación. Indicador 18. Solicitudes improcedentes de revelación de información. Los defraudadores comerciales requieren a menudo información obtenida por medios o de maneras inusuales o improcedentes en determinadas circunstancias; esa información puede utilizarse para cometer un fraude contra la persona o la entidad a quien se le pide o contra terceros. Indicador 19. Uso indebido de tecnología y fraude electrónico. El considerable aumento del uso comercial de las tecnologías de información y de comunicación a nivel mundial ha traído consigo un incremento del fraude comercial en que se aprovechan esas tecnologías para reducir riesgos, acrecentar los posibles beneficios y el número de víctimas. Indicador 20. Sistemas de comercialización en forma de pirámide o en estratos múltiples. Un defraudador puede tratar de captar nuevo personal de venta de mercancías o de productos financieros. Pide al agente de ventas captado que pague (o “invierta”) unos derechos por su admisión en el sistema y que después capte a otras personas, que a su vez pagarán derechos, con cargo a los cuales el defraudador y el agente captado anteriormente recibirán comisiones. Por regla general, se prometen a la persona captada grandes beneficios, resultantes tanto de las ventas como de los derechos de admisión. Indicador 21. Fraude relativo a bienes y servicios. Los fraudes comerciales relativos a bienes y servicios suelen ser promovidos por defraudadores que falsean la naturaleza, la calidad, la cantidad o el valor de los bienes o servicios que han de suministrarse o prestarse o que son objeto de la inversión. Indicador 22. Fraude relativo a valores bursátiles y abuso de mercado. Los fraudes comerciales suelen darse cuando se venden valores bursátiles no inscritos en registro, cuando los venden personas no autorizadas a hacerlo a tenor de las leyes y reglamentos aplicables, o cuando se producen abusos o manipulaciones del mercado. Indicador 23. Uso fraudulento de los procedimientos de insolvencia. Puede ocurrir que el proceso de insolvencia se utilice con fines de fraude comercial facilitando la transferencia indebida de activos, consiguiendo que se invierta en la entidad insolvente mediante declaraciones falaces, o bien presentando o vendiendo créditos falsos.   Fraudes en PyMEs vs. fraudes en grandes empresas.   Las Pymes sufren significativamente más fraudes que las grandes empresas. Esto se debe a: • Falta de controles internos. • Ausencia de control por oposición de intereses. • Ausencia de auditoría interna. • Confianza solo depositada en la gente y no en los procesos. • Falta de conciencia de la dirección. • Ausencia de Políticas de Gobierno Corporativo.   En las Pymes se presentan las siguientes particularidades: 1. Los tipos de fraudes son distintos a las grandes empresas. Hay mayor robo de activos que actos de corrupción. 2. Las formas de detección son distintas. 3. Se tarda más en detectarlos. 4. La economía informal complica el armado de esquemas efectivos de control    El fraude en los principales procesos del negocio. Las organizaciones pueden verse afectadas por diferentes tipologías de fraude, en mayor o menor medida, dependiendo del sector en el que opera la organización. Las distintas formas que adoptan estas irregularidades tienen características y consecuencias diferentes, por lo que requieren métodos de prevención y detección adaptados a cada caso. Los esquemas más comunes incluyen malversación por parte de: Empleados: Creación de y pago a proveedores ficticios. Pago de facturas sobrevaloradas (infladas) o ficticias. Facturas por bienes no recibidos o servicios no realizados. Robo de inventarios o utilización de activos de la organización para beneficio personal. Reporte de gastos falsos o sobrevalorados (inflados). Robo o uso de información confidencial de la organización. Empleados en colusión con proveedores, clientes o terceras partes: Pagos de facturas sobrevaloradas (infladas) o ficticias. Emisión de notas de crédito sobrevaloradas (infladas) o ficticias. Facturas por bienes no recibidos o servicios no realizados. Precios o entregas preferenciales. Manipulación de licitaciones, sorteos o proceso de adjudicar contratos. Robo o uso de información confidencial de la organización. Proveedores: Pagos de facturas sobrevaloradas (infladas) o ficticias. Despachos incompletos / con faltantes o sustitución por bienes de menor calidad. Facturas por bienes no recibidos o servicios no realizados. Clientes: Reclamos falsos por bienes dañados o devueltos así como por despachos incompletos.   Normativa internacional para prevención y detección de fraudes.   Sarbanes Oxley Act (SOX). El 30 de Junio de 2002, el presidente de los Estados Unidos George Bush, firmó la aprobación de la Ley Sarbanes-Oxley, a la cual definió como “la reforma de mayor alcance en las prácticas comerciales del país desde la Gran Depresión”. Dicha Ley fue elaborada a consecuencia de la quiebra de la multinacional “Enron Corporation”, que en el año 2001 se calcula que contaba con unos activos superiores a los 49 billones de dólares y era considerada como una de las mayores empresas de los Estados Unidos. En ese mismo año, sin embargo, se descubrieron una serie de fraudes contables que se atribuyeron a la firma que se encargaba de sus auditorías, la empresa “Arthur Andersen”y que culminaron en el mayor escándalo financiero de la historia de los Estados Unidos. El colapso de Enron, creó un efecto dominó frente a otras grandes compañías norteamericanas, como “WorldCom”, “Adelphia Communication”, etc. que también tuvieron problemas contables y fueron objeto de investigaciones posteriores, además de suponer el despido de miles de  empleados y la pérdida de las inversiones de muchas familias norteamericanas. El Congreso de los Estados Unidos, se percató de que el prestigio y el dominio del NYSE frente al resto de Bolsas mundiales se encontraba en entredicho, ya que muchos   inversores   internacionales   perdieron   la   confianza   en “Wall   Street” y consideraba n  que  el  sistema  americano  era  muy  complejo  y  demasiado  fácil  de  manipular.  Por  ello,  el  Congreso  reaccionó  rápidamente  y  elaboró  la  citada  Ley,  que toma  el  nombre  del  Senador  del  Partido  Demócrata  Paul  Sarbanes  y  del  Republicano Michael G. Oxley.  El ámbito de aplicación de la SOX, en términos generales, son todas aquellas personas jurídicas apuntadas  en  el  NYSE,  NASDAQ  o  cualquier  otro  mercado  de valores norteamericano. Su  finalidad  estriba principalmente  en  establecer  un  mayor  control  sobre  las  empresas y  sus  filiales  - con  independencia  de  su  nacionalidad - basado  en  la  necesidad  de  adoptar  mecanismos  que  aseguren  el  buen  gobierno  corporativo,  la  responsabilidad  de  los  administradores,  la  transparencia  en  las  cuentas  de  la  persona  jurídica,  la  regulación  del modo de realizar las auditorías, etc. Concretamente, dentro de su regulación, es menester detenerse en el análisis de algunas secciones, que seguidamente se exponen. 1) La sección 301 versa sobre los criterios de independencia de los miembros del comité de  auditoría  de  la  persona  jurídica.  El  apartado  3º  establece,  de  un  lado,  que  cada miembro del comité de auditoría sea miembro de la junta directiva de la persona jurídica y, de otro, que sea  independiente. Por “independiente”, cabe entender que el miembro del comité de auditoría no puede “aceptar  un  honorario  de  la  persona  jurídica  por consulta, asesoramiento u otro concepto” ni puede “pertenecer a dicha entidad ni a sus filiales” si las hubiere.  Por  tanto,  la  ley  SOX  establece  cómo  formar  un  comité de auditoría, lo que redunda en un mayor control y transparencia de las mismas. 2)   La   sección   302,   relativa   a   la   responsabilidad   empresarial   por   los   informes financieros,  exige a los  principales ejecutivos  y  a los principales ejecutivos financieros (“chief executive officer y chief financial officer”, “CEO y CFO ”), que certifiquen la veracidad de los informes trimestrales y anuales de la persona jurídica. Además de ello, tal  sección  obliga  a  dichos  ejecutivos  a  certificar  que  ellos  son  los  responsables  de establecer  y mantener controles internos, así como a informar verazmente al comité de auditoría sobre los resultados obtenidos en los controles, ya que, si el informe contiene carece de información o ésta es falsa, la responsabilidad recae sobre el responsable de la persona  jurídica  que  haya  firmado  los  informes.  Así,  pues,  se  pretende  lograr  una mayor independencia del comité de auditoría frente a la persona jurídica auditada, para que los informes financieros de la compañía resulten lo más objetivos y veraces posible. 3) La sección 402, sobre conflictos de intereses, prohíbe que la persona jurídica realice préstamos personales a sus directores o ejecutivos. 4)  La  sección  906,  relativa  a  la  responsabilidad  penal  de  la  persona  jurídica  por  los informes financieros, impone multas al firmante de dichos informes de hasta 1.000.000 de dólares,  diez años de cárcel o ambas penas si firmó el informe a sabiendas de que no cumplía  con  todos  los  requisitos  de  dicha  sección,  o  de  hasta  5.000.000  de  dólares, veinte  años  de  cárcel  o  ambas,  si  voluntariamente  firmó  el  informe sabiendo  que  no cumplía con tales requisitos. La diferencia entre ambas radica en la voluntariedad de la segunda, es decir, existe una posición activa del firmante en la falsificación del informe.   Combate del Fraude en Argentina. Desde 1999 la OCDE, a través de grupos de trabajo Ad-Hoc, presentan lo que se dio a conocer como Principios de Gobierno Corporativo. En 2004, con motivo de los conflictos mencionados, estos principios fueron revisados y actualizados. Los principios, “tienen un carácter no-vinculante, y no pretenden la incorporación de disposiciones detalladas en las legislaciones nacionales. Más bien, lo que pretenden es identificar objetivos y plantear diversos medios para alcanzarlos. Su propósito es servir como punto de referencia”. Los cimientos de estos principios fueron avalados e incorporados por el Foro De Estabilidad Financiera como doce de sus normas base. Es decir, los países adoptaron un trascendental compromiso al suscribir la Convención de Naciones Unidas contra la Corrupción empresaria en el año 2003. Dicha Convención fue ratificada por Argentina en Junio de 2006 mediante la ley 26.0979. Y tiene por finalidad: promover medidas para prevenir y punir la corrupción en forma más eficiente, mediante la cooperación internacional y la asistencia técnica, promoviendo la integridad, la transparencia y la obligación de rendir cuentas en todos los actores intervinientes. En este contexto, los Estados han regulado institutos legales para la protección contra la defraudación privada. En el caso de Argentina, al ratificar la convención ha incorporado a su ordenamiento los lineamentos que impone este instrumento, entre los que se destaca la tipificación del delito de “soborno en el sector privado”, y la adecuación de los delitos de violación de secretos, administración fraudulenta, fraude subversivo y encubrimiento. No obstante, creemos de suma importancia expresar que Argentina aún no ha cumplido con la adecuación de su ordenamiento interno a la Convención de Nueva York, la que cuenta con rango supralegal, en base a lo dispuesto por el art. 75 incisos 22 y 24, 1º párrafo, respectivamente, de la Constitución Nacional. Esto significa, que se ubica por sobre las leyes y por debajo de la Constitución. La ratificación de una convención implica que Argentina tiene la obligación de adoptar varias medidas, entre las que se encuentran incluir los nuevos tipos penales mencionados, referidos al fraude corporativo.   La Norma IRAM 17450. Sistema de Gestión para la prevención del fraude corporativo. El Comité General de Normas (CGN) del IRAM, en la reunión llevada a cabo el 26/08/05, otorgó tratamiento y posterior aprobación a la Norma IRAM N° 17450 – “Sistema de Gestión para la Prevención del Fraude Corporativo”. Esta norma ha sido el resultado de un proyecto que demandó un largo proceso de estudio, de debates e intercambios, el cual finalmente fue sometido a una etapa de “Discusión Pública” por el término de 60 días. Luego de enunciar el objeto, el campo de aplicación y los documentos normativos para consulta, la norma establece cuáles son los fundamentos del sistema de gestión para la prevención de fraudes, las ventajas de su adhesión y los principios sobre los que se desarrolla la misma. Asimismo, delimita un marco conceptual en forma precedente a establecer los requisitos necesarios para la implementación de un sistema de gestión para la prevención del fraude.  Finalmente complementan la norma varios anexos que contienen esquemas, ayudas prácticas, formularios y modelos sugeridos aplicables para la implantación del sistema de gestión precitado.   Principios sobre los que se desarrolla la norma IRAM 17450. La norma establece como principios fundamentales, los siguientes: - el fraude ocupacional es un ilícito basado en relaciones humanas, en donde se considera uno de los elementos fundamentales del fraude el engaño, es decir, la habilidad de persuasión del/los perpetrador/es del mismo. - El proceso decisorio del defraudador consta de tres elementos o etapas: presión, oportunidad percibida y racionalización (auto-justificación de la acción ejecutada). - La consideración de la brecha existente entre la expectativa de vida de los individuos y la de las organizaciones. - El estilo de liderazgo y su ejemplo. - El ocultamiento como elemento componente del fraude ocupacional. - La criminalidad (hechos ilícitos) como fenómeno social normal.   Requisitos del sistema de gestión para la prevención del fraude. La norma está organizada de acuerdo con las distintas etapas de una acción ilícita y haciendo énfasis en dos de los elementos de un sistema normativo: las normas particulares que debe generar cada organización y las actividades de control de cumplimiento de tales normas. Se establecen entre los requisitos del sistema de gestión para la prevención del fraude corporativo, los mencionados a continuación: - la definición del tono moral: no se limita a las leyes vigentes, políticas y normas corporativas, sino también a políticas de conductas, prácticas comerciales y valores componentes de la cultura empresaria. La norma establece taxativamente las políticas que deben definirse para poner en práctica este sistema. - La necesidad de la existencia de un código de ética, de su comunicación y publicidad a todos los que comprenden la comunidad de la organización. La norma proporciona en uno de sus anexos ayudas prácticas para la elaboración de políticas y código de ética. - La creación de un Órgano Disciplinario y una Unidad de Investigación, siendo las responsabilidades principales del primero, la verificación del cumplimiento de las políticas organizacionales y de la segunda, la ejecución de los trabajos de investigación. En cuanto a dependencias funcionales, la norma establece que el Órgano Disciplinario debe depender de los propietarios o su representante dentro de la organización y debe estar segregado de la dirección ejecutiva de la misma, mientras que la Unidad de Investigación deberá depender funcionalmente del órgano mencionado. - el establecimiento de un Programa de cumplimiento de las políticas y normas corporativas establecidas y su seguimiento. - La definición de una Política anti-fraude, que establezca quién maneja las conductas no esperadas o anómalas y bajo qué circunstancias. La norma desarrolla los elementos componentes de tal política: su declaración, el alcance, la enunciación de acciones dolosas o ilícito-económicas, el concepto de negligencia e impericia, las responsabilidades de investigación, la confidencialidad, la autorización para investigar, los procedimientos de comunicación y los resultados de la investigación. Con la finalidad de facilitar la asignación formal de tareas (responsabilidades asignadas) en un proceso de investigación, la norma proporciona, en uno de sus anexos, un modelo de “Matriz de Responsabilidades de la política anti-fraude”. - La documentación de las denuncias de actividades prohibidas. La norma establece un Modelo de Registro de Incidentes. - La protección debida al denunciante. - El accionar ante denuncias falsas. - El alcance de la aplicación de los principios definidos por la política antifraude y competencias del Órgano Disciplinario y la Unidad de Investigación.

Riesgos: definición, distintos tipos; mapeo; administración. Existen muchas definiciones de riesgo, una definición propia y sencilla sería: “La probabilidad de que, la ocurrencia de un suceso adverso afecte a la entidad e impacte en su habilidad para lograr sus objetivos estratégicos y por ende la capacidad de cumplir su misión y visión”. En la actualidad, la empresa se presenta como una cadena económica integrada por un conjunto de operaciones que abarcan el diseño del producto, la producción, la distribución y la venta, que están orientadas a la creación de valor. Esta perspectiva de la empresa nos permite definir su objetivo como la maximización de su valor, lo que a su vez nos permite incluir los siguientes factores: de un lado, se considera la renta residual (beneficio) que perciben los accionistas, además de considerar las posibles inversiones (crecimiento) que contribuyen a satisfacer la utilidad de los derechos, de otro, incorpora la proporción de riqueza que se dedica a satisfacer los objetivos del resto de los participantes en la empresa. Las empresas tratan de determinar qué riesgos deberían ser administrados a nivel corporativo y qué riesgos deberían también ser dejados a cargo de los niveles inferiores dentro de la estructura de la organización. Los enfoques organizacionales a la administración de riesgo pueden ser centralizados a nivel corporativo o descentralizado entre divisiones o procesos dependiendo de la naturaleza de los riesgos en cuestión y las preferencias de la administración. Aunque todavía no exista una forma correcta o incorrecta para organizarse, algunos principios organizacionales están emergiendo como sigue: •             La administración de riesgo centralizado tiende a enfocarse en los riesgos que afectan el logro de los objetivos y estrategias corporativos claves y afectan significativamente no sólo a la mayoría si no que a todas las funciones y procesos (por ejemplo, reputación). Estos riesgos pueden ser conocidos como riesgos que afectan a toda la organización. •             La administración de riesgo descentralizado empuja la responsabilidad de la administración de riesgo a aquellos que viven con él día a día. Los riesgos que pueden ser mejor administrados en esta forma son los riesgos a nivel de división y proceso, que son aquellos que están presentes significativamente sólo en un proceso en particular pero que, sin embargo, afecta la habilidad de la organización de implementar exitosamente el total de sus estrategias. La gestión de riesgo empresarial se está desarrollando en este contexto. Es una forma significativa de identificar los riesgos críticos que la organización enfrenta – incluyendo, por ejemplo, reputación, ética, e-business, o riesgos de salud, seguridad, y medio ambiente (no solamente riesgos financieros o asegurables) – y luego administrar y optimizar esa cartera de riesgos de modo tal de obtener los retornos financieros necesarios.   Tipos de Riesgos. Riesgo de crédito: Posibilidad de que la contraparte incumpla sus obligaciones contractuales. Riesgo de liquidez: Imposibilidad de poder deshacer una posición con la suficiente rapidez y a un precio de mercado competitivo. O bien, imposibilidad de asumir un pago por falta de liquidez. Es un riesgo difícilmente cuantificable desde fuera de la propia empresa. Riesgo operacional: Riesgo asociado a la realización de las transacciones (calidad de los sistemas informáticos de gestión y control, nivel de formación, complejidad de los productos…). Es decir, posibilidad de que ocurra una contingencia en la empresa. Riesgo legal: Proviene fundamentalmente de las carencias legislativas en relación a la continua innovación financiera, pero también de la falta de rigor al analizar las posibles limitaciones legales de actuación de las distintas contrapartidas. Riesgo estratégico: Riesgo asociado a la elección de una estrategia inadecuada para permanecer y competir en el negocio. Riesgo reputacional: Consecuencia de un hecho adverso para la entidad. Proviene fundamentalmente de la pérdida de confianza de los clientes. Lo que puede sacar a una empresa del negocio. Riesgo de mercado: Posibilidad para una posición o cartera de incurrir en pérdidas ante movimientos desfavorables de los precios en el mercado. Este riesgo tiene, a su vez, otros muchos tipos de sub-riesgo: •             Riesgo de tipos de cambio. •             Riesgo de tipos de interés. •             Riesgo de acciones. •             Riesgo de volatilidad.   Los Procesos de Identificación, Caracterización, Valuación, Tratamiento, Control y Retroalimentación. El proceso de administración de riesgos implica varias etapas: Identificación, etapa previa que conduce al Análisis de los riesgos (estos se califican según la probabilidad de ocurrencia y el impacto que pueden producir en caso de materializarse). Para Calificar los riesgos se usan escalas de valoración, dependiendo de las necesidades de cada empresa. En la evaluación de riesgos se determina qué tan graves son los riesgos identificados según los criterios de aceptabilidad, definidos por el nivel directivo. Una vez evaluados los riesgos se definen las medidas para tratarlos: control o financiamiento de las pérdidas. Luego se implementan las medidas de tratamiento de los riesgos y se monitorea su eficacia. El proceso de monitoreo, al igual que la comunicación de la información referente a las etapas de la administración de riesgos, es de acción permanente; ambos permiten el mejoramiento continuo del manejo de los riesgos. La identificación de riesgos, así como las demás acciones, no puede ser puntual ni obedecer a una moda administrativa o a un impulso originado por la materialización de un riesgo catastrófico; se trata de un proceso consciente de análisis permanente y participativo, en el cual se busca responder como empresa a los riesgos que pueden afectarla. Identificar un riesgo empresarial es determinar los posibles eventos que con su materialización puedan impactar objetivos, estrategias, planes, proyectos, servicios, productos u operaciones de la empresa. La identificación de riesgos incluye además la caracterización de esos eventos, es decir, el análisis de cómo ocurrirían, por qué se presentarían, dónde y cuándo sucederían, quién o qué factores incidirían en su ocurrencia, qué o quién podría verse afectado por ella, cuál sería la afectación (a la imagen, al personal, a recursos materiales o inmateriales, a terceros, etc.) y quién sería el responsable de manejar el riesgo. El proceso de tratamiento de riesgos consiste en seleccionar y aplicar las medidas más adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda reportarnos. Cualquier sistema de tratamiento de riesgos debe garantizar como mínimo: • Un funcionamiento efectivo y eficiente de la organización. • Controles internos efectivos. • Conformidad con las leyes y reglamentos vigentes. Las actividades de control son aquellas políticas y procedimientos que ayudan a asegurar que las respuestas establecidas por la dirección frente a los riesgos se lleven a cabo de manera adecuada y oportuna. Los procedimientos son las acciones de las personas para implantar políticas ya sea directamente o a través de tecnología, es decir, una política establece la forma como se debe realizar y un procedimiento establece la manera de llevarse a cabo. La gestión de riesgos corporativos de una entidad cambia con el tiempo, por lo tanto, las respuestas a los riesgos, las actividades de control pueden resultar menos eficaces, además los objetivos de la entidad también pueden cambiar. Todos estos cambios pueden ser motivados por hechos tales como el ingreso de nuevo personal, de nuevos productos, cambios en la estructura de la entidad. La supervisión permanente está integrada en las actividades operativas normales y recurrentes de la entidad, esta integración hace que sea más eficaz que las evaluaciones independientes; se lleva a cabo en tiempo real, reacciona de manera dinámica a las condiciones cambiantes. La frecuencia de estas evaluaciones independientes es a mero criterio de la dirección, basada en factores como la naturaleza y alcance de los cambios producidos y sus riesgos correspondientes, la competencia y experiencia del personal que está a cargo de implantar la repuesta al riesgo y los resultados de la supervisión permanente, este último factor debido a que los mecanismos para gestionar el riesgo generalmente están hechos para que puedan auto controlarse hasta cierto punto, por esto, cuanto mayor alcance y eficacia tienen estas actividades , menor es la necesidad de elaborar evaluaciones independientes.   Mapa de Riesgos. Es una herramienta que permite organizar la información sobre los riesgos de las empresas y visualizar su magnitud, con el fin de establecer las estrategias adecuadas para su manejo.  El mapa de riesgos permite también monitorear el desempeño de la organización en la administración de sus riesgos, con el establecimiento de comparativos anuales a partir de las evaluaciones de los diferentes riesgos y el análisis de la efectividad de las medidas de control implementadas. Los mapas de riesgos pueden representarse con gráficos o datos. Los gráficos corresponden a la calificación de los riesgos con sus respectivas variables y a su evaluación de acuerdo con el método utilizado en cada empresa. Los datos pueden agruparse en tablas, con información referente a los riesgos; a su calificación, evaluación, controles y los demás datos que se requieran para contextualizar la situación de la empresa y sus procesos, con respecto a los riesgos que la pueden afectar y a las medidas de tratamiento implementadas. Permite un mejor entendimiento en relación con la situación de los riesgos de la empresa en conjunto y de sus procesos o sus proyectos, al proporcionar información en forma global o discriminada.  En los casos en los cuales la gerencia no tiene conciencia de la necesidad de invertir en las medidas de control o financiamiento de los riesgos, o en el entrenamiento y sensibilización del personal, la información contenida en los mapas de riesgos puede servir de motivación para apoyar al desarrollo de los programas de administración de riesgos, orientar efectivamente las acciones al definir prioridades para su manejo y al disponer de propuestas sobre las medidas de tratamiento. Con el diseño e implementación de los mapas de riesgos se promueve el trabajo en equipo, lo cual incrementa el entendimiento de los participantes sobre los procesos analizados y crea un mayor nivel de responsabilidad y colaboración entre   las dependencias, por que con ellos se logra entender las relaciones que tienen los procesos entre si y sus implicaciones en la generación y administración de riesgos.   La función de control. Concepto. En su sentido más amplio el Control Interno comprende la estructura, las políticas, el plan de organización, el conjunto de métodos y procedimientos y las cualidades del personal de la empresa que aseguren: - Que los activos están debidamente protegidos. - Que los registros contables sean fidedignos, así como la validez de la información en general. - Que la actividad se desarrolla eficazmente. - Que se cumplen las políticas y directrices marcadas por la dirección. Esta definición reconoce que un sistema global de C.I. se extiende más allá de las materias que lo relacionan con los departamentos contable y financiero y abarca otros tipos de control, como son los de gestión y eficacia operativa. Incluye los métodos por medio de los cuales la dirección delega autoridad y asigna responsabilidades en el departamento de compras, ventas, producción, contabilidad, etc.; incluye el programa para la preparación, verificación y distribución de la supervisión en las diferentes actividades; la utilización de técnicas presupuestarias, inspecciones, estudios de tiempos, programas de formación para el personal, etc.   Controles contables o financieros: - Son aquellos controles tendentes a garantizar la protección de los activos y la validez de la información. - Comprenden el plan de organización y el conjunto de métodos y procedimientos cuya misión es la salvaguarda de los bienes activos y la fiabilidad de los registros contables. - Incluyen sistemas de autorización de operaciones, normas sobre segregación de funciones, manuales de procedimientos contables, controles físicos de los activos, etc.   Controles administrativos u operativos: - Son aquellos controles orientados hacia la promoción de la eficiencia y a asegurar la adhesión a las disposiciones de la gerencia. - Comprenden la normativa y los procedimientos existentes en la empresa vinculados a la eficiencia operativa y al acatamiento de las políticas de la dirección y normalmente sólo influyen indirectamente en los registros contables. - Incluyen análisis estadísticos, controles de calidad, sistemas de información, revisiones analíticas, análisis comparativo de desviaciones, etc. Esta clasificación no es absoluta, ya que en ocasiones los controles contables y los administrativos se superponen y se confunden. Por ejemplo establecer un sistema presupuestario de gestión es un control administrativo, pero si este sistema sirve para detectar errores u omisiones en los registros contables se convierte en un control contable.   Técnicas de Control Interno: El uso de los objetivos de control es una herramienta de gran utilidad, ya que permite identificar, al nivel de detalle, cuáles son las técnicas necesarias que permiten lograr tal o cual objetivo y, en todo caso, cuál es el riesgo que se corre por no contar con esas técnicas de control. Las técnicas de control, que representan la forma en la cual se ejerce el C.I., pueden clasificarse en dos grupos:   Técnicas de prevención Están destinadas a proporcionar una seguridad razonable de que únicamente se reconocen y procesan transacciones válidas. P. ej. podemos citar: - Autorización de todas las transacciones - Procedimientos de validación de datos previa a su proceso - Doble verificación de datos introducidos en el sistema informático - Segregación y rotación de funciones - Normas y procedimientos claramente definidos   Técnicas de descubrimiento Son aquéllas tendentes a proporcionar certeza razonable de que se descubren los errores e irregularidades. P. ej. podemos citar: - Inventarios físicos de las existencias - Utilización de documentación prenumerada - Comparaciones de datos reales con presupuestos - Conciliaciones bancarias - Auditoría interna Estos ejemplos son ilustrativos, ya que la lista potencial de técnicas de C.I. podría ser muy amplia.   Elementos de C. I. - La estructura organizativa, que comprende fundamentalmente la definición de áreas de responsabilidad, líneas de autoridad, canales de comunicación y niveles de jerarquía (organigramas, manuales de procedimientos, etc.) - Las políticas y procedimientos operativos, en materia de compras, ventas, producción, gestión de inventarios, política de inversiones, finanzas, etc. - Las políticas y procedimientos contables, incluyendo a todo el sistema de información de la empresa, no sólo la contabilidad patrimonial básica, sino también el control presupuestario, las estadísticas, etc.   Aseguramiento (assurance) y auditoría. Históricamente se distinguen claramente tres esquemas de auditoría que inicialmente fue entendida como revisión (comprobación al 100%), luego evolucionó hacia atestación (muestreo selectivo) y ahora lo está haciendo hacia aseguramiento (administración de riesgos), donde cada una: • Las prácticas de revisión generalmente se basaron en ensayo y error, en una relación de confianza entre el propietario y el auditor. • Las prácticas de atestación se basaron en el muestreo selectivo (estadístico y no estadístico), en una relación de fe pública entre el propietario y el administrador, siendo el auditor el tercero garante a nombre de y para el Estado. • Las prácticas de aseguramiento se basan en la administración de riesgos (principalmente riesgos de negocio), en una relación de independencia entre el auditor y el auditado, en aras del interés público. De acuerdo con lo anterior, los GAAS (Generally Accepted Auditing Standards) fueron exitosos en la implementación de las prácticas de atestación y lograron recibir un importante apoyo legal y regulatorio, derivando en que cada jurisdicción tenía sus GAAS locales, o si se prefiere decir, sus propias normas de auditoría generalmente aceptadas (NAGAS). Adicionalmente, con los procesos de estandarización internacional, se está privilegiando la calidad y la eficiencia de la auditoría y por eso se constatan dos etapas importantes: 1. Uno, mediante el cual los GAAS son reemplazados por los ISA (NIA) 2. Otro que permite que las jurisdicciones adopten los ISA (NIA) en sus normas locales, a veces adicionándoles interesantes plus regulatorios. Lo anterior es clave para el entendimiento estratégico de los ISA (NIA) y para su implementación efectiva, téngase bien presente, en un contexto de aseguramiento, esto es, de seguridad razonable.   ¿Qué se entiende por estándares internacionales de auditoría? Hay por lo menos tres maneras de entender los ISA (NIA): un enfoque reducido, un enfoque amplio y un enfoque ISA (NIA) Plus. a) El enfoque reducido de los ISA (NIA) considera únicamente los que se refieren a la auditoría de estados financieros. En la práctica este enfoque se queda con los estándares emitidos en los años 70´s y 80´s, desconociendo en buena parte su evolución posterior. Una ventaja de este enfoque reducido es que su éxito logró que ya no se acepte la presentación de estados financieros si éstos no están auditados según estándares internacionales de auditoría. De esta manera, la expresión se hizo popular y es conocida ampliamente en todo el mundo. b) El enfoque amplio de los ISA(NIA) es el que tiene IFAC y que aparece en sus Handbook 2013∗: Los ISA (NIA) constituyen un sistema o conjunto amplio que incluye: 1. Unos fundamentos o respaldos (Prefacio, Estructura Conceptual, Glosario, Código de Ética). Si bien éstos no son propiamente ‘estándares de auditoría’, constituyen la base para su implementación, interpretación y explicación. En consecuencia, no se puede desconocer estos fundamentos. 2. Los estándares internacionales sobre control de calidad. Como se privilegia la calidad y no la norma, entonces estos estándares adquieren una preeminencia que se destaca. A la fecha solamente se ha emitido uno, relacionado con la calidad de las firmas que desempeñan estos servicios profesionales, el ISQC1. 3. Los estándares internacionales de auditoría propiamente tales (ISA/NIA), referidos a las auditorías de información financiera histórica y clasificados en 6 grupos, así: (a) Principios y responsabilidades generales (b) Valoración del riesgo y respuesta a los riesgos valorados (c) Evidencia de auditoría (d) Uso del trabajo de otros (e) Conclusiones de auditoría y presentación de reportes de auditoría (f) Áreas especializadas 4. Estándares referidos a las auditorías y revisiones de información financiera histórica: (a) Estándares internacionales sobre compromisos de revisión (ISRE / NITR) 5. Estándares referidos a los compromisos de aseguramiento diferentes a las auditorías o revisiones de información financiera histórica:  Estándares internacionales sobre compromisos de aseguramiento (ISAE) 6. Estándares internacionales sobre servicios relacionados (ISRS/NISR). La anterior clasificación responde a cómo se entiende el aseguramiento, donde la auditoría da seguridad razonable de nivel alto y donde las revisiones dan seguridad razonable de nivel medio, o más precisamente compromisos de seguridad razonable y compromisos de seguridad limitada. Asimismo, es importante mencionar que no hay aseguramiento de nivel bajo. Asimismo, en el Apéndice 2 adjunto, se puede observar el conjunto de los ISA (NIA) vigentes, entendidos con un enfoque amplio, tal y como aparecen en el Handbook 2013 versión inglés y los NIA en su versión español de la traducción española oficial (Versión en español, actualizados en abril de 2009, e incorporados en el Handbook 2010), en proceso de incorporación en Colombia*. c) El enfoque ISA Plus es un intento externo (proviene de los reguladores) orientado a ayudar a acelerar la incorporación de la administración de riesgos dentro de los ISA (NIA). Los ISA (NIA) (‘amplios’) son emitidos por la International Auditing and Assurance Standards Board (IAASB), una junta independiente auspiciada por IFAC. La IAASB sirve al interés público mediante: (1) Establecer, de manera independiente y por su propia autoridad, estándares de alta calidad que se refieran a la auditoría, revisión, otro aseguramiento, control de calidad y servicios relacionados. (2) Facilitar la convergencia entre los estándares nacionales y los estándares internacionales. Esto contribuye a mejorar la calidad y la uniformidad de las prácticas en esas áreas en todo el mundo, y fortalece la confianza del público en la información financiera. El objetivo, el alcance de las actividades y la membresía de IAASB se establece en sus ‘términos de referencia’ (que, junto con su historia y elementos relacionados se puede consultar en http://www.ifac.org/IAASB). El trabajo de IAASB está supervisado por la ‘Public Interest Oversight Board - POB.’  Los miembros de IAASB son nominados por las asociaciones miembro de IFAC, el Transnational Auditors Committee (TAC) y, para los miembros públicos, mediante nominaciones de las asociaciones miembro, TAC, otras organizaciones y el público en general. Los ISA (NIA) tienen unos fundamentos o respaldos (Prefacio, Estructura Conceptual, Glosario, Código de Ética). Si bien éstos o son propiamente ‘estándares internacionales de auditoría’, constituyen la base para su implementación, interpretación y explicación. En consecuencia, no se pueden desconocer estos fundamentos. • Preface to the International Standards on Quality Control, Auditing, Review, Other Assurance and Related Services [Prefacio a los estándares internacionales de control de calidad, auditoría, revisión, otro aseguramiento y servicios relacionados]: ü Emitido en diciembre de 2006 ü Busca facilitar el entendimiento del alcance de los pronunciamientos de IAASB ü Señala cuáles son los pronunciamientos de IAASB (los que aparecen en la tabla que se anexa al final), así como la autoridad de cada uno de ellos ü Remite con claridad, tanto al Código de Ética como a los ISQC ü Precisa que un contador profesional no debe representar el cumplimiento con los estándares de IAASB a menos que haya cumplido plenamente con todos los que sean relevantes para el compromiso ü Deja claro que el texto oficial de estos pronunciamientos es el publicado por IAASB en inglés. • International Framework for Assurance Engagements [Estructura conceptual internacional para los compromisos de aseguramiento]: Efectiva para los reportes de aseguramiento emitidos en o después del 1 de enero de 2005 ü Define y señala el objetivo del compromiso de aseguramiento: compromiso mediante el cual un profesional expresa una conclusión diseñada a mejorar el grado de confianza de los usuarios a quienes se destina, diferentes de la parte responsable, sobre el resultado de la evaluación o medición de la materia sujeto contra el criterio ü Señala el alcance de la estructura conceptual ü Precisa qué es aceptación del compromiso ü Señala los elementos del compromiso de aseguramiento: (a) relación con un tercero que implica un profesional, una parte responsable y usuarios a quienes se destina; (b) una materia sujeto que sea apropiada; (c) criterio confiable; (d) evidencia apropiada y suficiente; y (e) un reporte escrito de aseguramiento en la forma que sea apropiada para el compromiso de seguridad razonable o para el compromiso de seguridad limitada ü Se refiere al uso inapropiado del nombre del profesional ü Diferencia entre compromisos de seguridad razonable y compromisos de seguridad limitada  • Glossary of terms [Glosario de términos]: Define, de manera técnica, cuál es el significado de los términos que se emplean en los pronunciamientos de IAASB ü Es un punto de referencia ‘obligado’: antes que buscar el significado en diccionarios debe acudirse al glosario, el cuál señala el alcance y el contenido de los términos  • Code of Ethics for Professional Accountants [Código de ética para contadores profesionales]:  La última versión es efectiva el 1 de enero de 2011, permitiéndose la adopción temprana. Contiene algunas determinaciones para la transición, relacionadas con entidades de interés público, rotación del socio, servicios de no-aseguramiento, tamaño relativo de los honorarios, y políticas de compensación y evaluación. ü Define contador profesional como un individuo que es miembro de una asociación miembro de IFAC. ü Señala cinco principios generales, aplicables a todos los contadores profesionales: (1) integridad; (2) objetividad; (3) competencia profesional y debido cuidado; (4) confidencialidad; y (5) comportamiento profesional   Un informe de auditoría es un informe independiente sobre la situación financiera de una empresa. Un informe de auditoría es una evaluación de la situación financiera completa de una pequeña empresa. Completado por un contador público externo profesional, este documento cubre los activos y los pasivos de una empresa, y presenta la evaluación educada del auditor de la posición financiera de la empresa y su futuro. Los informes de auditoría están obligados por ley si una empresa cotiza en bolsa o en una industria regulada por la Securities and Exchange Commission (SEC). Las empresas que buscan financiación, así como aquellas que buscan mejorar los controles internos, también encuentran que esta información es valiosa. Hay cuatro tipos de informes de auditoría.   Opinión sin reservas A menudo llamado una opinión limpia, una opinión sin salvedades es un informe de auditoría que se emite cuando el auditor determina que cada uno de los estados financieros facilitados por la pequeña empresa está libre de distorsiones. Además, una opinión sin reservas indica que los registros financieros se han mantenido de acuerdo con las normas conocidas como Principios de Contabilidad Generalmente Aceptados (GAAP, por sus siglas en inglés). Este es el mejor tipo de informe que una empresa puede recibir. Por lo general, un informe sin reservas consiste en un título que incluye la palabra "independiente". Esto se hace para ilustrar que fue preparado por una tercera parte imparcial. El título es seguido por el cuerpo principal. Compuesto de tres párrafos, el cuerpo principal destaca las responsabilidades del auditor, el propósito de la auditoría y las conclusiones del auditor. El auditor firma y fecha el documento, incluyendo su dirección.   Opinión calificada En situaciones en las que los registros financieros de una empresa no se han mantenido de acuerdo con los GAAP, pero no se identifica ninguna tergiversación, un auditor emite una opinión con salvedades. La redacción de una opinión calificada es muy similar a la de una opinión favorable. Una opinión calificada, sin embargo, incluye un párrafo adicional que pone de manifiesto la razón por la que el informe de auditoría no está descalificado.   Opinión adversa El peor tipo de informe financiero que puede ser emitido para una empresa es una opinión adversa. Esto indica que los registros financieros de la empresa no se ajustan a los GAAP. Además, los estados financieros facilitados por la empresa han sido groseramente tergiversados. Aunque esto puede ocurrir por error, a menudo es una indicación de fraude. Cuando este tipo de informe se emite, una empresa debe corregir sus estados financieros y deben volverse a auditar, ya que los inversores, prestamistas y otras partes que lo soliciten por lo general no lo aceptarán.   Abstención de opinión En algunas ocasiones, el auditor no puede completar un informe de auditoría preciso. Esto puede ocurrir por una variedad de razones, tales como la ausencia de registros financieros apropiados. Cuando esto ocurre, el auditor emite una abstención de opinión, afirmando que el dictamen de la situación financiera de la empresa no se pudo determinar.

Definición y metodología para la identificación de procesos en una organización. Los procesos, se pueden definir como secuencias ordenadas y lógicas de actividades de transformación, que parten de unas entradas (datos, especificaciones, máquinas, equipos, materias primas, consumibles, etc.), para alcanzar unos resultados programados, que se entregan a quienes los han solicitado, esto es, los clientes de cada proceso. Entradas: Se definen por las necesidades de las personas y las fuentes de información procedentes, tanto internas como externas. Salidas: Constituyen la conclusión del ciclo de vida de la información, posibilitan disponer de productos y servicios de información con valor añadido y deben garantizar la satisfacción de las necesidades de la comunidad de usuarios a la que se vincula el sistema con las exigencias de calidad que ellos demandan o necesitan. Flujo de información: Es el tránsito de la información, desde las entradas por cada uno de los procesos, hasta las salidas. En el paso de la información, desde las entradas a las salidas, intervienen una serie de procesos ordenados que se relacionan estrechamente por medio de diversos flujos, con vista a que el usuario obtenga una nueva información de valor añadido. Cualquiera de estos cuatro componentes se vincula con diversos recursos: humanos, físicos, materiales y tecnológicos (hardware y software) e información en su acepción más amplia. Los procesos pueden ser industriales (en los que entran y salen materiales) o de gestión (en los que entra y sale información/servicios). Los procesos existen en cualquier organización, aunque nunca se hayan identificado ni definido, los procesos constituyen lo que hacemos y cómo lo hacemos. En una organización, prácticamente cualquier actividad o tarea puede ser encuadrada en algún proceso. No existen procesos sin un producto y/o servicio. No existe cliente sin un producto y/o servicio. No existe producto y/o servicio sin un proceso. Es por ello que los procesos son el elemento más apreciado y utilizado de forma más general en los modelos de gestión de organizaciones, así como el elemento más importante y más extendido en la gestión de las organizaciones innovadoras, especialmente de las que basan su sistema de gestión en la Calidad Total. Este interés por los procesos ha originado gran cantidad de herramientas y técnica relacionadas tanto con la gestión de los propios procesos como con la gestión basada en los mismos: Por un lado están las técnicas para gestionar y mejorar los procesos, de las que se citan la Mejora Continua de Procesos, la Simplificación de Procesos y la Reingeniería de Procesos, todas ellas de aplicación puntual a procesos concretos o de uso extendido a toda la organización. Por otro lado están los modelos de gestión, en que los procesos tienen un papel central como base de la organización y como guía sobre la que articular el sistema de indicadores de gestión. De estos modelos se examinan el Mapa de Procesos y la identificación de Procesos Críticos.   Concepto de la Gestión por Procesos. La Gestión por Procesos es un modelo de gestión que entiende a la organización como un conjunto de procesos globales orientados a la consecución de la Calidad Total y a la satisfacción del cliente. Se fundamenta en la modelización de los sistemas como un conjunto de procesos interrelacionados a través de interacciones causa-efecto, que garanticen la coordinación de todos los procesos entre sí, mejorando la efectividad y la satisfacción de todos los grupos de interés (clientes, proveedores, etc.). La Gestión por Procesos conlleva: Una estructura coherente de procesos que representa el funcionamiento de la organización. Un sistema de indicadores que permita evaluar la eficacia y eficiencia de los procesos tanto desde el punto de vista interno (indicadores de rendimiento) como externo (indicadores de percepción). Una designación de responsables de proceso, que deben supervisar y mejorar el cumplimiento de todos los requisitos y objetivos del proceso asignado (costes, calidad, productividad, medioambiente, seguridad y salud laboral, moral). Cuando se define y analiza un proceso, es necesario investigar todas las oportunidades de simplificación y mejora del mismo. Para ello, es conveniente tener presentes los siguientes criterios: Se deben eliminar todas las actividades superfluas, que no añaden valor. Los detalles de los procesos son importantes porque determinan el consumo de recursos, el cumplimiento de especificaciones, en definitiva, la eficiencia de los procesos. La calidad y productividad requieren atención en los detalles. No se puede mejorar un proceso sin datos. Es por ello que, son necesarios indicadores que permitan revisar la eficacia y eficiencia de los procesos (al menos para los procesos clave y estratégicos). Las causas de los problemas son atribuibles siempre a los procesos, nunca a las personas. En la dinámica de mejora de procesos, se pueden distinguir dos fases bien diferenciadas, la estabilización y la mejora del proceso. La estabilización tiene por objeto normalizar el proceso de forma que se llegue a un estado de control, en el que la variabilidad es conocida y puede ser controlada. La mejora, tiene por objeto reducir los márgenes de variabilidad del proceso y/o mejorar sus niveles de eficacia y eficiencia. El análisis y definición de los procesos permite: Establecer un esquema de evaluación de la organización en su conjunto (definiendo indicadores de los procesos). Comprender las relaciones causa-efecto de los problemas de una organización y por lo tanto atajar los problemas desde su raíz. Definir las responsabilidades de un modo sencillo y directo (asignando responsables por proceso y por actividad). Fomentar la comunicación interna y la participación en la gestión. Evitar la departamentalización de la organización. Facilitar la Mejora Continua (Gestión del Cambio). Simplificar la documentación de los sistemas de gestión (puesto que por convenio un proceso podemos describirlo en un único procedimiento). Evitar despilfarros de todo tipo: o De excesos de capacidad de proceso o De transporte y movimientos o De tiempos muertos o De stocks innecesarios o De espacio o De actividades que no aportan valor o De fallos de calidad o De conocimiento Facilitar la Integración de los diferentes sistemas de gestión.   Los procesos de una organización pueden verse afectados por diversos requisitos legales y/o normativos, del cliente, internos y externos, medioambientales, de calidad, de seguridad, de medio ambiente, de productividad, etc. Pueden surgir nuevos requisitos o verse modificados los actuales, pero la estructura de procesos no tiene porqué sufrir modificaciones.   Principios de la Gestión por Procesos. Una organización que base su funcionamiento en un sistema de Gestión de Procesos, ha de tener en cuenta y aplicar los principios básicos de la calidad total en los mismos:   Satisfacción del cliente Todo proceso ha de estar orientado a la satisfacción de las necesidades de sus clientes, tanto internos como externos, mediante el establecimiento de un flujo de información bidireccional que permita establecer los requisitos o criterios válidos, tanto deseables como posibles, y diseñar los procesos de trabajo que garanticen la satisfacción de dichos requisitos.   Seguimiento y Control: Mejora continua Todos los procesos tienen que tener un responsable designado que asegure el cumplimiento de los objetivos preestablecidos y vigile de forma continuada la eficacia del proceso. Todos los procesos claves y relevantes, deberán estar sujetos a una revisión y mejora continua como indica el ciclo PDCA: Planificar, implantar, revisar y mejorar. Todos los procesos tienen que tener indicadores que faciliten y permitan la visualización de su evolución en comparación con los objetivos o estándares planificados para los mismos. Todos los procesos tienen que ser auditados para verificar el grado de cumplimiento de los objetivos y eficacia de los mismos. Para este fin, es necesario documentarlos, estableciendo indicadores y sistemas de seguimiento y control. Es fundamental llevar a cabo una revisión, un control y un seguimiento periódico de los procesos y, en su caso, llevar a cabo acciones destinadas a mejorar su rendimiento.   Hacer coherentes la misión y visión La gestión por procesos supone la incorporación de todas las funciones de gestión en un sistema integrado y alineado con la misión, visión y objetivos estratégicos de la organización. Por otra parte mejora la competitividad de la organización y optimiza la gestión de los recursos y alianzas. Por último, dota a la organización de flexibilidad al cambio y capacidad de adaptación, permitiendo que ésta sea ágil y con capacidad de anticipación a potenciales cambios en sus funciones.   Dirección basada en resultados  Un sistema de gestión por procesos ha de acompañarse de instrumentos o procedimientos de apoyo a la dirección que, de forma sistemática, permitan la recogida de la información necesaria sobre los resultados obtenidos y su interpretación objetiva, facilitando la toma de decisiones para la mejora continua.   Satisfacción del personal Un sistema de gestión por procesos, contribuye a que el personal de la organización adquiera los conocimientos, habilidades y formación necesarias para desarrollar los procesos de forma eficaz y eficiente. La gestión por procesos facilita, igualmente, el aumento de la comunicación en el lugar de trabajo, refuerza el trabajo en equipo y la participación del personal en la identificación de mejoras y su implantación. Asimismo, potencia la racionalización del trabajo desarrollado por el personal, facilitando su ejecución o desempeño de forma homogénea gracias a la disposición de materiales tales como manuales de procedimientos, manuales de funciones, etc   Clasificación de los procesos en gerenciales, operacionales y de soporte.   Tipos de Procesos. Para detectar los procesos asociados a una determinada organización, es necesario reflexionar previamente en las posibles agrupaciones en las que pueden encajar los procesos identificados. La agrupación de los procesos permite establecer analogías entre los mismos, y facilita la interrelación y la interpretación del mapa de procesos de la organización. El tipo de agrupación puede y debe ser establecido por la propia organización, no existiendo para ello ninguna regla específica. Es importante tener en consideración que, en función del tipo de organización y negocio de la misma, lo que para una organización es un proceso clave u operativo para otra puede ser únicamente un proceso de apoyo.   Procesos Clave u Operativos. El primer paso es detectar cuáles son los procesos clave u operativos, esto es, los que tienen un mayor impacto en los objetivos estratégicos definidos por la organización. Los procesos clave son aquellos ligados directamente con la realización del producto y/o la prestación del servicio, por tanto, constituyen la razón de ser de la organización. Se orientan a la prestación de servicios y aportan valor añadido al cliente externo. Estos procesos deben estar dirigidos a satisfacer las necesidades y expectativas de los clientes. Los procesos clave no son comunes a todas las organizaciones, puesto que dependen de la tipología de la misma. Para su identificación, se pueden hacer las siguientes preguntas: Quiénes son los clientes finales. Quiénes son los proveedores. Qué servicio se les ofrecemos. Cómo se generan esos servicios.   Procesos de Soporte o Apoyo. Una vez identificados los procesos clave, se puede continuar con los procesos de soporte o de apoyo, para lo cual se debe conocer: Cuáles son los recursos necesarios para llevar a cabo los procesos clave. Cómo se garantiza la adecuada disposición y gestión de esos recursos. Este tipo de procesos facilitan el desarrollo de las actividades que integran los procesos clave, dando soporte a los mismos, y generan valor añadido al cliente interno. A modo de ejemplo se pueden citar como procesos de soporte los siguientes: Gestión Económico-Financiera: Engloba los procesos que tienen que ver con esta área como son los procesos contables, administrativos, control presupuestario, etc. Gestión de los Recursos Humanos: Recoge todos aquellos procesos relacionados con el personal. A modo de ejemplo se pueden señalar la distribución del personal, la gestión del rendimiento, la satisfacción y el reconocimiento, gestión de riesgos laborales, etc. Gestión de los Sistemas de Información: Incluye aquellos procesos que tienen que ver con la comunicación y la información dentro de la organización. De este modo, se pueden citar la elaboración de informes para el equipo directivo, gestión de la comunicación interna, etc. Servicios Generales: Incluye, entre otros los procesos de gestión de la vigilancia y seguridad, gestión de la limpieza, mantenimiento, etc.   Se debe tener en cuenta, que dependiendo del tipo de organización, algunos procesos pueden ser considerados como claves o como de apoyo.   Procesos Estratégicos. Por último, se deben identificar los procesos estratégicos, que son aquellos que están relacionados con la dirección, organización, planificación y estrategia de la organización. Dichos procesos incluirán la definición de la misión, visión y valores. Estos procesos son de carácter global y transversales u horizontales, de tal modo que afectan a todas las áreas de la organización. Generalmente, toda organización cuenta, entre otros, con algunos de los siguientes procesos estratégicos:   Organización: Supone la definición de las distintas interrelaciones y la estructuración organizativa de las distintas unidades administrativas tales como la elaboración del mapa de procesos, definición del organigrama y dimensión de la plantilla, diseño de los puestos de trabajo, asignación de responsabilidades, etc.   Planificación Operativa: Comprende el análisis y diseño de las diferentes actividades, tareas, etc. precisas para el desarrollo de las distintas funciones, como puede ser la definición del sistema de recursos humanos, fijación y seguimiento de objetivos de las distintas unidades, etc.   Mejora Continua: Tiene en cuenta las políticas de calidad que desarrolla la organización, entre las que figura el diseño de acciones destinadas a promover la mejora de las unidades administrativas. Dentro de este proceso estarían los siguientes subprocesos normalización de procesos, auditorías de procesos, planificación y ejecución de mejoras, etc.   Identificación de megaprocesos. El primer paso para adoptar un enfoque basado en procesos en una organización, es reflexionar sobre cuáles son los procesos que deben configurar el sistema, es decir, qué procesos deben aparecer en la estructura de procesos del sistema. Ni la familia de normas ISO 9000 ni el modelo EFQM establecen de manera explícita qué procesos o de qué tipo deben estar identificados. Esto es debido a que estos modelos no determinan la manera de adoptar este enfoque, de forma que incluso organizaciones similares pueden llegar a configurar estructuras diferentes de procesos. Para resolver esta cuestión, es necesario tener en cuenta en primer lugar que los procesos ya existen dentro de las organizaciones, de manera que el esfuerzo se debe centrar en identificarlos y gestionarlos de manera apropiada. Por tanto, las organizaciones deben plantearse cuáles de sus procesos son lo suficientemente significativos como para que formen parte de la estructura de procesos de la organización y con qué nivel de detalle. Para ello es preciso realizar un estudio de las áreas de actividad más relevantes de la organización, para de esta forma detectar los grandes procesos que la conforman.   Todos los procesos identificados han de cumplir con los requisitos básicos asociados a su definición, esto es, los procesos deben ser: Repetitivos Sistemáticos Medibles Observables Con Valor Añadido   Teniendo presente dichos requisitos, los principales factores para la identificación y selección de los procesos son los siguientes: Influencia en la satisfacción del cliente. Los efectos en la calidad del producto/servicio. Influencia en Factores Clave de Éxito. Influencia en la misión y estrategia. Cumplimiento de requisitos legales o reglamentarios. Los riesgos económicos y de insatisfacción. Utilización intensiva de recursos. La identificación y selección de los procesos debe nacer de una reflexión acerca de las actividades que se desarrollan en la organización y de cómo éstas influyen y se orientan hacia la consecución de los resultados. Una organización puede recurrir a diferentes herramientas de gestión que permitan llevar a cabo la identificación de los procesos que componen la estructura, en cualquiera de los casos, es importante destacar la importancia de la implicación de los líderes de la organización para dirigir e impulsar la configuración de la estructura de procesos de la organización, así como para garantizar la alineación con la misión definida.   Identificación de procesos/subprocesos por cada megaproceso. Una vez identificados los procesos y entendida la función e interacción entre cada uno de ellos, estos deben ser gestionados con el fin de construir un sistema de trabajo enfocado a perseguir la mejora continua en el funcionamiento de las actividades de una organización. Para lograr esa mejora permanente es esencial la medición de cada proceso, lo cual se puede realizar por medio de indicadores que muestren su desempeño individual, con el fin de tomar acciones correctivas o preventivas según sea necesario. Las actividades de una organización son ejecutadas diariamente por los empleados como parte de una rutina, pero el mayor problema se encuentra en la falta de documentación, si bien no existe un estándar de proceso o tipos de proceso que deben ser documentados, es de gran valor que la organización analice y decida cuáles deben documentarse, tomando en cuenta los requisitos de los clientes, así como los legales y los reglamentarios aplicables, el efecto sobre la calidad, el riesgo financiero y el recurso humano disponible. La documentación citada en el párrafo anterior se puede realizar en forma de diagrama de flujo o en prosa, con el fin de representar cada uno de los procesos y sus procedimientos por separado. La decisión de cómo se quiere documentar es definitivamente de la empresa, ya que va a depender de las personas involucradas y de la cultura organizacional, en busca siempre del mejor entendimiento posible por parte del personal involucrado. A modo de resumen de los procesos también se pueden emplear fichas en las cuales se describa información de cada uno, tales como: objetivo, procedimientos, entradas y salidas, indicadores, recursos, registros y otra información que se considere pertinente. Mediante una correcta identificación y gestión de los procesos se producirán ventajas como las mencionadas a continuación: 1. Mejorar resultados, más coherentes y predecibles 2. Identificar los destinarios del proceso y sus expectativas 3. Integrar y alinear los procesos para permitir el logro de los resultados planificados 4. Producir eficacia y eficiencia 5. Identificar oportunidades de mejora 6. Satisfacer a los clientes 7. Mejorar la productividad de la organización 8. Optimizar de forma continua su funcionamiento global Como parte de la mejora en los procesos de la empresa es importante que el personal se sienta identificado con ellos y los comprenda en su globalidad, lo anterior con el propósito de lograr el sentido de pertenencia en la empresa.   Mapeo de los procesos – benchmark por industria. El Mapa de Procesos es una herramienta que permite visualizar fácilmente cuáles son y cómo se relacionan los procesos de una organización, también permite identificar las fortalezas y debilidades que posee su estructura. A través de la tarea de definir y mapear procesos, se logran soluciones a problemas habituales que surgen en las organizaciones como los siguientes: Funcionamiento complejo. Costes elevados. Existencia de los denominados cuellos de botella. Falta de integración de procesos. Duplicidad de actividades. Tareas que se están realizando y que aportan poco valor a la organización. Sobre la base de la información disponible en la Matriz de Interrelación de Procesos es posible construir un Mapa de Procesos, para lo cual a partir a los procesos identificados y sus interrelaciones como paso siguiente se debe identificar la Línea Operativa de la organización, que está formada por la secuencia encadenada de procesos que se llevan a cabo para realizar producto o servicio. Esta línea viene determinada por la naturaleza de la actividad y el producto o servicio que desarrolla la empresa. A continuación, se deben incorporar los procesos de soporte a la línea operativa (son los que proveen de recursos a esta línea) y los de dirección o gerencia. Finalmente se incorporan los procesos que afectan a todo el sistema de gestión.   Documentación de los procesos: Flujogramas, narrativos, etc.. En la organización de procesos empresariales contamos con diversas herramientas de control interno que nos ayudan a organizar y mejorar nuestro desempeño como empresa, pero tratándose de narrativas, flujogramas, indicadores clave de procesos y puntos de control, casi siempre surge la misma situación, ¿Son todos necesarios? La respuesta es sí, todos tienen su significado y su papel dentro del juego de la organización y el control interno. Las narrativas se elaboran para saber al detalle los pasos y documentos involucrados en un determinado proceso o actividad. En primer lugar, es importante saber que existe un orden lógico dentro de estos documentos que responde a lo siguiente: Los flujogramas o diagramas de flujo, muestran una descripción gráfica resumida, a partir de las narrativas, del flujo de la información y de las decisiones involucradas en cada procedimiento. Los indicadores clave de procesos, surgen del análisis de las narrativas y sus flujogramas, y establecen aquellos puntos críticos que son vitales en nuestro proceso y cuyo fallo o incumplimiento puede ocasionar problemas en las actividades realizadas y/o dejarnos expuestos a mermas o fraudes. Los puntos de control son “alcabalas de verificación” que se establecen a lo largo del proceso analizado y que están enfocados, principalmente, a verificar el cumplimiento de las labores que implican decisiones claves y la suficiencia de la documentación directamente relacionada.   Relación de los procesos con la emisión de información financiera. Con el antecedente de que todas las áreas de cualquier organización están bajo el control de la Alta Dirección a través de normas, procedimientos y su respectivo seguimiento, se abordará lo que concierne al control administrativo y financiero, por considerarse áreas clave en la implementación de las normas internacionales de información financiera. En lo que respecta al control interno administrativo, es el mecanismo que orienta a la Gerencia, asegurando la ejecución efectiva de los objetivos, en concordancia con la planeación estratégica proyectada por la Alta Dirección, con criterios de eficiencia, eficacia y efectividad. Es en este escenario, donde el control interno ocupa la más alta posición administrativa en especial el modelo COSO, mencionado anteriormente. Al existir un control interno integrado dentro de la organización, el control interno administrativo se traducirá en controles financieros fuertes que darán información clara y veraz a los directivos.  El control apropiado de los recursos financieros en cualquier organización es fundamental, por cuanto de ella depende que las relaciones comerciales y contractuales entre los diferentes agentes con quien se relaciona (proveedores, empleados, Gobierno, entidades financieras y clientes) , sean estables y de mutuo beneficio. Para garantizar tanto el flujo como la disposición correcta de los recursos, es imprescindible la institución del control financiero, el cual será ejercido con base en el análisis de la información suministrada por todas las áreas de la empresa. Para comprender el funcionamiento del control financiero, es esencial definir el proceso de gestionar las finanzas, el cual “contiene aquellas actividades orientadas a organizar el despliegue de la actividad económica y financiera que da soporte a la prestación de servicios de la entidad, contribuyendo a conseguir la estrategia de la organización”. En este sentido, se colige entonces que control y estrategia de dirección, se encuentran concatenados, contribuyendo así al logro de los objetivos de la organización. El control financiero permite asignar y ordenar los recursos de la empresa de forma viable y apropiada, con el fin de obtener ventajas competitivas y asegurar la sostenibilidad de la organización a largo plazo. El seguimiento y control financiero de las operaciones, involucra una serie de análisis, los cuales estarán enfocados a verificar que el gerente financiero está efectuando una buena gestión de los recursos y las negociaciones que se llevan a cabo para mejorar los tiempos de recaudo y pagos. Para ello es preciso aplicar controles en las siguientes actividades: la evaluación del presupuesto, la elaboración y proyección del flujo de caja; la planificación financiera; la obtención de recursos financieros; su distribución acertada y efectiva y el registro de todas las operaciones en la contabilidad. Por consiguiente, los mecanismos de control financiero propiciarán la entrega de información confiable y completa para la toma de decisiones por parte de la gerencia. Como conclusión, es evidente que el control financiero se ejerce en toda la operación de la Compañía y es esencial para la consolidación de las organizaciones en el mediano y largo plazo, por tanto, el control interno, mediante el seguimiento y evaluación de los procesos y procedimientos existentes en la Compañía debe minimizar el riesgo que involucra la gestión de recursos financieros.   Herramientas existentes en el mercado utilizadas para el mapeo y documentación de procesos manuales y de tecnología informática. Para realizar el análisis propuesto en este trabajo se requiere tener una descripción de los diferentes tipos de herramientas para la gestión de procesos de negocio, de modo que la clasificación de las herramientas respecto de las fases del ciclo de vida sea interpretada de forma clara. Por lo tanto, en esta sección se identifican y describen, para cada herramienta, aspectos como sus principales características funcionales, los beneficios potenciales que brindan a la organización y los nombres de algunos productos ofertados en el mercado.   1. ANÁLISIS DE PROCESOS DE NEGOCIO Las herramientas de Análisis de Procesos de Negocio (Business Process Analysis – BPA) son componentes clave para las iniciativas de mejora de procesos y la implementación de programas de BPM. Estas proporcionan los medios para realizar un análisis detallado de los procesos de una organización. Las funcionalidades principales que ofrecen estas herramientas son las de modelado, simulación y publicación de los procesos. Su uso se hace prioritariamente por los ingenieros de procesos y a los participantes de procesos, pues ellos tienen el conocimiento tácito concerniente al proceso a analizar y a la forma en que se puede modelar y mejorar. Sin embargo, tendencias actuales proponen incorporarlas en las prácticas cotidianas de la organización, o como se ha denominado, el “uso de BPA por las masas”.  Por otra parte, las herramientas de BPA proporcionan más flexibilidad para los participantes de procesos al agregarles dimensiones adicionales a los modelos de proceso. Aquí se pueden agregar la representación de recursos físicos y humanos, restricciones normativas, y riesgos y problemas asociados directamente a una actividad o a todo el proceso. También, algunas herramientas proporcionan funcionalidades para la generación de reportes que permiten que toda la información relativa al proceso sea publicada y compartida electrónicamente. Por otra parte, dado que la mayoría de herramientas de BPA tienen un repositorio compartido para los modelos, es posible hacer análisis del impacto de los cambios en las organizaciones y en los roles, con base en las interrelaciones de sus modelos. Por último, es importante aclarar que las herramientas de BPA complementan a las suites de BPM al permitir modelar los procesos en múltiples niveles y con gran detalle, incluyendo el mapeo de las relaciones. Dos ejemplos de este tipo de herramientas son BlueWorksLive de IBM [31-32], ARISalig de Software AG [33-34] e Igrafx [35]. Las dos primeras introducen en su funcionalidad el concepto de BPM social, permitiendo la participación de todos los miembros de la organización, así como la colaboración interorganizacional. Las suites de BPM también incluyen la funcionalidad de las herramientas de BPA.   2. DESCUBRIMIENTO AUTOMATIZADO DE PROCESOS DE NEGOCIO Las herramientas de Descubrimiento Automatizado de Procesos de Negocio (Automated Business Process Discovery - ABPD) permiten «descubrir» los procesos de negocio con base en el análisis de todos los registros electrónicos dejados por los participantes del proceso en cada una de las herramientas de tecnología de información que se utilizan en la organización para dar soporte el proceso. Estas herramientas asumen un enfoque de «Bottom – Up» para la construcción del modelo de proceso, es decir, que toman hechos detallados de las instancias del proceso para tratar de abarcar todos los matices que toma su ejecución. Además, se enriquece la descripción con información estadística detallada de cuán a menudo se ejecutan diferentes rutas o caminos del proceso, cuánto tiempo toman y qué variaciones se dan entre diferentes usuarios o grupos de usuarios, entre otros aspectos. Este enfoque, alternativo al tradicional enfoque de trabajo colaborativo con las personas, ofrece ventajas como la identificación de ineficiencias en los procesos, que permanecen tácitas para los participantes, la identificación de patrones de acción como mejores prácticas, y mayor eficiencia en el proceso de descubrimiento y documentación de los procesos. Para implementar una herramienta de descubrimiento automático de procesos, las organizaciones deben desplegar y ejecutar una herramienta para la recopilación de datos sobre las acciones de los usuarios, en donde, a manera de registro de transacciones (log), se almacenen todos los datos que permitan visualizar la manera en que se ejecutan los procesos en la organización. Esta herramienta de recopilación de datos registrará, por ejemplo, las transacciones realizadas por los usuarios en el sistema de administración de recursos empresariales o ERP, la interacción que se tiene con los clientes y proveedores a través de los sistemas de administración de relaciones con los clientes o CRM y de administración de la cadena de suministros o SCM. Con todos los datos recopilados se realiza una «reconstrucción» de la ejecución de cada instancia del proceso, en donde se puede identificar la secuencia de actividades representada en un grafo que se denomina «Cadena de Proceso Manejado por Eventos» o Event-driven process chain (EPC). En procesos complejos, con un elevado número de instancias, la representación de cada una es ensamblada con las demás, generadas a partir de las otras instancias del proceso, para obtener una colección que es sintetizada en una imagen «promedio» de su ejecución. Adicionalmente, estas herramientas pueden identificar y «descubrir» relaciones organizacionales, es decir, responder preguntas como ¿Quién trabaja con quién y cómo?. En síntesis, este tipo de herramientas le permiten a las organizaciones modelar los procesos actuales o «As-Is» como realmente se ejecutan, pues se obtienen a partir de la evidencia recopilada de múltiples instancias del proceso. Un ejemplo de la aplicación de estas herramientas es el trabajo de Peters, Dedene y Houck, que presenta la utilización de herramientas de este tipo para el análisis de los procesos de solicitudes y reclamaciones médicas en el sistema de salud de los Estados Unidos.  Por otra parte, las principales limitaciones y retos que enfrentan este tipo de herramientas están relacionadas con el manejo de flujos de control complejos, duplicados, la consistencia interna del modelo generado, y la granularidad y especificidad de los modelos generados. Sin embargo, también se encuentran desarrollos investigativos que tratan con problemas complejos como el de la utilización de registros de actividades (activity logs) no estructurados como fuente para el descubrimiento de modelos de procesos de negocio. Dentro de los productos disponibles en el mercado se destacan el ofrecido por Pallas  Athena, compañía holandesa que según Sinur y Hill [45] tiene la mejor tecnología y visualización para el descubrimiento automatizado de procesos. Otro producto, con mayor posicionamiento en el mercado, es el comercializado como servicio por la compañía Fujitsu y que hace parte de la suite denominada Fujitsu Interstage BPM. Por último, es importante mencionar el producto denominado ARIS Process Performance Manager de Software AG, que contiene, entre otras, la funcionalidad de ABPD.   3. MONITOREO DE ACTIVIDADES DE NEGOCIO El concepto de monitoreo de actividades de negocio o Business Activity Monitoring (BAM) fue propuesto originalmente por investigadores de la empresa de investigación y consultoría Gartner Inc. La idea central es la recopilación, organización, análisis y visualización de datos obtenidos en tiempo real, acerca de las actividades ejecutadas en un proceso de negocio. En palabras de MsCoy [47], el BAM proporciona acceso en tiempo real a indicadores críticos del desempeño del negocio para mejorar la velocidad y la efectividad de las operaciones. El BAM beneficia a las organizaciones en la medida en que permite tomar de forma rápida decisiones con mejor información sobre el desempeño de los procesos de negocio y, más rápidamente, identificar y resolver problemas durante la ejecución del proceso.  En la práctica, el monitoreo de las actividades del negocio se centra en tomar mediciones de una gran variedad de métricas sobre la ejecución del proceso de negocio, como volumen de instancias, duración, costos, errores y condiciones especiales. Las herramientas de BAM mejoran el desempeño de las organizaciones porque aseguran que los procesos de negocio operan como se esperaba, aseguran que los procesos de negocio cumplen con los compromisos y propósitos de la organización, y reducen la latencia entre el momento en que se realiza la medición del desempeño y el momento en que se toman las decisiones. Esencialmente, las herramientas de BAM intentan proveer a las organizaciones lo que los instrumentos de aeronavegación proporcionan a los pilotos de las aeronaves: datos en tiempo real sobre el comportamiento de las operaciones. Las soluciones de BAM se conforman esencialmente por cuatro componentes:  eventos de negocio, es decir, eventos que son importantes en el contexto de la ejecución de una actividad del negocio; actividades del negocio, es decir, actividades incluidas en un proceso de negocio para brindar un servicio o funcionalidad requerida para cumplir con una necesidad específica de la organización; métricas, es decir, mediciones sobre propiedades específicas de una actividad del negocio que puede utilizarse para monitorear el desempeño de la operación; e indicadores clave de desempeño (KPI), que son métricas utilizadas para medir el progreso de un objetivo organizacional a nivel estratégico. Al revisar la oferta de herramientas de BAM, se encuentra que las funcionalidades comunes que ofrecen son: captura instantánea de datos sobre indicadores clave de desempeño en diferentes niveles del proceso; presentación sintética de los datos de desempeño en tableros de instrumentos (dashboard) configurables por el usuario y con diferentes tipos de visualización de los datos; notificaciones automáticas sobre problemas o posibles violaciones a políticas y niveles de desempeño establecidos para el proceso de negocio; y generación de reportes sobre el comportamiento y tendencias de los indicadores de desempeño del proceso de negocio. Estas funcionalidades parecen similares a las ofrecidas por herramientas de inteligencia de negocios (Business Intelligence – BI). Sin embargo, es necesario hacer la distinción entre las dos, pues, aunque están ubicadas en la misma categoría de herramientas de análisis del negocio, tienen una diferencia fundamental sobre el origen de los datos analizados. Las herramientas de inteligencia de negocios también tienen que ver con el entendimiento y la optimización del desempeño del negocio, pero la diferencia es que éstas se enfocan en el análisis de datos históricos que son utilizados para explorar, utilizando técnicas de minería de datos, el comportamiento que se ha tenido en períodos anteriores y así poder identificar tendencias. Por otra parte, las herramientas de BAM tratan con los datos de lo que está sucediendo actualmente en el negocio, es decir, en tiempo real. Tres ejemplos de este tipo de herramientas son Business Monitor de IBM [53], Business Activity Monitoring de Oracle y BusinessFactor de TIBCO Software Inc.   4. SISTEMAS DE ADMINISTRACIÓN DE REGLAS DE NEGOCIO Las reglas de negocio son la codificación de políticas, normas, leyes y mejores prácticas que son utilizadas por una organización para tomar decisiones. Una regla de negocio requiere una estructura formal en donde se representan elementos atómicos de la lógica del negocio y las acciones que deberían ejecutarse en ciertas circunstancias. Comúnmente, estas reglas están embebidas en la especificación de procedimientos y en las herramientas de Tecnología de Información que soportan la ejecución de los procesos de negocio. En el contexto de la Gestión de Procesos de Negocio tradicional, es común observar modelos de proceso en donde cada una de las reglas que determinan el comportamiento de la organización son codificadas e incluidas en forma de estructuras de decisión dentro de la notación del modelo. Este enfoque genera problemas relacionados con el mantenimiento y la evolución de los modelos de proceso, pues el cambio de una política, por ejemplo, la política de descuentos a clientes, implica la modificación del modelo para cumplir con las nuevas reglas. Por otra parte, al utilizar un enfoque de Gestión de Reglas de Negocio, las reglas no se implementan dentro del modelo, sino que son mantenidas de forma separada para ser utilizadas y modificadas sin generar cambios en los modelos de proceso de negocio. De esta manera se dota a la organización de mayor agilidad y capacidad de adaptación a los frecuentes cambios del entorno. En este sentido, la incorporación del enfoque de reglas de negocio en BPM produce varios beneficios que van más allá de la agilidad y la facilidad de cambio. Separar las reglas de las estructuras de decisión de los modelos de proceso permite que estas se puedan cambiar en tiempo real y sin necesidad de parar la ejecución del proceso en respuesta a condiciones cambiantes. Por otra parte, se reduce el riesgo de error en la toma de decisiones al automatizar reglas que no requieren de la participación de una persona. También, se reducen costos de operación al eliminar del proceso los pasos de verificación que no generan valor. Además, se mejora el desempeño en el cumplimiento de las reglas y se proporciona trazabilidad y transparencia en la toma de decisiones. Los sistemas para la administración de reglas de negocio o BRMS (Business Rule Management Systems - BRMSs) permiten modificaciones dinámicas y rápidas de la implementación de las políticas o normas de la organización. Los BRMS son aplicaciones software en donde se definen, simulan, almacenan, despliegan, ejecutan, monitorean y optimizan las reglas del negocio. Además, se pueden desplegar en una arquitectura orientada a servicios (Service Oriented Architecture – SOA) en donde el motor de reglas se presenta como un servicio que proporciona los resultados de la ejecución de las reglas del negocio ante una solicitud de otra aplicación que proporciona los datos de entrada necesarios para aplicar la regla. Dentro de la oferta de productos disponibles en el mercado se encuentran WebSphere ILOG Business Rule Management System de IBM, FICO Blaze Advisor de Fair Isaac Corporation, y JBoss Enterprise BRMS de RedHat.   5. SUITES DE GESTIÓN DE PROCESOS DE NEGOCIO En el mercado de las herramientas de soporte a BPM es común encontrar distribuidores que ofrecen en un solo paquete un conjunto de herramientas integradas en lo que se ha denominado Suite de Gestión de Procesos de Negocio (Business Process Management Suites - BPMSs). Sin embargo, hay dos elementos esenciales que debe tener una suite de BPM: un entorno de modelado y simulación de procesos, y un motor de ejecución de procesos. En el entorno de modelado y simulación se brinda la funcionalidad para que los modelos de procesos puedan ser implementados y probados antes de entrar en uso. Por otra parte, el motor de ejecución se encarga de automatizar y hacer seguimiento a la ejecución de todas las instancias del proceso implementado, es decir, es el corazón de cualquier solución de BPM. Además, utiliza herramientas para integrar el proceso de negocio con interfaces o servicios de aplicaciones y sistemas existentes. Ejemplos de BPMS son Oracle Business Process Management Suite, IBM Business Process Manager, y BizAgi BPM suite.

Definición y framework (COSO, COBIT). El control interno es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones. Fiabilidad de la información financiera. Cumplimiento de las leyes y normas aplicables. En su sentido más amplio, comprende la estructura, las políticas, el plan de organización, el conjunto de métodos y procedimientos y las cualidades del personal de la empresa que asegure. Las empresas son la caracterización más elocuente del tejido económico de cualquier país, sea desarrollado o subdesarrollado. Es por ello que deben establecer un control interno que les permita el progreso económico esperado, poder mantenerse en el mercado, y contribuir así a la economía del país. Por tanto, el control interno es una herramienta surgida de la imperiosa necesidad de accionar proactivamente, a los efectos de suprimir o disminuir significativamente la multitud de riesgos a la cual se hayan expuestos los distintos tipos de organizaciones, sean privadas o públicas, con o sin fines de lucro. Un excelente sistema de control interno es aquel que no daña las conexiones empresa-clientes y mantiene, en un nivel de alta dignidad humana, las relaciones de dirigentes y subordinados. Su función es aplicable a todas las áreas de operación de los negocios y de su efectividad depende que la administración obtenga la información necesaria para seleccionar las alternativas que mejor convengan a los intereses de la entidad (González, 2013). Por consiguiente, de acuerdo con la necesidad del negocio y la actividad, se debe tener en cuenta, según el país, sus políticas y leyes, qué modelo de control interno conviene aplicar. En tal sentido, se hará referencia a los más relevantes que existen internacionalmente. El significado de control interno ha sufrido modificaciones a medida que han evolucionado las estructuras organizacionales. Si se toma como base el modo en que ha progresado la auditoría, es posible evidenciar tres generaciones de control interno (Blanco, 2005): Primera: se basó en acciones empíricas a partir de procedimientos de ensayo y error. Si bien esta generación es obsoleta, aún tiene una insistente aplicación generalizada, lo cual se debe a la carente profesionalización de quienes tienen a su cargo el sistema de control interno. Esta época estuvo fuertemente relacionada con los controles contables y administrativos. Segunda: se encuentra marcada por el sesgo legal. Se logran imponer estructuras y prácticas de control interno, especialmente en el sector público, pero, desafortunadamente, esta situación ofreció una visión distorsionada del proceso, al operar muy cerca de la línea de cumplimiento y lejos de los niveles de calidad. Se centró la atención en la evaluación del control interno como medio para definir el alcance de las pruebas de auditoría. Por ende, este comprende el plan de organización y el conjunto de métodos y procedimientos que aseguren que los activos están adecuadamente protegidos, que los registros contables son fidedignos, y que las actividades de la entidad se desarrollan eficazmente según las directrices señaladas por la administración. Tercera: actualmente centra esfuerzos en la calidad derivada del posicionamiento en los más altos niveles estratégicos y directivos, como requisito que garantiza la eficiencia del control interno (Rivas Márquez, 2011). Ahora bien, a partir de la década de los 90, los nuevos modelos desarrollados en el campo del control definen una nueva corriente de pensamiento con una amplia concepción de la organización a nivel mundial, lo cual provoca una mayor participación de la dirección, los gerentes y el personal en general. Los más conocidos son: COSO (Committee of Sponsoring Organizations of the TreadwayCommission, Estados Unidos). COCO (Criteria of Control, Canadá). Cadbury (Reino Unido). Vienot (Francia). Peters (Holanda). King (Sudáfrica). MICIL (Marco Integrado de Control Interno Latinoamericano). COBIT (Control Objectives for Information and related Technology, Australia): es una estructura que provee una herramienta para que los propietarios de los procesos del negocio descarguen eficiente y efectivamente sus responsabilidades de control sobre los sistemas informáticos. SAC (Systems Auditability and Control): ofrece asistencia a los auditores internos sobre el control y la auditoría de los sistemas y la tecnología informática.   Modelo CObIT. El modelo se presentó en 1998 y se encuentra asociado a la TI y las prácticas de control. Está confeccionado para que se aplique a la totalidad de los sistemas de información de la empresa y el objetivo fundamental que persigue es la provisión de información pertinente y confiable a la misma para el logro de sus objetivos.   Componentes y Principios del Modelo.   Ambiente de Control. 1. La organización demuestra un compromiso con la integridad y los valores éticos. 2. El consejo de administración demuestra la independencia de gestión y ejerce la supervisión de la evolución y los resultados de los controles internos. 3. Administración establece, con supervisión de la Junta, estructuras, líneas de responsabilidad, y las autoridades y responsabilidades adecuadas en la consecución de objetivos. 4. La organización demuestra el compromiso de atraer, desarrollar y retener a personas competentes en la alineación con los objetivos. 5. La organización mantiene los individuos responsables de su control interno responsabilidades en la búsqueda de objetivos.   Administración del Riesgo. 6. La organización especifica objetivos con claridad suficiente para que el identificación y evaluación de los riesgos relacionados con los objetivos. 7. La organización identifica los riesgos para el logro de sus objetivos a través de la entidad y de los análisis de riesgos como base para la determinación de la forma en que los riesgos deberían ser manejados. 8. La organización considera que la posibilidad de fraude en la evaluación de los riesgos para la logro de los objetivos. 9. La organización identifica y evalúa los cambios que podrían significativamente impacto en el sistema de control interno.   Actividades de Control. 10. La organización selecciona y desarrolla actividades de control que contribuyan para la mitigación de riesgos para asegurar el logro de los objetivos de niveles aceptables. 11. La organización selecciona y desarrolla actividades de control generales más tecnología para apoyar el logro de los objetivos. 12. La organización implementa las actividades de control a través de políticas que establecen lo que se espera y procedimientos que ponen las políticas en acción.   Información y comunicación. 13. La organización obtiene o genera y utiliza relevante, la calidad información para apoyar el funcionamiento de los controles internos. 14. La organización se comunica internamente información, incluyendo objetivos y responsabilidades para el control interno, necesarios para apoyar el funcionamiento de los controles internos. 15. La organización se comunica con partes externas sobre asuntos que afecta al funcionamiento del control interno.   Actividades de Monitoreo. 16. La organización selecciona, desarrolla y realiza curso y / o separada evaluaciones para determinar si los componentes del control interno son presente y funcionamiento. 17. La organización evalúa y comunica control interno deficiencias en tiempo y forma a las partes responsables de tomar acciones correctivas, incluyendo la alta dirección y el consejo de directores, según corresponda   Modelo COSO. El modelo COSO proporciona a la empresa una serie de criterios prácticos y ampliamente aceptados para la elaboración de una ECI y la creación un marco de referencia que permita evaluar su eficacia. Se encuentra dividido en tres categorías de objetivos y en 5 componentes interrelacionados como se muestra a continuación:   Objetivos. • Operaciones  Apunta a los objetivos básicos de la organización, incluyendo la rentabilidad y lasalvaguarda de sus activos. • Información Financiera  Preparación de reportes financieros confiables, incluyendo los parciales y resúmenes. • Cumplimiento de Leyes y Regulaciones   Componentes. • Monitoreo  Proceso de evaluar en forma continua la calidad del desempeño del control interno en el tiempo, en donde el alcance y la frecuencia depende del nivel de riesgo involucrado. • Información y comunicación  Son los sistemas que permiten capturar e intercambiar la información necesaria para conducir, administrar y controlar las operaciones de la organización. • Actividades de control  Son políticas, prácticas y procedimientos establecidos para lograr los objetivos de negocio. • Evaluación de riesgos  Mecanismos para identificar, analizar y administrar los riesgos relacionados con las actividades de la organización. • Ambiente de control  Son los atributos que proveen la disciplina y la estructura sobre la cual se cimienta el resto del modelo.   Evaluación de riesgos del negocio. La evaluación de riesgo constituye una continua y repetitiva interacción de acciones que tienen lugar a través de la entidad y permite a la entidad entender el grado en cual pueden afectar los eventos de riesgo a los objetivos. El impacto y consecuencias de los factores internos y externos que afectan a una empresa son únicos en cada una, ya que, depende de los objetivos y decisiones de esta, es por ello que la gestión de riesgo se mueve dentro del contexto del perfil de riesgo de la entidad, dado por dimensión, complejidad de operaciones, regulación de actividades entre otras. La empresa evalúa los riesgos esperados e inesperados, estos últimos se refiere a aquellos que no son rutinarios y no recurrentes y por lo tanto se encuentran fuera de programas como gestión y presupuesto. Los riesgos se evalúan con un doble enfoque, el riesgo inherente, que es aquel al que se enfrenta una entidad cuando no existen acciones por parte de la dirección para determinar su probabilidad e impacto y el riesgo residual que es aquel, que permanece una vez que la dirección desarrolla respuesta a los riesgos. La incertidumbre de que un evento ocurra se evalúa desde dos perspectivas, probabilidad que representa la posibilidad que el evento ocurra e impacto que refleja su efecto. Con esta estimación de impacto y probabilidad se determina la importancia y atención que se presta a determinado evento, pero esto requiere de una tarea difícil por lo tanto el análisis debe ser racional y cuidadoso. Para determinar las estimaciones de probabilidad e impacto se usan datos de eventos anteriores, estos datos pueden ser en primer lugar observados en el interior de la entidad, proporcionando así una base menos subjetiva, no obstante, los datos externos también resultan útiles como medio de comparación; además estos datos empíricos ayudan a minimizar el riesgo inherente producido por el exceso de confianza mostrado por las personas que toman decisiones de incertidumbre sobre bases subjetivas. La empresa debe utilizar el mismo horizonte temporal y las mismas unidades de medida que usa para establecer la consecución de un objetivo como evaluar los potenciales riesgos que podrían afectar la consecución de estos objetivos. La teoría de la prospectiva nos dice que las personas no quieren arriesgar lo que ya tienen o creen tener, pero toleran más el riesgo cuando creen que pueden minimizar los riesgos; de esta manera la dirección puede estructurar la información para reforzar el riesgo aceptado y el comportamiento hacia el riesgo en toda la entidad.   Técnicas de evaluación. Una entidad no necesita usar las mismas técnicas en todas sus unidades de negocio, pero la selección de técnicas debe reflejar la necesidad de precisión y la cultura de cada entidad. Las técnicas de evaluación son una combinación entre técnicas cualitativas y cuantitativas, las cualitativas se utilizan generalmente cuando los riesgos no se pueden cuantificar ya sea porque los datos son insuficientes o creíbles y su obtención no resulta eficaz por su costo. Las técnicas cuantitativas aportan más precisión y son utilizadas en actividades más complejas; estas técnicas requieren mayor esfuerzo y generalmente utilizan modelos matemáticos, y resulta más relevante para riegos con historial y frecuencia de variabilidad conocidos. Cuando una entidad tiene eventos potenciales que se relacionan entre si o tienen algún grado de interacción es importante que se evalúen en conjunto, ya que, uno de ellos por si solo puede que no entregue un grado alto de riesgo, pero si lo hará al combinarse con otros eventos con los que interactúe. Es así como la entidad puede agrupar en categorías comunes los eventos que afecten a múltiples unidades del negocio, para así evaluarlos por unidad y luego en toda la entidad. La naturaleza de los eventos y el hecho de que estén relacionados o no pueden afectar las técnicas de evaluación utilizadas.   Respuesta al riesgo. Una vez que han sido evaluados los riesgos la alta dirección debe determinar como responder a ellos, es así como algunas respuestas serán evidentes y otros requerirán de un análisis e investigación. Dicho análisis de respuestas es realizado con el fin de alinear el riesgo residual1 con la tolerancia de la entidad. Algunas de las categorías donde se pueden incluir las respuestas al riesgo son:   Evitar: se plantea tomar acciones de modo de discontinuar las actividades que generan riesgo. Cuando esta respuesta es entregada significa que la entidad no encontró ninguna otra opción que redujera el impacto y probabilidad a un nivel aceptable.   Reducir: plantea tomar acciones de modo de reducir el impacto, la probabilidad de ocurrencia o ambos. Esta respuesta reduce el riesgo residual a un nivel de tolerancia de riesgo deseado.   Compartir: plantea tomar acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo. Esta respuesta también lleva el riesgo residual a un nivel de tolerancia de riesgo deseado.   Aceptar: plantea no realizar ninguna gestión para evitar o reducir el riesgo, lo que está dado porque el riesgo se encuentra dentro del nivel de tolerancia deseado.   En resumen, al determinar las respuestas al riesgo la entidad debe considerar factores como los efectos que producen sobre probabilidad e impacto y la forma de alinearse con la tolerancia al riesgo establecido por ella; los costos y beneficios de las respuestas, evaluando los costos directos, indirectos y también los de oportunidad, el beneficio tiene una evaluación más subjetiva y muchas veces se hace en relación a la consecución de objetivos y finalmente dentro de los factores se encuentran las oportunidades de alcanzar los objetivos de la entidad, las cuales surgen al existir opciones de respuestas a los riesgos que están alcanzando los límites de eficacia y cuando ciertas actualizaciones probablemente sólo faciliten cambios marginales en el impacto y probabilidad del riesgo. Luego de evaluar las posibles respuestas, la entidad puede seleccionar una respuesta o una combinación de ellas, debiendo estar éstas dentro del nivel de tolerancia al riesgo establecido por la entidad. Al respecto cabe mencionar que ocasionalmente sucede que las respuestas sobrepasan los límites, debiendo la entidad, en tales casos evaluar la selección realizada o el nivel tolerancia, lo que se puede traducir en un proceso repetitivo al intentar encontrar el equilibrio entre la tolerancia y la respuesta. Una vez que la entidad ha seleccionado una respuesta, debe desarrollar un plan para ejecutarla y establecer acciones de control para asegurar que esta se lleva a cabo.   Marco general.   Actividades de control. Las actividades de control son las políticas (cómo debe hacerse) y procedimientos (mecanismos de control) que ayudan a asegurar que las respuestas de la alta gerencia a los riesgos, se lleven a cabo de manera adecuada y oportuna. Se realizan a lo largo de toda la organización, en todos los niveles y en todas las funciones, y en ocasiones constituyen en sí mismas respuestas al riesgo, como mecanismo directo para gestionar la consecución de objetivos. Las actividades de control se clasifican según la naturaleza de los objetivos con la que se las relaciona, y forman una parte esencial cuando una entidad intenta lograr sus objetivos. Éstas no representan un fin en sí mismas; sino que el control es un elemento integrado en el proceso de gestión. El paso siguiente a la selección de la respuesta al riesgo la entidad, es la determinación de la actividad de control correspondiente; siempre considerando la interrelación con el resto de las actividades, ya que a veces se requiere de más de una actividad de control para una misma respuesta al riesgo.   Tipos de actividades de control. Existen diferentes tipos de actividades de control: controles de prevención, correctivos o de detección; controles manuales o informáticos; y de dirección gerenciales. A su vez, dichas actividades pueden clasificarse según objetivos específicos de control a los que apunten: operacionales, de confiabilidad de la información, de cumplimiento de normas y leyes. Algunas actividades de control normalmente utilizadas son: Revisiones de la alta dirección. Revisión de datos reales de los presupuestos, previsiones y datos de periodo previos, acompañadas de un seguimiento de las iniciativas importantes. Gestión directa de funciones o actividades. Revisión de los informes de rendimiento directamente por los encargados de las funciones o actividades Procesamiento de la información. Controles orientados a verificar la exactitud, integridad y autorización de las transacciones; como también el desarrollo de nuevos sistemas y propuestas de reformas en los existentes. Controles físicos. Balances periódicos de las existencias, equipos y valores, que se comparan con los registros de control. Indicadores de rendimiento. El contraste de diferentes conjuntos de datos, operativos o financieros, junto con el análisis de relaciones y las acciones de investigación y corrección. Segregación de funciones. División y correcta asignación de las funciones entre el personal de la entidad, con el fin de reducir el riesgo de error.   Controles sobre los sistemas de información. Como los sistemas de información desempeñan un papel fundamental en la gestión de las organizaciones ya que constituyen la estructura que soporta y a través de la cual circula la información, es necesario que estén controlados. De esta manera se pueden alcanzar los objeticos de información y cumplimiento. Los tipos de controles sobre los sistemas de información son: Controles Generales. Se aplica a todos los sistemas, tanto a los ordenadores centrales como a los particulares o del entorno del usuario, con el fin de asegurar que los sistemas funcionan en forma continua y adecuada. Se inspeccionan operaciones del centro de procesamiento de datos, la adquisición y mantenimiento de software, el control de acceso y el desarrollo y mantenimiento de las aplicaciones. Controles de Aplicación. Se centran directamente en la integridad, exactitud, autorización y validez de la captación y procesamiento de datos, por esto están orientados principalmente a prevenir que los errores se introduzcan en el sistema, además de detectarlos y corregirlos.   Matrices de riesgos, procesos/subprocesos y controles. Una matriz de riesgos es una sencilla pero eficaz herramienta para identificar los riesgos más significativos inherentes a las actividades que desarrolla una organización, aplicable en cualquier tipo de escenario o proceso. Por lo tanto, es un instrumento válido para mejorar el control de riesgos y la seguridad corporativa. A través de este instrumento se puede realizar un diagnóstico objetivo y global de empresas de diferentes tamaños y sectores de actividad. Asimismo, mediante  la matriz de riesgo es posible evaluar la efectividad de la gestión de los riesgos, tanto financieros como operativos y estratégicos, que están impactando en la misión de una determinada organización. Con el fin de garantizar su eficacia y utilidad, una matriz de riesgo debe tener las siguientes características: Debe ser flexible. Comprensible tanto al elaborar como al consultar. Que permita realizar un diagnóstico objetivo de la totalidad de los factores de riesgo. Actualizable en el tiempo entre otras.   Estructura - Matrices De Riesgos. Desde su concepción metodológica las matrices se componen de dos vectores, uno de probabilidad y otro de impacto, cuya combinación define el nivel de riesgo de una acción en particular Cabe aclarar que el nivel de riesgo cero (0) no existe en la naturaleza por definición. Una vez definidos los parámetros, los mismos permiten absorber la información de las fuentes definidas, para valorizarla en los respectivos vectores de probabilidad e impactos.   Elementos de la matriz de riesgos. FACTOR DE RIESGO: Elementos internos o externos que se conjugan entre sí para dar nacimiento al riesgo; RIESGO: probabilidad de ocurrencia de un evento de riesgo dentro del contexto; IMPACTO: consecuencias que pueden ocasionar al sujeto obligado la materialización del riesgo; PROBABILIDAD: posibilidad de ocurrencia del riesgo; CONTROL EXISTENTE: detalle del control interno que la organización tiene implementado para prevenir la ocurrencia del riesgo; RIESGO RESIDUAL: suceso o circunstancia indeterminada que permanece después de haber ejecutado las respuestas a los riesgos; CAUSA: la explicación de que pudo o puede llegar a ocasionar el riesgo;   Impacto. El impacto busca captar la severidad (o intensidad) del daño que una operación de LA y/o FT es susceptible de producir sobre un bien jurídicamente tutelado en cada caso. El método elegido para aproximar la magnitud del impacto está relacionado al valor de los activos involucrados en el posible hecho delictivo, así como también a ciertas características de la operación y de los sujetos intervinientes. En materia de FT, atendiendo que las operatorias suelen involucrar pequeños volúmenes de activos, no se considera al monto como principal indicador, sino la posible afectación al orden público, como bien jurídico tutelado.   Probabilidad. “La posibilidad de que un efecto adverso ocurra” (Egmont, 2008, página 3); “El potencial riesgo de que ocurra una operación de LA/FT en un determinado negocio” (Unidad de Inteligencia Financiera de Australia, 2006, página 6).   POSIBILIDAD DE QUE EL RIESGO SE MATERIALICE   Reglas de composición. Toda matriz de riesgos debe cumplir con los principios de consistencia (concordancia entre los ordenamientos de riesgo cualitativos y cuantitativos) y de gradualidad, es decir cualquier línea trazada entre el cuadro que conecta una celda verde y una roja, deberá pasar necesariamente por una de color amarillo. La determinación de los umbrales de riesgo mediante criterios cuantitativos evita posibles errores de consistencia.   Evaluación de diseño de los controles. Existen múltiples modelos para realizar la valoración de los riesgos operacionales, uno de ellos, es el estándar de Administración del Riesgo AS/NZ 4360 de 1999, el cual plantea que los riesgos operativos identificados y definidos en las organizaciones, se miden utilizando niveles de consecuencia y probabilidad de ocurrencia. La valoración se realiza en términos de riesgos absolutos y riesgos controlados por los expertos responsables de los procesos, quienes identifican y documentan los riesgos y asocian los controles que existen para disminuir los niveles de exposición. Este procedimiento se fundamenta en el conocimiento de los expertos y permite determinar de forma subjetiva la cobertura que tienen los controles sobre los riesgos valorados. El Consejo para la Práctica 2130.A1 emitido por el Instituto de Auditores Internos “IIA” en el 2009, sobre la efectividad de los controles, menciona: La actividad de auditoría interna debe evaluar la adecuación y eficacia de los controles en la respuesta a los riesgos en la gobernanza de la organización, operaciones y sistemas de información relativa a la: • La fiabilidad y la integridad de la información financiera y operacional. • Eficacia y eficiencia de las operaciones. • Protección de los activos. • Cumplimiento de las leyes, regulaciones y contratos. El estándar No. 5 emitido la PCAOB (Public Company Accounting Oversight Board) del 2007, sobre la Auditoría de control interno en el proceso de presentación de reportes financieros, sugiere tener en cuenta las siguientes pruebas de auditoría para evaluar la efectividad de los controles:   1. Prueba de la efectividad del diseño: “El auditor debe probar la efectividad del diseño de los controles determinando si los controles de la compañía, si son operados como fue prescrito por personas que poseen la autoridad y competencias necesarias para desempeñar efectivamente el control, satisfacen los objetivos de control de la compañía y efectivamente pueden prevenir o detectar los errores o el fraude que derivaría en declaraciones equivocadas materiales contenidas en los estados financieros”.   2. Prueba de la efectividad de la operación: “El auditor debe probar la efectividad de la operación de un control determinando si el control está operando tal y como fue diseñado y si la persona que desempeña el control posee la autoridad y competencia necesarias para desempeñar el control de manera efectiva”. El modelo COBIT® 4.1. (Control Objectives for Information Systems and related Technology). Propone medir el objetivo y la madurez de los controles de TI, a través de los siguientes lineamientos: • Monitorear y Evaluar el Control Interno. • Revisiones de Auditoría. • Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI. • Aseguramiento del Control Interno. • Obtener, según sea necesario, aseguramiento adicional de la completitud y efectividad de los controles internos por medio de revisiones de terceros.   De acuerdo a la Normativa Internacional de Auditoria (NIA) 315, la evaluación del diseño de un control requiere considerar si el control, ya sea individualmente o en combinación con otros, es capaz de prevenir, o detectar y corregir, errores materiales con efectividad. La implementación de un control quiere decir que este existe y que la entidad lo está usando. No tiene ningún sentido evaluar la implementación de un control que no es efectivo, por lo que primero se considera su diseño. Un control mal diseñado puede representar una deficiencia considerable en el control interno.   Los procedimientos de evaluación de riesgos para obtener evidencia de auditoría sobre el diseño y la implementación de controles relevantes, deben incluir: • Las indagaciones con el personal de la entidad • Observar la aplicación de controles específicos, inspeccionar documentos e informes, y • Rastrear, a través del sistema de información, las transacciones que sean relevantes a la emisión de información financiera.   Cabe resaltar, que las indagaciones por sí solas no son suficientes para evaluar el diseño y la implementación de los controles relevantes.   Cuando estemos evaluando el diseño e implementación de un control, podemos considerar: • El objetivo del control Cómo se hace y documenta, incluyendo la naturaleza y el tamaño de los errores potenciales cubiertos y las consideraciones sobre computación para el usuario final. • La naturaleza del control • Si el control cubre un riesgo de fraude con qué frecuencia se aplica El conocimiento, la experiencia y las habilidades de la persona que lo ejecuta, estableciendo si se trata de un control manual o de un control manual con un componente automatizado • La aplicación de TI relacionada, de haberla • Si el control depende de información producida por la entidad • Si el control cubre las consideraciones del usuario para una organización de servicios el nivel de juicio requerido • Si la entidad consideró debidamente los factores internos y externos que pueden afectar el diseño del control La NIA 315, señala que obtener un entendimiento de los controles de una entidad no basta para probar su eficacia operativa, a menos que exista alguna automatización que contemple la operación uniforme de los controles. Por ejemplo, la obtención de evidencia de auditoría sobre la implementación de un control manual en determinado momento no proporciona evidencia de auditoría sobre la eficacia operativa del control en otros momentos durante el periodo que se está auditando.   Identificación de controles. El objetivo es asegurar que el Control Interno funcione adecuadamente, a través de dos modalidades de supervisión: actividades continuas o evaluaciones puntuales. En consecuencia, algunas de las cuestiones a tener en cuenta para ello son: - Constitución del Comité de Control integrado, al menos, por un dirigente del máximo nivel y el auditor interno. Su objetivo sería la vigilancia del adecuado funcionamiento del Sistema de Control Interno y su mejoramiento continuo. - En las organizaciones que lo justifiquen, la existencia de Unidades de Auditoría Interna con suficiente grado de independencia y calificación profesional. Actividades continuas: Son aquellas incorporadas a las actividades normales o recurrentes que, ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinámicas a las circunstancias sobrevivientes. Evaluaciones puntuales: Podríamos señalarlas mediante consideraciones tales como: - Su alcance y frecuencia están determinados por la naturaleza e importancia de los cambios y riesgos que estos conllevan, la competencia y experiencia de quienes realizan los controles y los resultados de la supervisión continuada. - Son ejecutados por los propios responsables de las áreas de gestión, de la auditoría interna incluidas en el planeamiento o solicitadas especialmente por la dirección, y por los auditores externos. - Constituyen en sí todo un proceso dentro del cual, aunque los enfoques y técnicas varíen, priman una disciplina apropiada y principios insoslayables. La tarea del evaluador es averiguar el funcionamiento real del sistema; o sea, que los controles existan, estén formalizados, que se apliquen cotidianamente como una rutina incorporada a los hábitos y que resulten aptos para los fines perseguidos. - Responden a una determinada metodología con técnicas y herramientas para medir la eficacia directamente o a través de la comparación con otros sistemas de control probadamente buenos. - El nivel de documentación de los controles varía según la dimensión y complejidad de la entidad. Existen controles informales que, aunque no estén documentados, se aplican correctamente y son eficaces; si bien un nivel adecuado de documentación suele aumentar la eficiencia de la evaluación y resulta más útil al favorecer la comprensión del sistema por parte de los empleados. La naturaleza y el nivel de la documentación requieren un mayor rigor cuando se necesite demostrar la fortaleza del sistema ante terceros. Debe confeccionarse un plan de acción que contemple: - El alcance de la evaluación. - Las actividades de supervisión continuadas existentes. - La tarea de los auditores internos y externos. - Áreas o asuntos de mayor riesgo. - Programa de evaluaciones. - Evaluaciones, metodología y herramientas de control. - Presentación de conclusiones y documentación de soporte. - Seguimiento para que se adopten las correcciones pertinentes.   1.- Evaluación del Sistema de Control Interno Los directivos a cualquiera de los niveles de la organización deben evaluar periódicamente la eficacia del sistema de Control Interno y comunicar los resultados de esta evaluación. Un análisis periódico de la forma en que ese sistema está operando le proporcionará al responsable la tranquilidad de un adecuado funcionamiento, o la oportunidad de su corrección y fortalecimiento. Las entidades deberán en su funcionamiento tener en cuenta lo antes expuesto, así como otros mecanismos de análisis de sus funciones, tales como:   Para las actividades continuas: Tener en cuenta que el personal, en el desarrollo de sus actividades, obtiene evidencias de que el sistema de Control Interno funciona, por lo que: - La dirección de la entidad compara las operaciones de la producción con las existencias, las ventas u otra información, a los efectos de conocer no sólo su avance o retroceso, sino las causas que las generaron y tomar medidas inmediatas en ello. - Llevar a cabo la integración o conciliación de la información utilizada para gestionar las operaciones con los datos generados por el sistema de información financiera y contable. Debe evaluarse, hasta qué punto las comunicaciones recibidas de terceros corroboran la información generada dentro de la entidad. Deberán las entidades dar respuesta a las recomendaciones de los auditores internos y externos, como medio de fortalecer los controles internos, debiendo considerar si: - El directivo, que es el que decide cuáles son las recomendaciones de los auditores que llevarán a la práctica, tiene conocimiento y autoridad para ello, evitando minimizar las consecuencias y maximizar el riesgo. - Realizar seguimiento de las acciones efectuadas para comprobar las soluciones a cada una de las violaciones detectadas.   Para las evaluaciones puntuales: Se debe tener en consideración que resulta en extremo útil examinar el sistema de Control Interno, dirigiendo el análisis a la eficacia del mismo. El alcance y la frecuencia de tales evaluaciones puntuales dependerán principalmente de la evaluación de los riesgos y los procedimientos de supervisión continuada. Se deberá fijar el alcance y la frecuencia de dichas evaluaciones puntuales del sistema de Control Interno.   2.- Eficacia del Sistema de Control Interno El Sistema de Control Interno se considera efectivo en la medida en que la autoridad a la que apoya cuente con una seguridad razonable en: - La información acerca del avance en el logro de sus objetivos y metas y en el empleo de criterios de economía y eficiencia. - La confiabilidad y validez de los informes y estados financieros. - El cumplimiento de la legislación y normas vigentes, incluyendo las políticas y los procedimientos inherentes a la entidad. Una vez identificadas y aplicadas las técnicas de Control Interno, el proceso para la evaluación de su eficacia debe comenzar al ser enjuiciadas estas técnicas bajo los siguientes términos: - Dan certeza razonable de que se logra el objetivo de control. - Dan certeza razonable de que se logra parcialmente el objetivo de control. - No dan seguridad de que se logren los objetivos de control. La conclusión de que se logra un objetivo de Control Interno, significa que existe certeza razonable de que pueden prevenirse o descubrirse oportunamente errores o fraudes importantes. La conclusión de que no se logra un objetivo o se logra parcialmente, indica que tal certeza razonable no existe y que, por lo tanto, pueden ocurrir errores o fraudes que no se descubrirían y corregirían mediante la ejecución rutinaria de las técnicas implementadas por la organización, con el consiguiente peligro de riesgos latentes.   3.- Auditorías al Sistema de Control Interno. Deben practicarse auditorías, las que informarán sobre la eficacia y eficiencia del Sistema de Control Interno, proporcionando recomendaciones para su fortalecimiento. Estos exámenes, practicados sobre bases de normas y procedimientos generalmente aceptados, permiten obtener una opinión razonable sobre el estado y funcionamiento de un Sistema de Control Interno. La naturaleza, extensión y frecuencia de las evaluaciones del Sistema de Control Interno deben variar en función del nivel de riesgo determinado y de la ponderación de la importancia del control para reducirlo. La auditoría debe ajustarse a un método objetivo y sistemático que, razonablemente, incremente la probabilidad de la formación de un juicio acertado. Para ello es importante que: - Se tenga creado un aparato de auditores internos, o en su defecto, se realicen chequeos sistemáticos de las actividades por parte de especialistas vinculados directamente o no a la función que se audite para determinar cómo se desarrollan éstas. - Se conforme un plan de auditorías, donde se haga seguimiento a cada una de las normas y procedimientos que fueron propuestas en el análisis de las descripciones de funciones de puestos de trabajo, ciclo de operaciones y áreas. - Los auditores internos alcancen un nivel de profesionalidad alto que les permita realizar con calidad su trabajo, manteniendo siempre su nivel de independencia. - Los auditores internos y los miembros del Comité de Control puedan elevar sus consideraciones al Consejo de Dirección. - El alcance y los planes de la auditoría interna estén enfocados a crear una cultura de prevención en la entidad.   4.- Validación de los supuestos asumidos. Los objetivos de una entidad y los elementos de control que respaldan sus logros descansan en supuestos fundamentales acerca de cómo funciona su entorno. Los directivos deben validar periódicamente los supuestos que constituyen la base de los objetivos de la organización y las técnicas de control para lograr dichos objetivos. La validación de los supuestos acerca de cómo funciona el sistema, se hace con el interés de analizar la eficacia de las técnicas de control establecidas, comprobar si estos supuestos son conocidos por toda la organización y la capacidad de los mismos para adaptarse a los cambios. Si los supuestos de una organización no son válidos, debe hacerse una revalidación periódica de los mismos y enfocar nuevas estrategias y técnicas de control que apoyen a los intereses de la organización. Con frecuencia se sostienen ampliamente en una organización los supuestos acerca de cómo funciona el sistema, aunque el personal puede desconocerlos. Dichos supuestos inconscientes pueden inhibir la capacidad de adaptarse al cambio, debido a que conducen al personal a descartar toda aquella información que no se ajusta a sus conceptos. Se necesita un diálogo abierto para identificar los supuestos. Si los supuestos de una organización no son válidos, el control puede ser ineficaz, por lo que la revalidación periódica de los supuestos de la organización es clave para la eficacia del control. Deberán estudiarse hasta qué punto los seminarios de formación, las sesiones de planificación u otras reuniones, facilitan información a la dirección sobre si los controles funcionan o no, incluyendo la comprensión de cada uno de ellos por parte de los trabajadores, por lo que: - Se valora periódicamente tanto por el área de Recursos Humanos como por el Consejo de Dirección, si los temas tratados están en correspondencia con las incidencias fundamentales de la entidad. - Tener en cuenta las sugerencias de los trabajadores sobre alguna iniciativa de funcionamiento, en correspondencia con las problemáticas de la entidad en su desempeño. - Escuchar en las asambleas de afiliados u otras reuniones o contactos con los trabajadores sus pareceres sobre las orientaciones y necesidades de capacitación, para llevar a ellos lo que realmente necesitan, y no un programa para cumplir un plan de capacitación; e incluso sobre la disciplina y ética de los trabajadores y dirigentes.   5.- Tratamiento de las deficiencias detectadas. Toda deficiencia que afecte o pueda llegar a afectar la efectividad del Sistema del Control Interno debe ser informada. Deben establecerse procedimientos que determinen sobre qué asuntos, en qué forma y ante quién se presentará tal información. Las deficiencias en el funcionamiento del Sistema de Control Interno, dada su importancia, deben ser rápidamente detectadas y comunicadas. El término deficiencia debe entenderse en sentido amplio; es decir, cualquier condición dentro del sistema que sea digna de atención. La identificación de las deficiencias puede surgir de diferentes fuentes: el propio Control Interno, la supervisión y la evaluación. También, a través de la relación con terceros, por medio de reclamos, demandas, etc. La comunicación de las deficiencias debe seguir, normalmente, el camino que conduce al inmediato superior; pero la orientación general debe ser que finalmente llegue a la autoridad que puede tomar la acción correctiva. Un caso que puede servir de ejemplo es aquel en el que el problema detectado invade los límites organizacionales; aquí la comunicación debe ser dirigida al nivel suficientemente elevado para asegurar una acción apropiada. Las deficiencias de Control Interno deben ser comunicadas a los niveles superiores y las más significativas deben presentarse a la alta dirección y al consejo de dirección. Es por ello que las deficiencias del Control Interno identificadas, deben considerar: - La existencia de medios para conseguir información sobre deficiencias de fuentes internas y externas (clientes, proveedores, auditores y organismos de control). - La existencia de medios para conseguir información sobre deficiencias a partir de la supervisión continuada o evaluaciones puntuales, que antes señalábamos en la primera norma de este componente. - Que las deficiencias detectadas sean puestas en conocimiento del responsable directo de la actividad y de un superior, de la manera más rápida posible post comprobación. - Que se le informe a la alta dirección y al consejo de dirección sobre aquellas deficiencias de mayor complejidad y afectaciones a la entidad, las que deberán ser debatidas en su seno. - Que igualmente se creen mecanismos por parte de la dirección de la entidad, donde se siga el cumplimiento de las deficiencias detectadas y el seguimiento de cada operación para evitar nuevas problemáticas.   Evaluación de la efectividad en la operación de los controles. La evaluación debe conducir a la identificación de los controles débiles, insuficientes e innecesarios, para promover con el apoyo decidido de la gerencia, su robustecimiento e implantación. Esta evaluación puede llevarse a cabo de tres formas: durante la realización de las actividades diarias en los distintos niveles de la organización; de manera separada por personal que no es el responsable directo de la ejecución de las actividades y mediante la combinación de las dos formas anteriores. Es así como la evaluación resulta importante tarea para la administración, para medir la eficiencia de las acciones tomadas y determinar el grado de aporte que generó la implementación o mejora del Sistema de Control Interno y su incidencia en el grado de efectividad de los procesos desarrollados en las distintas dependencias de la organización. El monitoreo debe ser realizado por personas que tengan a su carga una función de supervisión dentro de la entidad, quienes determinan la efectividad de los controles para las actividades a su cargo, que se da en el transcurso de las operaciones. Este monitoreo incluye actividades normales de dirección y supervisión, como otras actividades llevadas a cabo por el personal en la realización de sus funciones. El alcance y frecuencia de las actividades de supervisión dependen de los riesgos a controlar y del grado de confianza que inspira a la dirección el proceso de control. La supervisión de los controles internos puede realizarse mediante actividades continúas incorporadas a los procesos de la entidad y a través de evaluaciones separadas por parte de la dirección, de la función de auditoría interna o supervisión. Las actividades de supervisión incluyen las actividades periódicas de dirección y supervisión, comparaciones, conciliaciones, y otras acciones de rutina, cuyos efectos permitirán identificar los riegos o falencias que se presenten en el desarrollo de los procesos; de modo que estos deben ser documentados adecuadamente e informados de forma inmediata a la administración con el fin de que esta tome medidas correctivas y a la vez preventivas para evitar vuelva a suceder. Es necesario entrenar al personal en cuanto a las políticas y procedimiento determinados por la administración, así como la normativa legal para evitar que el Sistema de Control Interno se vea afectado El monitoreo revisa el desempeño de las actividades regulares y el correcto funcionamiento del Control Interno, corrobora la información obtenida internamente y realiza comparaciones periódicas de otros resultados obtenidos en el pasado con lo actuales.   Los informes de control. Las deficiencias o debilidades encontradas en el sistema de control interno, a través de los diferentes procedimientos de supervisión deben ser comunicadas a efectos de que se adopten las medidas de ajuste correspondientes. A este proceso se le conoce como “informe de deficiencias”, que le permite a la dirección estar enterado de lo que no funciona en forma adecuada en la entidad. Estos hallazgos deben tener carácter significativo. Según las Normas Internacionales de Auditoría, “Se debe tomar en cuenta que Calidad y oportunidad de la evidencia del Control Interno, obtenido son más confiables que otros criterios como simples investigaciones, por ejemplo, el auditor podría obtener evidencia de auditoría sobre la apropiada segregación de deberes al observar al individuo que aplica un procedimiento de control. Sin embargo, la evidencia de auditoría obtenida por algunas pruebas de control, como observación pertenece solo al momento del tiempo en que fue aplicado el procedimiento” (Párrafo 20 secc. 400) Tomando en cuenta lo anterior, para mejorar la calidad de la evidencia la opción es incrementar procedimientos con otras pruebas de control para mejorar los controles, ya que un hallazgo, estará soportado con una adecuada conclusión sobre riesgo de control. Según el impacto de las deficiencias, los destinatarios de la información informalmente pueden ser tanto las personas responsables de la función o actividad implicada como las autoridades superiores. Pero siempre el informe debe estar dirigido a la administración.

Presentación de los principales sistemas y tecnologías utilizadas comúnmente en las organizaciones. El uso de la tecnología de la información y comunicación ha cambiado la forma en que las empresas operan sus negocios, en la medida en que se han modificado los procesos de registro, almacenamiento y comunicación de las transacciones comerciales y sus correspondientes informes financieros, alterándose los sistemas de contabilidad y control interno de las organizaciones. En consecuencia, ha sido inevitable que los auditores financieros reconozcan la TI en sus trabajos, dado que, si bien el objetivo y alcance de una auditoría no se modifica a causa de ella, existen ciertas particularidades a las que se deben adaptar, tales como la existencia de registros electrónicos, transacciones virtuales, autorizaciones no escritas, entre otras. Una auditoría se realiza en un entorno informatizado cuando está involucrada una computadora en el procesamiento, almacenamiento, transmisión o emisión de información financiera de importancia para la auditoría, ya sea que dicha computadora sea operada por la entidad o por un tercero. Actualmente, en la mayoría de los casos, el auditor desarrolla su trabajo en entornos informatizados, siendo el uso de la CN un caso particular. Diversos autores han documentado los efectos de la TI sobre la auditoría financiera. Si bien las etapas básicas de la auditoría son las mismas para un sistema de información manual o computadorizado, la ejecución de cada una de ellas requerirá de ciertas adecuaciones. Particularidades de cada una de las tres etapas principales de la auditoría (planificación, ejecución y reporte); por ejemplo, en la planificación se requiere profundizar el conocimiento del negocio del cliente y de la industria, para asegurar que se comprende la relevancia de los sistemas de información computadorizados. A partir de ello, en el análisis de riesgos se deben considerar aquellos derivados del uso de entornos informáticos, para poder elaborar el plan de auditoría en respuesta a los riesgos de error material, centrándose en la eficiencia y eficacia de los controles internos de los sistemas informáticos de contabilidad por sobre las pruebas sustantivas de los documentos y transacciones electrónicas. En la ejecución, cuando se hubiera optado por un enfoque de cumplimiento, resaltan los aspectos a evaluar en la validación de los controles internos informáticos y para el caso de un enfoque sustantivo, mencionan la ejecución de pruebas mediante el uso de técnicas de auditoría asistidas por computador (TAAC). Finalmente, en la etapa de conclusión y reporte, sugieren que el informe de recomendaciones sobre el control interno debería contener las observaciones pertinentes en relación a los controles de TI. Abordan aspectos en los que el profesional debe tener en cuenta el uso que el ente auditado realiza de la TI en la planificación del trabajo, entre ellos: la forma en que se logrará el conocimiento, comprensión y evaluación de los sistemas de contabilidad y control interno; las consideraciones de los riesgos inherentes y de control a través de las cuales el auditor llega a la evaluación del riesgo de auditoría y finalmente, el diseño y aplicación de pruebas de control y procedimientos sustantivos apropiados para cumplir con el objetivo de la auditoría. Sobre la definición del enfoque de auditoría, plantean que, en virtud de la complejidad de los sistemas utilizados por las organizaciones, la tendencia a un enfoque basado en controles debería ser el proceso natural, dado que en entornos de TI difícilmente se pueda reducir el riesgo de auditoría y alcanzar la eficiencia utilizando únicamente un enfoque con procedimientos sustantivos. La planificación se debe evaluar la necesidad de contar con la colaboración de especialistas de TI de acuerdo a la complejidad de los sistemas informatizados, incrementándose el carácter multidisciplinario del encargo de auditoría, y revelan de qué manera un auditor de sistemas puede colaborar con el auditor financiero en cada paso del encargo, si bien podría ejecutar él mismo dichas tareas en caso de tener los conocimientos y las habilidades necesarias. Valencia y Tamayo (2012) resaltan que a partir de la incorporación de la TI se produce una evolución en las evidencias de auditoría que se convierten casi en su totalidad en digitales, careciéndose del acceso tradicional a la documentación de referencia, sea porque la información se encuentra almacenada solo en forma electrónica o está disponible solo por un periodo de tiempo limitado. Ello conlleva la necesidad de un mejoramiento en las competencias de los profesionales para su adecuada obtención y tratamiento, debiendo acudir a las TAAC en forma complementaria a las técnicas manuales utilizadas tradicionalmente. Se resaltan aquí conceptos referidos a la computación en la nube, a fin de caracterizar el nuevo entorno de TI al que pueden verse expuestos los auditores financieros. El National Institute of Standards and Technology (NIST) ha elaborado un concepto amplio para definir a la computación en la nube, refiriéndose a ella como: (…) un modelo que permite obtener, desde cualquier lugar y según las necesidades de la demanda, un cómodo acceso a través de una red a un conjunto compartido de recursos informáticos (redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser solicitados y provistos rápidamente, con un mínimo esfuerzo administrativo o interacción con el proveedor de los servicios. Otros autores han elaborado conceptos y caracterizaciones que destacan distintos aspectos del servicio, como la escalabilidad del recurso y la valorización del servicio sobre una base de pago por uso; la forma de provisión del servicio a través de internet  y la independencia de localización entre el usuario y el proveedor del servicio de la nube. Resumen un conjunto de características esenciales que definen la CN: autoservicio, acceso a través de la red, recursos compartidos por diversos usuarios, rápida escalabilidad y servicio medido. A su vez definen los modelos de provisión de cloud computing, incluyendo tres tipos de servicios (Software, Plataforma e Infraestructura como un Servicio) y cuatro de distribución (nubes públicas, privadas, comunitarias e híbridas). Cada uno de estos modelos implican diferentes niveles de responsabilidad del usuario y del proveedor sobre el control interno, la seguridad y la configuración del servicio. La prestación de estos servicios a través de internet requiere de una red de relaciones entre diferentes actores que conforman una cadena, cuya arquitectura comprende además del usuario y el prestador, a los denominados broker, carrier y el auditor de la nube, que ejecuta una evaluación independiente del servicio analizando a todos los miembros de la cadena. La relación entre ellos se formaliza mediante lo que se conoce como Service Level Agreement (SLA), que estipula, entre otras cuestiones, el tipo de servicio a prestar y los roles y responsabilidades de cada actor, siendo en algunos casos fruto de la negociación de ambas partes o en otros, simples contratos de adhesión. Otra particularidad de la CN se refiere al cambio en la geografía de la computación (Hayes, 2008) derivado de la independencia de localización entre el usuario y el proveedor. Los proveedores buscan ubicar sus recursos en lugares donde existan bajos costos, pudiendo crearse nubes con centros de datos localizados en distintos países. En algunos casos ocurre que el usuario desconoce la localización exacta de los datos propios almacenados en la nube. Ello tiene dos consecuencias principales sobre la auditoría: a) los elementos a ser evaluados están físicamente en una o más instalaciones separadas geográficamente entre sí, siendo complejo y oneroso que el equipo de auditoría realice un trabajo presencial; b) se deben tener en cuenta los marcos jurídicos involucrados para evaluar su cumplimiento, considerando la distribución geográfica de los recursos. Dada la configuración de la infraestructura y la forma de prestación del servicio tercerizado con una importante participación del proveedor, destacan que la auditoría en entornos de la nube debe orientarse en principio a la evaluación de riesgos y controles derivados de su uso por el ente auditado y al grado de seguridad (confidencialidad, integridad y disponibilidad) brindado para la elaboración de la información financiera. En relación a los riesgos, se debe identificar únicamente aquellos que fueran relevantes para la auditoría financiera dentro del conjunto amplio de riesgos que representa la nube —algunos que le son propios y otros comunes a las alternativas de tercerización tradicional, pero que pueden verse potenciados en este entorno. Sobre la comprensión y prueba de los controles internos, es fundamental conocer aquellos implementados por el proveedor del servicio en relación a la información financiera importante del usuario. Ello encuentra ciertas dificultades en el caso de la CN, considerando la complejidad de las cadenas de suministro, debiendo el auditor obtener satisfacción suficiente basada en la evaluación de riesgos y controles operacionales considerando a todos sus integrantes. A su vez, el acceso a los controles para su evaluación, probablemente se verá entorpecido por el proveedor del servicio para evitar las auditorías redundantes y sus potenciales perjuicios debiendo evaluarse la aplicación de métodos alternativos para la realización del trabajo. Mencionan respecto de la obtención de evidencias en la nube, que la posibilidad de aplicación de pruebas sustantivas y analíticas depende de la modalidad del servicio contratado por el ente, considerando que los servicios de tipo IAAS son más permeables a la auditoría que los de tipo SAAS. Este cambio en el ambiente de TI a ser enfrentado por la auditoría como disciplina, demanda cierta capacidad de adaptación, pero hasta el momento no ha sido acompañado por una respuesta adecuada en el ámbito normativo profesional. Los estándares de auditoría no se han desarrollado aún al punto de brindar una guía clara sobre cómo y qué testear en las operaciones de un cliente cuando depende de un proveedor de CN. No obstante, las organizaciones profesionales —como el AICPA, el Canadian Institute of Chartered Accountants (CICA) y la Information Systems Audit and Control Association (ISACA)— se encuentran trabajando en ello, resultandos útiles los aportes que se puedan efectuar sobre el tema. En función de las características descriptas, se denota que el uso de la CN como soporte de la generación de información contable representa un nuevo contexto para el trabajo del auditor financiero, con particularidades que la diferencian de otros entornos de provisión de servicios TI. En consecuencia, se requiere la revisión de la forma en que el auditor realizará la ejecución del encargo de auditoría en este ambiente, así como las herramientas, métodos, pruebas de auditoría, las responsabilidades, la necesidad de colaboraciones de especialistas, entre otros.   Revisión del área de Tecnología de la Información desde el punto de vista de su control interno y seguridad física y lógica. Existen varias definiciones del término control. Difieren debido a distinciones conceptuales o bien respecto al objeto del mismo (dónde será aplicado). Se puede definir como “el proceso de ejercitar una influencia directiva o restrictiva”, es decir, las posibilidades de dirigir actividades hacia objetivos buscados o de evitar que se produzcan resultados no deseados. En general, se reconoce al control como una función administrativa básica; consiste en verificar que las diferentes actividades que se realizan en una organización tiendan a alcanzar sus objetivos. Se considera que el control produce dos tipos de acciones según sea el ámbito donde se aplique: • Influencia directiva, intenta que las actividades del sistema se realicen de modo tal que produzcan determinados resultados o alcancen objetivos específicos predefinidos. • Influencia restrictiva, la acción se ejerce de modo tal que evite que las actividades de un sistema produzcan resultados no deseados.   Elementos del control Los elementos necesarios para implementar un sistema de control son: • Elemento, característica o condición a controlar. • Sensor: artefacto o método para medir las características o condiciones controladas, es decir instrumento para medir el rendimiento. • Grupo de control: unidad o equipo de control para comparar los datos medidos con el rendimiento planeado. Determina la necesidad de corrección y envía la información a los mecanismos que deben normalizar o corregir la producción del sistema. • Grupo activante: mecanismo activador que es capaz de producir un cambio en el sistema operante, es decir, realizar la acción correctiva correspondiente. En síntesis, el control es un proceso y consiste en una comparación, un contraste de un resultado (ocurrido o proyectado) con otro (esperado o deseable) y, por lo tanto, implica una medición.   Tipos de control. Dijimos que auditoría es una actividad de control, por lo tanto, vamos a profundizar un poco, clasificando a estos últimos: a) De acuerdo a su objetivo, en esta categoría tenemos: • Correctivos, son aquellos que cuentan en su estructura con los elementos para medir las desviaciones e informar sobre ellas. Implican la determinación de los desvíos y su informe a quien debe actuar sobre éstos. Los controles correctivos, también, pueden ser retroalimentados (datos del pasado) o prealimentados, por ejemplo: presupuestos, ratios. • No correctivos, son los que prescinden de la medición e información de los desvíos que se pueden producir, como es el caso de controles de separación por funciones y oposición de intereses. b) De acuerdo a su marco temporal, en este caso tenemos: • Retroalimentados, pues operan sobre hechos sucedidos. Comparan los resultados ocurridos con los esperados. • Prealimentados, pues operan sobre eventos futuros (en los procesos industriales se denominan “control anticipante”) y previenen la ocurrencia de resultados indeseados. c) De acuerdo a su pertenencia al sistema operante, tenemos: • De secuencia abierta, donde el grupo de control no pertenece al sistema operante; es independiente del mismo. • De secuencia cerrada, en el que todos los elementos del control pertenecen al propio sistema operante.   Auditoría en entornos informáticos. Un enfoque más cercano a nuestra problemática es analizar los tipos de controles relacionados con la administración de una organización. En este caso vamos a agruparlos en: − Control interno: es el conjunto de reglas y normas de procedimiento que regulan el funcionamiento administrativo de una organización. Tienen el propósito de preservar al patrimonio de la empresa de los posibles errores u omisiones, maniobras fraudulentas o daño intencional que pudieran llegar a afectarla. − Control presupuestario: es el cotejo periódico de los ingresos y de los gastos reales de un período con el fin de poner en evidencia las desviaciones a lo presupuestado. − Control de gestión: proceso mediante el cual los directivos se aseguran la obtención de recursos y el empleo eficaz y eficiente de los mismos en el cumplimiento de los objetivos fijados a la organización.   Etapas del control. Las etapas para establecer un sistema de control son las siguientes: 1. Establecimiento de estándares: es la acción de determinar el/los parámetro/s sobre los cuales se ejercerá el control y, posteriormente, el estado o valor de esos parámetros considerado deseable. Este es el primer elemento a establecer para instrumentar un sistema de control. En esta especificación se deberán incluir, entre otros, la precisión con que se medirá el parámetro a verificar, el método de medición y el instrumento sensible que se aplicará, la periodicidad en la aplicación y hasta los responsables de esta tarea. 2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con los deseables. En esta etapa se investiga (más o menos extensamente) acerca de las causas de las desviaciones que acompañarán un informe con las discrepancias detectadas, para ser fuente de información de la siguiente fase. 3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita una decisión: corregir o dejar como está. Obviamente será más certera y económica la solución de la discrepancia mientras más correcto sea el diagnóstico hecho en la etapa anterior. 4. La ejecución de las acciones correctivas es el último paso. Sin éste, e  control será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al problema que intentó solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido una acción de control.   Principio de economicidad del control. Un principio básico a tener en cuenta cuando se quiere implementar un control, es analizar el costo de la instrumentación del mismo. Se considera que este costo debe ser menor al beneficio (potencial o real) que se obtiene con su implementación. Por ello no se evalúan todas las características o parámetros posibles, sino sólo aquellos que dan un ratio positivo a la relación costo de implementar la medida-beneficio esperado (por estas razones se dice que el control es selectivo).   Auditoría y control. En este marco, la auditoría es una función de control, con las siguientes características: • Es del tipo retroalimentado, porque se refiere a hechos sucedidos. • Es correctiva, ya que está orientada a la medición e información de los desvíos. • Es de secuencia abierta, ya que el grupo de control es independiente (no debe pertenecer al sistema operante, aunque puede ser parte de la empresa). • Es selectiva.   Pistas de auditoría.   Son elementos que permiten certificar la existencia de una operación, la validez de sus cifras, la identidad de los sujetos involucrados, el momento de su acaecimiento, etc. Es decir, son la prueba de una transacción. Las podemos definir como: “... documentos originarios, diarios, mayores, y papeles de trabajo que posibilitan al auditor rastrear una operación, desde el resumen hacia la fuente primitiva. Sólo por tal procedimiento el auditor puede determinar que los resúmenes reflejan la operatoria real transcurrida.” El sistema de información debería conservar las pistas de auditoría para permitir al auditor el rastreo del flujo de operaciones dentro de la empresa, y la comprobación de la ocurrencia y exactitud de las registraciones realizadas. A partir del empleo de computadores como herramienta base donde se procesan las operaciones de un sistema de información, comenzaron a advertirse modificaciones significativas en las pistas de auditoría, motivados por las continuas modificaciones de los equipamientos, y el cambio de las modalidades de procesamiento. Por esta causa se ha arribado a una situación en la cual las pistas de auditoría existen, pero en condiciones y con características totalmente diferentes a las imperantes en los sistemas de información manuales (en "soporte papel").   Procesos específicos del área. Controles generales del área. El COBiT proporciona, en su marco referencial, un conjunto de herramientas dirigidas al propietario de procesos de la organización que le facilitan el cumplimiento de este rol. Su fin es el de proporcionar la información que la organización necesita para alcanzar sus objetivos, los recursos de tecnología de información (TI) deben ser administraos por un conjunto de procesos de TI agrupados en forma natural. Bases de datos propietarias: Presenta un conjunto de 34 objetivos de control de alto nivel (OC), destinados a cada uno de los procesos de TI: planeamiento, adquisición e implantación, entrega (de servicio) y seguimiento. La estructura precedente cubre todos los aspectos información y tecnológicos que se soportan en una organización. En un orden más detallado, por cada uno de los 34 objetivos de control, de alto nivel, se favorece una guía de auditoría o aseguramiento que permite la revisión de los procesos en 302 OC, detallados, proporcionando así a la gerencia la certeza de cumplimiento y/o recomendaciones para la mejora. Se compone de un resumen ejecutivo (RE), destinado a la alta gerencia cuya finalidad es dar luz y sensibilizar sobre los principios y conceptos fundamentales de CoBIT. La guía cuenta con dos herramientas: el Diagnóstico de Sensibilización Gerencialiii y el Diagnóstico de Control en TIiv, ligados al asesoramiento y asistencia en el análisis ambiental de control de una organización. EL marco referencial: En éste se da especial importancia al impacto sobre los recursos de TI, así como a los requerimientos de la organización sobre: efectividad, eficacia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad que se han de satisfacer. Aquí mismo se dan las definiciones para los requerimientos de la organización que derivaron de los objetivos de control superiores respecto a calidad y reportes fiduciarios relativos a tecnología de información. COBiT se orienta como herramienta de gobierno de TI cuyo fin es el entendimiento y la administración de riesgos asociados con la tecnología de información ysus tecnologías adyacentes. La siguiente figura describe los procesos de IT de CoBIT, que se encuentran definidos dentro de los cuatro dominios, expresados anteriormente. La necesidad del control en tecnología de información puede resumirse en los siguientes tópicos críticos: • La creciente dependencia en información y en los sistemas que proporcionan dicha información. • La creciente vulnerabilidad y amplio espectro de amenazas, tales como “cyber amenazas” y la guerra de la información. • La escala y el costo de las inversiones actuales y futuras en información y en tecnología de la información. • El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos. Muchas organizaciones reconocen hoy los beneficios potenciales que la tecnología puede producir en ellas, sin embargo también comprenden y administran los riesgos asociados con la implementación de éstas. Por tanto, la administración es quién decide la inversión razonable en seguridad y control de Ti y tiende a lograr un balance entre riesgos e inversiones en control para un ambiente de TI frecuentemente impredecible. Una creciente necesidad por parte de la comunidad de USUARIOS de TICvi respecto a la seguridad en dichos servicios, mediante a acreditación y auditoría desarrollada de forma interna o mediante terceros, que aseguren adecuados controles, es confusa, al momento de ser implementada, ya que existen, actualmente, tanto ara entidades no gubernamentales como gubernamentales y empresas, diferentes métodos: ITSEC, TCSEC, ISO9000, COSO, etc. Análisis y gestión de riesgos de los sistemas de información. El ciclo de gestión de la seguridad siempre establece como primera etapa el análisis y la gestión de los riesgos del sistema que tratamos de proteger. Para una correcta definición e implantación de la seguridad, es necesario identificar y determinar los diferentes elementos significativos dentro del entorno de la seguridad de los sistemas de información. A continuación, se definen los elementos considerados significativos observados por para el estudio de la seguridad en sistemas de información. • Activos: recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección. • Amenazas: eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. • Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo. • Impacto en un activo: consecuencia sobre éste de la materialización de una amenaza. • Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organización. • Servicio de salvaguarda: acción que reduce el riesgo. • Mecanismo de salvaguarda: procedimiento, dispositivo, físico o lógico, que reduce el riesgo.   Técnicas desarrolladas para test de intrusión, phishing, etc. Las empresas deben implementar adecuados mecanismos de protección contra programas maliciosos, tales como: virus informáticos, “gusanos” de red, “spyware”, “troyanos”, y otros que en el futuro puedan surgir, con el objeto de prevenir daños sobre los datos y la pérdida de información. Deben desarrollar procedimientos de difusión a los usuarios de los sistemas de información y a los recursos humanos de las áreas técnicas, sobre sanas prácticas en materia de prevención. Deben implementarse herramientas para la prevención, detección y eliminación de este tipo de software en los distintos ambientes de procesamiento, evitando su propagación y replicación a través de las redes informáticas, archivos y soportes de información. Estas herramientas deben actualizarse rutinariamente contra nuevas amenazas. Deberán definirse controles de seguridad para prevenir la presencia de código malicioso en archivos adjuntos a correos electrónicos y en los accesos a Internet; asimismo, se deberá impedir la instalación y utilización de software no autorizado. El área será responsable de observar la existencia y correcta aplicación de los controles considerados como práctica recomendada y de uso frecuente en la implementación de la protección de los activos de información. Los mismos comprenden: la existencia de una política de protección de los activos de información, correctamente redactada, formalizada, actualizada y comunicada a toda la entidad; la asignación de responsabilidades operativas en materia de administración de la protección de los activos de información; la comunicación oportuna de incidentes relativos a la seguridad, a los responsables propietarios de los datos; la existencia de procedimientos de control y monitoreo, y su aplicación, sobre el empleo continuo de los estándares fijados de seguridad; la instrucción y el entrenamiento en materia de seguridad de la información. Adicionalmente, los controles efectuados por el área deben establecerse formalmente a través de reportes operativos, que permitan la supervisión continua y directa de las tareas y el análisis del logro de las metas definidas. Estos reportes deben mantenerse en archivo por un término no menor a 2 (dos) años, utilizando para ello soportes de almacenamiento no reutilizables y preferentemente sometidos a algoritmos de función irreversible o como normalmente se denomina “funciones hash”. De acuerdo con el marco definido en la política de seguridad informática, las entidades financieras deben desarrollar e implementar controles precisos, oportunos y eficaces sobre las funciones de acceso a los datos y a los recursos de información.   Control y monitoreo. El área de protección de activos de información es la responsable primaria de efectuar las actividades regulares de monitoreo y controles de verificación. La frecuencia de revisión dependerá del valor de la información administrada y del riesgo asociado a la aplicación o servicio tecnológico. Se deben evaluar los accesos a las funciones de administración y procesamiento de los programas de aplicación y sus registros de datos resultantes. Asimismo, se deben controlar especialmente los usuarios con niveles de accesos privilegiados, su utilización y su asignación. Los incidentes y debilidades en materia de seguridad deben registrarse y comunicarse inmediatamente a través de adecuados canales de información, con el objeto de analizar sus causas e implementar planes de remediación.   Riesgos que emergen de la incorporación de nuevas tecnologías y redes sociales en los procesos de las compañías (mobile, cloud, twitter, etc). El modelo de auditoría que utilizamos en la actualidad se basa en la medición o evaluación de un asunto con respecto a unos criterios establecidos para que el auditor pueda expresar una conclusión.  Fundamentalmente, este enfoque asume de manera implícita que se trata de un  modelo de presentación de información maduro o, por lo menos, lo suficientemente maduro. Se asume que existe una serie de criterios robustos, constantes y “adecuados” que pueden aplicarse y que utilizándolos en las mismas circunstancias produciríamos sustancialmente el mismo resultado. Así pues, las características del modelo actual son: •  Está basado en un modelo de información maduro. •  Requiere una serie de criterios “adecuados” que puedan evaluar o medir de manera razonable y coherente un asunto.  •  Se obtiene un nivel de auditoría mediante un proceso de recopilación de evidencias y alcanza conclusiones basadas en éstas. Mayor profundidad y alcance significa más confianza. •  Muestra conclusiones generales que han desarrollado su propio significado y que se entienden en el contexto de esas materias como ‘muestran la imagen fiel’ o ‘correctamente presentada’. El presente modelo de auditoría ya se ha aplicado a enfoques de presentación más amplios. Además de la auditoría de los estados financieros, muchas organizaciones han tratado de obtener un cierto grado de “assurance” con respecto a sistemas específicos, procesos o Key Performace Indicators (KPI) u otros parámetros con el fin de generar una mayor solidez y fomentar la confianza de los grupos de interés.  Algunos posibles obstáculos del modelo actual de auditoría en su avance hacia una mayor profundidad. Uno de los problemas del trabajo del auditor es el grado de subjetividad o de juicio de valor que a veces conlleva y, por tanto, la dificultad de encontrar fórmulas estandarizadas que objetiven su labor y posibiliten la comparación entre compañías. En general, cabe señalar que la estandarización de procedimientos e informes tiene un lado positivo sobre la auditoría, pero si se buscan informes totalmente estandarizados se podría correr el riesgo de vaciarlos de valor. Además, un exceso en este ámbito puede derivar en una mayor preocupación por la forma que por el fondo. Aunque el alcance del auditor fuera mucho mayor que el actual, siempre habrá situaciones donde no podría llegar. En ocasiones, los grupos de interés piden al auditor más de lo que realmente puede dar. Existe una demanda de certezas por parte de los grupos de interés, pero la realidad es que no es posible vivir sin incertidumbres y,  aunque se trabaje con rigor para dar una “opinión sobre la imagen fiel”, no se puede contar con garantías absolutas. Por ello, es preciso mejorar en el campo de los roles y responsabilidades del auditor con el fin de que se entienda mejor qué puede ofrecer y reducir o eliminar el gap de expectativas. No toda la información presentada bajo un  modelo más amplio puede ser objeto de “assurance” ni se puede “auditar” en el sentido tradicional de la palabra, ya que los sistemas, controles y parámetros pueden no ser lo suficientemente robustos. Todavía no existe un consenso sobre  el equivalente de “la imagen fiel” en el contexto de un modelo de presentación más amplia de la información en su conjunto. Esto no quiere decir que no sea válida la  aplicación del modelo de auditoría a un  conjunto más amplio de sistemas, procesos, KPIs y otros parámetros o que éste no deba ser el objetivo de los auditores.  Solo con la posibilidad de validar externamente la información de acuerdo con el modelo de assurance actual ya es posible conocer mejor la verdadera situación de una compañía, lo que aporta valor y mejora la confianza por parte de los grupos de interés. De hecho, el proceso para evaluar si la información presentada por una entidad está lista para un proyecto de este tipo ya tiene un valor en sí mismo, ya que señala aquellos puntos de los sistemas y procesos subyacentes de la entidad que deben ser más robustos.  Se podría decir que el modelo de auditoría actual no apoya la innovación ni la experimentación en la información corporativa tanto como debiera debido a diferentes razones, entre las que podemos destacar las siguientes:  •  La necesidad de tener que establecer unos criterios robustos y “adecuados” puede disuadir a la hora de experimentar, especialmente con respecto a la información externa.  •  El nivel de auditoría proporcionado suele limitarse a los aspectos más desarrollados de los sistemas de información. •  Al tratarse a menudo de información no financiera, los informes tienen con  mayor frecuencia la necesidad de incluir advertencias acerca de la  propia información o de las  conclusiones de dicha información.  •  Todavía se percibe un cierto estigma si se presenta una opinión con  salvedades cuando la información no cumple con la totalidad de loscriterios, o cuando no ha sido posible recopilar un volumen suficiente de evidencias.  •  Aunque en algunas de las nuevas áreas los informes de assurance incluyen más análisis narrativos (p. ej. los informes AA1000 en materia de sostenibilidad), el objetivo principal de obtener una conclusión de “aprobado/suspenso” deja escaso margen al reconocimiento de las mejoras continuas llevadas a cabo por la entidad a través de sus esfuerzos de innovación y experimentación con su modelo de información. Por todo ello, en ocasiones el sistema actual de auditoría no ayuda a una compañía a tener confianza a la hora de expandir su modelo de presentación de información corporativa, por el contrario, puede disuadirla a la hora de realizar dichos esfuerzos o de asumir riesgos en este sentido porque se pueden generar dudas sobre el conjunto de su modelo de información.    Nuevas tecnologías: Big Data, Analytics, Robotics, módulos específicos de ERPs y otros. Cada nuevo año, las auditorías que realizamos cuentan con equipos cada vez más especializados y multidisciplinares, capaces de incorporar a sus procedimientos tecnologías novedosas para el análisis de datos, que amplían el alcance de las pruebas y, a través del uso de esas herramientas sofisticadas, generan conclusiones más precisas aportando una mayor seguridad. Este cambio de enfoque lleva consigo una fuerte automatización del proceso de auditoría, motivado sobre todo por la necesidad de cubrir alcances de trabajo cada vez mayores que exigen no sólo conocer como se ha comportado el pasado, sino también estar en disposición de dar información sobre la evolución de los planes futuros y del impacto que los cambios que se producen en el entorno pueden tener sobre el negocio de las entidades auditadas. • La minería de procesos. • El audit data analytics. • La inteligencia artificial. • Los audit bots. Una de las actividades críticas en la auditoría de hoy en día es el entendimiento de los procesos de negocio de las entidades y la identificación y análisis de los flujos que siguen las transacciones críticas que sean la fuente de la información financiera. El buen entendimiento de estos procesos es necesario para comprender el control interno de la compañía y los posibles riesgos a los que como auditores debemos enfrentarnos en el transcurso de la auditoría. Las técnicas de minería de procesos nos llevan un poco más allá del entendimiento y la flujogramación de los mismos. La minería de procesos busca identificar e incorporar al análisis de las transacciones críticas nuevas fuentes de información compuestas por el conjunto de metadados que acompañan a las transacciones financieras y que son utilizados por las propias aplicaciones para gobernar el flujo continuo de la información. A modo de ejemplo, cuando en un sistema de facturación se genera el registro de la factura, a ésta se le añade innumerable información de contexto que no tiene más finalidad que la de asegurar el correcto procesamiento de dicho registro. Por ejemplo, existe información del momento en el que se genera la operación, del usuario de la aplicación que lo genera, del usuario de la base de datos, de la dirección IP del terminal desde el que se ejecuta la transacción, de la versión del documento; identificadores internos que ayudan a gestionar la integridad referencial del mismo, del navegador utilizado, … Poder explotar todo este conjunto de metadados como parte del proceso de la auditoría puede Notas rápidas página 2conjunto de metadados como parte del proceso de la auditoría puede ayudar a identificar y contrastar el correcto funcionamiento de los controles internos, especialmente los automáticos, aportando una mayor seguridad y confianza sobre el correcto funcionamiento y desarrollo de los procesos y transacciones de negocio. El disponer un fuerte conocimiento interno de los procesos no solo permite poder explotar esta información de manera más precisa, sino que permite establecer mecanismos de auditoría continuos mucho más ligados a la realidad. Para poder explotar toda esta información es necesario hacerlo empleando técnicas de análisis de datos más avanzadas y en muchos casos basadas en herramientas que formaban par te de otros ámbitos de especialización y que cada vez son más empleadas por los auditores. Las técnicas de análisis de datos utilizando sistemas de computación llevan siendo empleadas por los equipos de auditoría desde hace más de 20 años. Primero explotando la información en los mainframes de las entidades con herramientas como EASYTRIVE, y luego (ya en entornos más amigables como los facilitados por Windows) los conocidos ACL o IDEA. Estas herramientas nos han permitido ir más allá del análisis de grupos de muestras o selecciones limitadas sobre los datos de las entidades auditadas, nos han permitido realizar simulaciones y validaciones más complejas, recreando procesos de tarificación, recálculos de provisiones, cruces de integridad de la información, etc. A medida que la capacidad de computación se va incrementando y también se va abaratando el coste del almacenamiento de datos, las pruebas tradicionales de auditoría están evolucionando hacia un entorno mucho más sofisticado, donde el análisis de la información capturada de la entidad y procesada por el auditor no finaliza con un “check” final sobre los resultados. La información está disponible para ser visualizada y analiza en múltiples dimensiones y aplicando puntos de vista completamente distintos. La prueba de auditoría se vuelve más dinámica y con un alcance mucho mayor. No nos ceñimos al análisis de unos pocos meses del año, sino que es posible extenderlo a ejercicios anteriores y enriquecer el análisis con fuentes de datos alternativas, provenientes nuestro ejercicio de minería de procesos, o incluso (por qué no soñar) con información externa a la propia entidad, capturada con la ayuda del “big data”. Esta evolución tecnológica daría como resultado no sólo facilitar confort sobre la situación actual, sino que las conclusiones del auditor podrían ayudar a comprender el impacto que los cambios tienen sobre la entidad y sobre su entorno de operación, facilitando la confianza pública en un entorno cada vez más cambiante. Y es precisamente en este punto donde entra en juego el tercero de los pilares ya mencionados. La incorporación necesaria de la inteligencia artificial y el “maching learning” como herramienta necesaria para soportar la complejidad del análisis de datos que se está requiriendo para el futuro de la profesión. Una de las ventajas que incorpora la aplicación de las técnicas de “maching learning” es poder automatizar el procesado de información basada en texto aplicando técnicas de lenguaje natural. Este tipo de técnicas permite generar conocimiento que puede ser utilizado por el auditor no sólo para contrastar su juicio crítico, si no Notas rápidas página 3ser utilizado por el auditor no sólo para contrastar su juicio crítico, si no para hacer evidentes realidades que de otra manera no podrían ser manifestadas de manera sencilla (o por lo menos con un coste razonable en recursos). La combinación de las técnicas avanzadas de minería de datos (con la explotación sistemática de “analytics” y la incorporación del “big data”) combinado con el “maching learning” nos permitirá crear sistemas expertos que reducirán significativamente los costes y los tiempos en las activida des de planificación, análisis de riesgos o valoración del impacto sobre las deficiencias de control. Sin duda, la incorporación de la inteligencia artificial al mundo de la auditoría nos conducirá a un producto final mucho más preciso, objetivo, pero sobre todo mucho más relevante, apropiado y útil para sus destinatarios finales. Finalmente, el cuarto de los pilares mencionados lo constituyen los Audit bots. Estos sofisticados miembros del equipo de trabajo están compuestos por un conjunto de tecnologías y herramientas que facilitan la ejecución de las actividades rutinarias. La necesidad de recopilar y tratar la evidencia de la auditoría requiere de una amplia realización de actividades de documentación fácilmente automatizables que conllevan un incremento de la calidad del producto final (entendiéndolo como el “Audit file” en su magnitud más amplia). Aquí la tecnología abre nuevos horizontes para la realización de las pruebas de auditoría. Imaginemos el uso de drones para facilitar actividades de inventariado de grandes almacenes de material, localizar activos productivos en una factoría o el empleo de dispositivos móviles para la recolección de la evidencia de auditoría durante la realización del inventario o la implementación de sistemas de confirmaciones externas basados en firma digital y en evidencia digital, aprovechando los nuevos canales que la trasformación digital nos brinda para comunicarnos con nuestros interlocutores. En definitiva, la digitalización de los procesos de auditoría permite incorporar nuevas herramientas de automatización que reducen los tiempos de ejecución y a su vez incrementan de manera notable el control sobre la ejecución del proceso y la calidad del producto final. Para poder golpear el núcleo de sílex de la auditoría y sacar de manera precisa estas cuatro lascas que hemos mencionado se requiere al menos de una condición necesaria: la trasformación del talento actual.  Este proceso de transformación se tiene que producir en dos vertientes distintas. La primera y más evidente es la incorporación de un mayor número de especialistas en “data scientist”, ingenieros de robótica o incluso pilotos de drones va a ser cada vez más normal en aquellas firmas que sean capaces de imaginar un futuro distinto y dispongan de la voluntad necesaria para construirlo. La segunda tiene que ver con la transformación del auditor y su evolución y desarrollo dentro de la carrera profesional. Este es, quizás, el mayor reto de trasformación a la que nos enfrentamos: ser capaces de recuperar la vocación de los nuevos profesionales, asegurar la inversión Notas rápidas página 4recuperar la vocación de los nuevos profesionales, asegurar la inversión en la formación y desarrollo en un entorno altamente digitalizado y automatizado. Es el reto de desarrollar perfiles profesionales más volcados en conocimiento de negocio de las entidades y capaces de afrontar la gestión de entornos cambiantes e inciertos el que va a ocupar una buena parte del tiempo dedicado a definir la estrategia del futuro de la profesión. Nuestros profesionales del futuro tendrán ante sí la oportunidad de liderar un equipo multidisciplinar de especialistas muy diversos y en el que alguno de sus miembros probablemente pierda en su apellido el calificativo de “humano”.

Naturaleza y posibles alcances de los servicios de aseguramiento. Según Fowler Newton (1995) hay distintos tipos de auditoría entre las cuales enumera las siguientes:   » Según quién realice la auditoría. AUDITORÍA EXTERNA O INDEPENDIENTE. Es la auditoría realizada por contadores públicos independientes para expresar una opinión sobre la información examinada. AUDITORÍA INTERNA. Es la auditoría realizada por los empleados o funcionarios de la organización con propósito de control. Según Rusenas (1983), dentro de algunos de los procedimientos que se aplican en la auditoría interna se incluyen: Revisión de las operaciones para verificar la autenticad, exactitud y concordancia con las políticas y procedimientos establecidos por la organización. Control de los activos a través de los registros contables y comprobaciones físicas. Revisión de las políticas y procedimientos para evaluar su efectividad. Revisión de si los procedimientos contables fueron aplicados en forma consistente con las normas contables. Auditoría de otras organizaciones con las que existen relaciones contractuales a cumplir y otras vinculaciones económicas.   » Según el alcance.  AUDITORÍA FINANCIERA. Tiene por objetivo determinar si los estados financieros del ente auditado presentan razonablemente su situación financiera, los resultados de sus operaciones y sus flujos de efectivo, de acuerdo a principios contables generalmente aceptados. AUDITORÍA DE CUMPLIMIENTO. Tiene por objeto comprobar que las operaciones efectuadas por el ente estén adecuadas a las leyes, normas y procedimientos aplicables a la entidad. AUDITORÍA OPERACIONAL O DE GESTIÓN. Su objetivo es evaluar el grado de economía, eficiencia y eficacia en el manejo de los recursos de la empresa, así como el desempeño de los empleados de la organización, respecto al cumplimiento de las metas programadas y el grado en que se están logrando los resultados o beneficios previstos.   » Según el objeto. AUDITORÍA DE ESTADOS CONTABLES. Es aquella realizada por un profesional idóneo e independiente, que tiene por objeto auditar los Estados Contables de un determinado ente, para poder brindar una opinión sobre la razonabilidad de las afirmaciones contenidas en los mismos. AUDITORÍA DE SISTEMAS. Comprende el conjunto de actividades para verificación y validación de los sistemas, procedimientos y resultados de los que se utiliza tecnología automatizada ya sea para el cumplimiento de legislación, garantizar la integridad de la información, correcta información por el sistema o correcta alimentación de datos. AUDITORÍA FISCAL. Consiste en revisar las áreas de impuestos de los años fiscalmente no prescriptos, con el fin de detectar posibles economías fiscales, deducciones y desgravaciones no aprovechadas por la empresa. AUDITORÍA GUBERNAMENTAL. La auditoría es ejercida por representantes del gobierno que actúan de conformidad con las leyes que rigen su actuación y que se refieren al desempeño de los entes gubernamentales. AUDITORÍA DE LEGALIDAD. Tiene como finalidad revisar si la organización en el desarrollo de sus actividades ha observado el cumplimiento de disposiciones legales que sean aplicables, tales como leyes, reglamentos, decretos, circulares, etc.   Desafíos y oportunidades de los servicios de aseguramiento.   Aun corriendo el riesgo de simplificar demasiado, se puede decir que el modelo de auditoría que utilizamos en la actualidad se basa en la medición o evaluación de un asunto con respecto a unos criterios establecidos para que el auditor pueda expresar una conclusión. Fundamentalmente, este enfoque asume de manera implícita que se trata de un modelo de presentación de información maduro o, por lo menos, lo suficientemente maduro. Se asume que existe una serie de criterios robustos, constantes y “adecuados” que pueden aplicarse y quetilizándolos en las mismas circunstancias produciríamos sustancialmente el mismo resultado. Así pues, las características del modelo actual son: •  Está basado en un modelo de información maduro. •  Requiere una serie de criterios “adecuados” que puedan evaluar o medir de manera razonable y coherente un asunto.  •  Se obtiene un nivel de auditoría mediante un proceso de recopilación de evidencias y alcanza conclusiones basadas en éstas. Muestra conclusiones generales que han desarrollado su propio significado y que se entienden en el contexto de esas materias como ‘muestran la imagen fiel’ o ‘correctamente presentada’. El presente modelo de auditoría ya se ha aplicado a enfoques de presentación más amplios. Además de la auditoría de los estados financieros, muchas organizaciones han tratado de obtener un cierto grado de “assurance” con respecto a sistemas específicos, procesos o Key Performace Indicators (KPI) u otros parámetros con el fin de generar una mayor solidez y fomentar la confianza de los grupos de interés.  Uno de los problemas del trabajo del auditor es el grado de subjetividad o de juicio de valor que a veces conlleva y, por tanto, la dificultad de encontrar fórmulas estandarizadas que objetiven su labor y posibiliten la comparación entre compañías. En general, cabe señalar que la tandarización de procedimientos e informes tiene un lado positivo sobre la auditoría, pero si se buscan informes totalmente estandarizados se podría correr el riesgo de vaciarlos de valor. Además, un exceso en este ámbito puede derivar en una mayor preocupación por la forma que  por el fondo. Aunque el alcance del auditor fuera mucho mayor que el actual, siempre habrá situaciones donde no podría llegar. En ocasiones, los grupos de interés piden al auditor más de lo que realmente puede dar. Existe una demanda de certezas por parte de los grupos de interés, pero la realidad es que no es posible vivir sin incertidumbres y, aunque se trabaje con rigor para dar una “opinión sobre la imagen fiel”, no se puede contar con garantías absolutas. Por ello, es preciso mejorar en el campo de los roles y responsabilidades del auditor con el fin de que se entienda mejor qué puede ofrecer y reducir o eliminar el gap de expectativas. No toda la información presentada bajo un modelo más amplio puede ser objeto de “assurance” ni se puede “auditar” en el sentido tradicional de la palabra, ya que los sistemas, controles y parámetros pueden no ser lo suficientemente robustos. Todavía no existe un consenso sobre el equivalente de “la imagen fiel” en el contexto de un modelo de  presentación más amplia de la información en su conjunto. Esto no quiere decir que no sea válida la aplicación del modelo de auditoría a un conjunto más amplio de sistemas, procesos, KPIs y otros parámetros o que éste no deba ser el objetivo de los auditores.  Solo con la posibilidad de validar externamente la información de acuerdo con el modelo de assurance actual ya es posible conocer mejor la verdadera situación de una compañía, lo que aporta valor y mejora la confianza  por parte de los grupos de interés. De hecho, el proceso para evaluar si la información presentada por una entidad está lista para un proyecto de este tipoya tiene un valor en sí mismo, ya que señala aquellos puntos de los sistemas y procesos subyacentes de la entidad que deben ser más robustos. Se podría decir que el modelo de auditoría actual no apoya la innovación ni la experimentación en la información corporativa tanto como debiera debido a diferentes razones, entre las que podemos destacar las siguientes:  •  La necesidad de tener que establecer unos criterios robustos y “adecuados” puede disuadir a la hora de experimentar, especialmente con  respecto a la información externa. El nivel de auditoría proporcionado suele limitarse a los aspectos más desarrollados de los sistemas de información. •  Al tratarse a menudo de información no financiera, los informes tienen con mayor frecuencia la necesidad de incluir advertencias acerca de la  propia información o de las conclusiones de dicha información.  •  Todavía se percibe un cierto estigma si se presenta una opinión con salvedades cuando la información no cumple con la totalidad de los criterios, o cuando no ha sido posible recopilar un volumen suficiente de evidencias. El nivel de auditoría proporcionado suele limitarse a los aspectos más desarrollados de los sistemas de información. •  Al tratarse a menudo de información no financiera, los informes tienen con mayor frecuencia la necesidad de incluir advertencias acerca de la  propia información o de las conclusiones de dicha información.  •  Todavía se percibe un cierto estigma si se presenta una opinión con salvedades cuando la información no cumple con la totalidad de los criterios, o cuando no ha sido posible recopilar un volumen suficiente de evidencias. El nivel de auditoría proporcionado suele limitarse a los aspectos más desarrollados de los sistemas de información. •  Al tratarse a menudo de información no financiera, los informes tienen con mayor frecuencia la necesidad de incluir advertencias acerca de la propia información o de las conclusiones de dicha información.  •  Todavía se percibe un cierto estigma si se presenta una opinión con salvedades cuando la información no cumple con la totalidad de los criterios, o cuando no ha sido posible recopilar un volumen suficiente de evidencias.  Con el fin de mejorar la comprensión del estado real de las compañías, sería necesario dotar a los auditores de un papel más activo a la hora de analizar e informar sobre los planes y perspectivas de las empresas. Se trata de disponer y analizar la información de manera multidimensional, evaluando también variables menos financieras, pero sin duda operativas, siguiendo el camino de iniciativas como el reporting integrado.   Priorizar y ganar en entendimiento de la información No se trataría de auditar “más cantidad de información” en sí mismo, sino de priorizar y ganar profundidad sobre qué tipo de información es preciso revisar, así como lograr que ésta sea más clara y entendible, todo ello con el fin de conocer mejor la situación real de las compañías. Este ejercicio exige más complejidad en el trabajo del auditor y, muy probablemente, un informe de auditoría distinto al actual que incluya información sobre riesgos, la respuesta prevista por la organización para gestionarlos adecuadamente y la evaluación independiente de todo ello por parte del auditor. En este sentido, la información presentada por las entidades, tanto interna como externa, ha empezado ya a evolucionar para reflejar las nuevas exigencias de un mundo que cambia constantemente y de un conjunto más amplio de motores de creación de valor.  El auditor debe respaldar y acelerar este cambio y estar dispuesto a pensar de una forma diferente, concibiendo maneras nuevas e innovadoras de generar y consolidar la confianza.    Riesgos Respecto a dar mayor confianza sobre los riesgos de una organización, es preciso destacar que la reforma de auditoría aprobada este año por la Unión Europea establece que el auditor deberá describir los riesgos evaluados, incluido el de fraude; tendrá que resumir la respuesta como auditor a esos riesgos y, si procede, incluir las observaciones clave sobe éstos. Sin embargo, se requiere tiempo hasta que la nueva norma europea sea realmente “digerida” por los Estados miembros y hasta que se incorpore esta materia de forma definitiva con un apartado específico y amplio dentro del informe de auditoría.   Controles Respecto a los procesos y controles, numerosos reguladores relevantes tienden a señalar la importancia de que el auditor los revise con profundidad. Además de la Ley Sarbanes-Oxley en Estados Unidos, tenemos experiencias en países europeos como Suiza, donde el auditor está requerido a revisar los procesos y entender que los controles son adecuados al nivel de actividad. En este sentido, la responsabilidad ante  las autoridades por la información que suministran los Administradores de una compañía es probablemente más directa y clara en Estados Unidos, hecho que favorece un entorno más proclive a la inclusión de procedimientos y controles formalizados en las organizaciones. Quizás las reformas de los marcos normativos mercantiles y penales en España pueden ayudar a mejorar los procesos y controles en las organizaciones.  Actualmente el Sistema de Control Interno de la Información Financiera (SCIIF) que las sociedades cotizadas han de tener implantado por requerimiento de la Comisión Nacional del Mercado de Valores (CNMV) es un paso relevante en este proceso. Sin embargo, la auditoría  del SCIIF aún es voluntaria en España. En este ámbito, la responsabilidad del auditor también debería estar correlacionada con el alcance de su trabajo. Si existiera un marco normativo que implicara una mayor profundidad, sería más fácil identificar la responsabilidad del auditor en las  situaciones críticas.    Las estimaciones y perspectivas de futuro A la luz de lo acontecido en la crisis de los últimos años en ámbitos tan relevantes como la banca o el sector inmobiliario, parece evidente que no basta conocer el pasado para predecir el futuro. De hecho, toda burbuja nace y crece sobre la base de fijarse sólo en los resultados sin  considerar adecuadamente los riesgos y las posibles contingencias. Conviene aprender la lección de la crisis actual y hacer que se revisen los modelos para no repetir errores. La información contenida en los actuales informes de auditoría es valiosa para la imagen fiel de las compañías, pero cabe preguntarse si es suficiente para conocer su evolución a corto y medio plazo, así como para entender correctamente su verdadera situación.  Aunque la normativa contable y de auditoría actual implica que los auditores tienen que evaluar la razonabilidad de las hipótesis futuras para distintos conceptos de los estadosfinancieros (fondos de comercio, créditos fiscales, valoraciones a valor razonable de activos, instrumentos financieros, provisiones de cartera, etc.), así como la continuidad de la compañía para el ejercicio siguiente al auditado tomando como base la información inanciera suministrada, estos requerimientos realmente no entran de lleno en todas las dimensiones, financieras y no financieras de una entidad y, por tanto, impiden ver una foto completa de la compañía. Hay que tener muchas cautelas a la hora de evaluar el futuro de una entidad, pero es preciso hacerlo y revisar los modelos de las organizaciones, sin menospreciar que “auditar el futuro” de una organización entra en un terreno complejo que no se puede abarcar en su totalidad dado el carácter imprevisible de la economía y de las múltiples variables que afectan a las compañías.   Periodicidad del informe de auditoría En España y para las sociedades cotizadas, el auditor está requerido a un informe anual, algo que se queda corto si tenemos en cuenta la realidad de la empresa de hoy y la velocidad a la que va todo. Por ello, sería recomendable una revisión semestral, o incluso también trimestral, como ocurre en Estados Unidos.  En un entorno tan cambiante como el actual, un año es un periodo demasiado largo en el que una compañía atraviesa diferentes fases o puede ser impactada por múltiples acontecimientos.   Un modelo de informe de auditoría más completo Además de un resumen sencillo y con las prioridades, podría avanzarse hacia un informe completo que podría mostrar el equilibrio y la integración de la información, incluyendo:  •  En qué medida la información presentada explica la importancia de los diferentes conjuntos de información (incluidos los riesgos relacionados) en relación con la estrategia de la organización.  •  La conexión y las interdependencias de la información.   Auditoría de información financiera.   Análisis de la información financiera prospectiva. La información financiera prospectiva presenta las siguientes características fundamentales: - Pone el acento en lo que puede suceder. La informaciónfinanciera prospectiva tiene como característica fundamental el hecho que los resultados reales presenten una fuerte probabilidad de ser diferentes a los presentados, por lo que los desvíos y sus análisis son importantes en este tipo de información. - Análisis sistémico. La información financiera prospectiva debe ser integrada y representar el sistema en que esta integrada. El análisis de los diferentes componentes de la información financiera prospectiva, conjuntamente con las técnicas que la generaron, maximiza el significado de este tipo de información.   Análisis de la información financiera prospectiva según diversos enfoques - Base de naturaleza especulativa. Al contrario de lo que ocurre con la información financiera histórica que es sustentada por pruebas objetivas, las pruebas que se relacionan con los presupuestos son de naturaleza especulativa, lo que torna más difícil al auditor hacer su evaluación y llegar a un nivel elevado de seguridad. - Riesgo e incertidumbre. Los estados financieros prospectivos deben ser analizados partiendo del presupuesto de que existirá una fuerte probabilidad de que sus resultados reales sean diferentes a los presentados. Como los resultados esperados pueden no ocurrir, el grado de incertidumbre de cada elemento contenido en los estados financieros previsionales es mayor. De ahí que las técnicas utilizadas en el examen deben ser necesariamente más sofisticadas. - Análisis del contexto como prioridad. Al ser la base de la información financiera prospectiva de naturaleza especulativa, lo que implica que las posibilidades de comparación son menores, el modo de enfoque debe ser efectuado en el contexto, por lo que el análisis cualitativo es más importante que el análisis cuantitativo. - El cambio como característica básica de la información financiera prospectiva. Así, como la probabilidad de cambio es una de las características importantes de la información financiera prospectiva, el auditor tiene que tener capacidad para trabajar con el cambio, lo que no se le exige en el análisis de la información financiera histórica.   Estructura de la información financiera prospectiva. Una de las características fundamentales del sistema de información contable en relación con la información financiera prospectiva es la de proporcionarle consistencia. Esta se traduce en la fundamentación de que debe reunirse en un cuerpo de principios y de presupuestos que son la base para la presentación de la información. La comparabilidad es un requisito esencial para el desarrollo de la información financiera prospectiva, incapaz de ser conseguido si la misma no es consistente con la información financiera histórica. Existe un conjunto de presupuestos, principios y modificaciones que son indispensables en el análisis del proceso de información financiera prospectiva. En este sentido, todos los supuestos básicos de la entidad (“business entity concept”): la continuidad de las operaciones (“going concern or continuity concept”), el período (“time period concept”), moneda estabilizada (“nominal unit of money”), el principio de coste histórico (“historical cost principie”), el principio de reconocimiento de ingresos y gastos (“revenue recognition principie, expense recognition principie”), el principio de equilibrio entre gastos y beneficios (“matching concept”), el principio de presentación total, los llamados modificadores básicos, beneficios mayores que costes (“benefits greats than cost”), el principio de materialidad (“materiality”) y el de conservadurismo, todos ellos, se encuentran de igual modo patentes en el desarrollo de la información financiera prospectiva.   Guía para el análisis de los estados financieros prospectivos. (“Guide for Prospective Financial Statement”). Cada vez es más importante la forma como contadores y auditores intervienen en la elaboración y revisión de la información financiera prospectiva, teniendo en cuenta los siguientes objetivos: 1- obtención de financiación en las entidades bancarias; 2- decisión de compra y venta de activos; 3- decisiones de crecimiento empresarial con base en fusiones y adquisiciones; 4- determinación de las consecuencias fiscales de acciones futuras; 5- desarrollo de sistemas previsionales de información de gestión; 6- identificación de los factores clave en la elaboración de las previsiones y proyecciones; 7- litigio entre las partes. La constatación de esta situación como correlato la concepción y desarrollo de una normativa que encuadre esa realidad.   La “American Institute of Certified Public Accountants” (AICPA) publicó en 1975 los siguientes documentos: - Marzo 1975- Guía para la preparación de las previsiones financieras. -Agosto 1975- Presentación y publicación de los presupuestos financieros, que se destinaban a dar respuesta al aumento de publicaciones de las previsiones financieras por parte de las empresas.   La evaluación de la información financiera prospectiva también era reclamada por diferentes entidades, dando origen, en octubre de 1980, a la emisión de una guía para la revisión de las previsiones financieras: la “Guide for a Review of Financial Forecasts”. En junio de 1986, éstas guías fueron insertadas en la “Guide for Prospective Financial Statements” que fue una referencia básica para la preparación, compilación y examen de la información prospectiva. La información financiera prospectiva, así como los estados previsionales, reflejan una información dirigida al futuro. La AICPA1 define los estados financieros previsionales como la representación de la situación financiera futura, de los resultados de las operaciones y de los cambios de la posición financiera sobre el futuro.   Este tipo de información abarca los siguientes aspectos: previsiones, proyecciones, estudios de viabilidad, análisis del “break-evenpoint” y presupuestos. A todo esto se llama información financiera prospectiva, y su publicación es impulsada por la SEC (“Securities and Exchange Comission”) con ciertas condiciones. En el citado informe se afirma que al estar la información financiera prospectiva basada en presupuestos relacionados con hechos futuros (AICPA 1993, p.3), se admite que su tratamiento- elaboración y examen- sea más complejo que el de la información financiera histórica, siendo pues, necesario tomar conciencia de sus limitaciones. Los presupuestos están basados en determinada información disponible y pueden ser influenciados por factores endógenos y exógenos, por lo que la apreciación y la opinión del auditor son importantes para evaluar las condiciones subyacentes, asumiéndose que la fiabilidad de los informes no puede estar nunca garantizada. En su estructura, la guía incluye tanto las previsiones financieras como las proyecciones. Sin embargo, centra su atención en las previsiones, reconociéndose que son fundamentales para aquellos que toman decisiones de inversión/desinversión sin llegar a tener acceso a los registros financieros de la empresa, ni a su administración. La empresa puede ejercer influencia sobre las operaciones a través de la planificación, organización y control, a través del desarrollo de un conjunto de acciones destinadas a optimizar los factores clave. Es decir, la empresa puede minimizar la incertidumbre de la realización de los resultados expresados en los estados financieros previsionales a través de su organización interna. En las orientaciones dadas a las empresas que publican información financiera previsional, la guía admite que las previsiones puedan ser preparadas como un output de un sistema formal de información de gestión que englobe los “inputs”, procesamientos y “outputs” del sistema, incluyendo el registro, análisis, interpretación, procesamiento y revisión de la información acerca de todos los elementos de la empresa. En relación con los presupuestos, el interés del contador debe centrarse en los siguientes aspectos: - Materialidad de los valores presupuestados; - Análisis de sensibilidad de los factores clave; - Análisis de las desviaciones en relación con los valores históricos; - Análisis de la incertidumbre.   La elaboración de la guía para el análisis de la información financiera prospectiva es la prueba de que las organizaciones profesionales se están adaptando a las nuevas exigencias manifestadas por los usuarios de la información financiera.   Aseguramiento sobre otros informes organizacionales (reporte sobre sostenibilidad, reporte integrado, etc.). Es complejo definir de forma consensuada la información no financiera ya que, en realidad, depende mayoritariamente de la naturaleza de la actividad de cada sociedad o del sector en que se enmarca. Normalmente se define como todo aquello que no es estrictamente información financiera. Se trata de un “término amplio aplicable a toda la información destinada a accionistas y otros grupos de interés que no está definida por una norma de Contabilidad o un cálculo de una medida basada en una norma contable”. El concepto ha evolucionado desde los informes de gestión hasta los informes de Sostenibilidad o de Responsabilidad Social Corporativa, y una de las expresiones más utilizadas recientemente es el informe ambiental, social y de buen gobierno (Environmental, Social and Governance -ESG). Probablemente, la explicación más exhaustiva de la información no financiera la encontramos en el estándar de información, Global Reporting Initiative (GRI), que propone contenidos generales y específicos agrupados en las dimensiones económica, ambiental y social, y que se detalla en el siguiente capítulo. Integrar la información financiera y no financiera para ofrecer una visión global de una organización conlleva dificultades debido a la diversidad de la información no financiera, a la hora de obtener información homogénea y comparable. Esta información se caracteriza por: · Tener orígenes muy dispares. · Contar con unidades de medición. · No disponer de sistemas de registro interconectados entre sí.   En concreto, estas directrices identifican los siguientes atributos que debe tener la información no financiera: · Información significativa. Se identifican factores a considerar para evaluar la importancia relativa de la información: - Modelo de negocio, estrategia y retos principales. - Principales cuestiones sectoriales. - Intereses y expectativas de las partes interesadas pertinentes. - Impacto de las actividades. - Factores relacionados con las políticas públicas y con la regulación. · Información fiel, equilibrada y comprensible. Debe reflejar de manera fiel los aspectos favorables y no favorables, y la información debe prepararse y presentarse de manera imparcial. · Información completa, pero concisa. Debe proporcionar una imagen completa de la sociedad en el año al que se refiere el informe. Debe divulgarse, como mínimo, información significativa sobre cuestiones medioambientales y sociales, así como relativas a personal, respeto de los derechos humanos y asuntos relativos a la lucha contra la corrupción y el soborno. · Información estratégica y prospectiva. Se espera que ayude a conocer el modelo de negocio de una sociedad, su estrategia y ejecución, y que explique las repercusiones de la información comunicada a corto, medio y largo plazo.   INFORMACIÓN FINANCIERA Y NO FINANCIERA Para entender la diferencia entre información financiera y no financiera nos remitimos a la definición del Financial Accounting Standard Board (FASB, 2001, p. 5): “la información no financiera es aquella que no está reflejada en los estados financieros tradicionales (Balance y Cuenta de Pérdidas y Ganancias), pudiendo comprender: información revelada con carácter obligatorio (informe de auditoría; hechos relevantes) e información de carácter voluntario (comentario de directivos)”. Además, agrega: “el objetivo de cualquier medida no financiera, debería ser capturar los datos que informen sobre aquellos aspectos del negocio, que no estén reflejados en los estados financieros básicos…” (FASB, 2001, p. 56). Otra denominación a otorgarle a este tipo de información podría ser el de información cualitativa, es decir, la no cuantificada en términos monetarios en los estados contables tradicionales, aunque puede aparecer cuantificada, incluso monetariamente, en la memoria u otro documento. Aunque la mayor parte de la información no financiera divulgada es de carácter voluntaria, buena parte es exigida por los organismos reguladores y debe ser incluida en la Memoria, Informe de Gestión u otros documentos como la Carta del presidente o el Informe Medioambiental. La información voluntaria comprende cualquier dato que la empresa no está obligada a emitir por la normativa legal o contable. Está integrada por información que acompaña a las cuentas anuales y también por la divulgada a través de Internet, prensa financiera, reuniones con analistas. Según el FASB (2001) la información financiera junto a la no financiera conforma el total de la información sobre el negocio de la compañía y se la denomina (Business Reporting). Dentro del marco del paradigma actual, de “la utilidad orientada al usuario”, la información exclusivamente financiera ya no es suficientemente útil para la toma de decisiones. Esta pérdida de relevancia de la información financiera hace presumir la existencia de generadores de valor no reconocidos contablemente pero que el mercado aprecia en la valoración de los títulos y que se refiere a aspectos del entorno estratégico y operativo de la compañía.   TIPOS DE INFORMACIÓN NO FINANCIERA. Dentro de la información llamada “no financiera” podemos distinguir dos clases: las “Memorias o Informes de Sostenibilidad” y los “Informes de Gobierno Corporativo”.   a. LAS MEMORIAS O INFORMES DE SOSTENIBILIDAD. La Global Reporting Initiative (GRI) en su última versión G3.1 (2011), estándar internacional con gran aceptación a nivel mundial para la preparación de reportes de sostenibilidad, si bien no define qué se entiende por Memoria de Sostenibilidad hace referencia a su propósito, estableciendo: “ La elaboración de una memoria de sostenibilidad comprende la medición, divulgación y rendición de cuentas frente a grupos de interés internos y externos en relación con el desempeño de la organización con respecto al objetivo del desarrollo sostenible” y luego agrega: “…es un término muy amplio que se considera sinónimo de otros términos también utilizados para describir la información relativa al impacto económico, ambiental y social (por ejemplo, triple cuenta de resultados, informes de responsabilidad corporativa,etc.)”. En materia de reporting en sostenibilidad, a nivel nacional, se advierten algunos desarrollos normativos, entre los que merecen ser destacados: - A nivel nacional, la Ley Nº 25.877/04 de Régimen Laboral, en su Título II, cap. IV (arts.  25 y 26) establece la obligatoriedad de preparar un Balance Social anual para empresas que ocupen más de 300 trabajadores, el cuál será remitido al sindicato con personería gremial signatario de la convención colectiva de trabajo que le sea aplicable. No obstante, hay que aclarar que entiende que el balance social comprende: el balance general anual, cuenta de ganancias y pérdidas, notas complementarias, cuadros anexos, memoria del ejercicio, estado de evolución económica y financiera, y finalmente información relacionada con el personal. Esta ley si bien está vigente no fue reglamentada todavía. - Fuera de la normativa nacional, encontramos la Ley Nº 2594 de Ciudad Autónoma de Buenos Aires (CABA) de 2007, que tiene por finalidad promover comportamientos socialmente responsables por parte de las empresas que tengan domicilio legal en la jurisdicción de la CABA. Obliga a las organizaciones con más de 300 trabajadores y con una facturación que supere los valores indicados para medianas empresas según la resolución SEPYME 147/06 a presentar un Balance Social, siendo voluntario para el resto de las empresas, que de hacerlo tendrán beneficios promocionales como acceso al crédito, programas especiales, incentivos para innovación tecnológica y otros. La situación actual es vigente sin reglamentar. Es de destacar del Decreto 517/11 de la Provincia de Salta que constituye un importante antecedente en cuanto al reconocimiento de la incumbencia del contador público en la auditoría del Balance Social y de los profesionales en Ciencias Económicas en la preparación del mismo. Establece, para todo tipo de organizaciones la elaboración de un Balance Socio Ambiental anual, que será obligatorio para aquellas que deseen obtener el Sello de Gestión Salteña Ecoeficiente o Ecosello, establecido por Ley Provincial 7163, siendo opcional para el resto. El ecosello se obtiene luego del cumplimiento de 4 etapas, certificada por IRAM, y el cumplimiento de una de ellas se logra con la presentación del Balance Social. Luego, por Decreto 4799/11 establece la obligatoriedad del Balance social en el Sector Público, cuya implementación será progresiva en el transcurso de los siguientes cuatro años. En la Provincia de Mendoza, fue sancionada recientemente, en Octubre del presente año 2012, la Ley de Responsabilidad Social Empresaria que fija el marco jurídico del Balance de Responsabilidad Social y Ambiental Empresaria (BRSAE). Será obligatoria su presentación para empresas con más de 300 trabajadores y que tengan una facturación superior a la establecida para medianas empresas en la Resolución SEPyME Nº 147/06, siendo voluntaria para las demás. También establece que el BRSAE será auditado por contador público independiente quien emitirá su informe de acuerdo a normas profesionales.   b. LOS INFORMES DE GOBIERNO CORPORATIVO. Se entiende por gobierno de las empresas la forma en que éstas se organizan, son dirigidas y controladas para alcanzar fines determinados. La consecución de estos fines le otorgaría, al gobierno el calificativo de bueno (p. 23). Si los fines son financieros, el gobierno se orienta a la consecución del máximo beneficio centrando su atención en las necesidades de los accionistas o propietarios. Si, por el contrario, se considera como beneficiarios de las actuaciones de las empresas a distintos interesados, el buen gobierno buscará alcanzar ventajas para todos ellos. Si además se incluyen aspectos éticos y morales, será buen gobierno el que consiga alcanzar fines buenos. El gobierno societario o corporativo adquirió mayor relevancia en los últimos años a raíz de escándalos corporativos. Se fundamenta en la teoría de la agencia, estableciéndose en el caso particular de las empresas cotizadas, ciertos vínculos entre los propietarios y los directivos de las empresas (agentes). Los Códigos de Buen gobierno son recomendaciones de adopción voluntaria por parte de las empresas, emitidos en general por comisiones de expertos que se constituyen a instancias de organismos oficiales, para mejorar la transparencia informativa, composición y funcionamiento de los órganos de gobierno y su relación con los distintos grupos de interés. La Responsabilidad Social Corporativa propone un modelo alternativo de gestión, en donde la empresa establece vínculos entre los propietarios y los directivos sino con muchas partes o grupos interesados, entre los que se encuentran: empleados, clientes, proveedores, competidores, comunidad local, medioambiente y la sociedad en general. Esta nueva forma de entender la empresa y que afecta a todas sus áreas, tiene consecuencias en el enfoque sobre el gobierno corporativo. Existe una íntima relación entre buen gobierno corporativo y responsabilidad social, ya que para ser socialmente responsable se necesita un buen gobierno corporativo, aunque no únicamente. El término “buen gobierno” podría entenderse como “la acción y efecto de guiar y dirigir, o regir una cosa, desde la natural inclinación a hacer el bien, útil y a propósito para alcanzar algún fin” . Por otra parte, “responsabilidad social” sería “la capacidad existente en toda organización para reconocer las consecuencias de un hecho realizado libremente, respondiendo del mismo ante la sociedad en general y ante otras partes implicadas”. a. El buen gobierno genera responsabilidad social siempre que el fin perseguido reconozca el interés de la sociedad y responda ante ella y las otras partes interesadas, como accionistas, empleados, clientes, proveedores, competidores, Estado, etc. b. La responsabilidad social genera buen gobierno, ya que al reconocer las consecuencias de un hecho y responder por él ante la sociedad y otras partes interesadas, está de acuerdo con la preocupación por hacer el bien del buen gobierno. El gobierno de una empresa, es por lo tanto el medio para alcanzar fines determinados. Si éstos son de naturaleza financiera (teoría de los accionistas o financiera), el buen gobierno se orienta a conseguir el máximo beneficio para los accionistas o propietarios, en cambio, si amplía el espectro de beneficiarios de las acciones llevadas a cabo por la empresa a otros grupos de interés (enfoque pluralista o teoría de los stakeholders), el buen gobierno buscará alcanzar beneficios (crear riqueza) para todos ellos. Si se le suman aspectos éticos y morales, el buen gobierno perseguirá fines buenos, es decir, hacer el bien. El nuevo modelo de empresa busca la creación de riqueza para el conjunto de la sociedad y de manera sostenible, es decir, preservando el capital medioambiental, físico, financiero e intelectual de la organización, y a este comportamiento se lo denomina responsabilidad social de la empresa. La mayoría de los Códigos de Buen Gobierno centran su atención en los accionistas, aunque los emitidos más recientemente son más abiertos en cuanto a contemplar la pluralidad de voces en el consejo de administración. a. Enfoque accionarial: es el que centra el interés en obtener el mayor beneficio para los accionistas. b. Enfoque accionarial matizado: si bien tiene como fin principal del gobierno de las sociedades el interés de los accionistas, reconoce el rol primordial que cumple el sector privado en la economía, por su capacidad de generar empleo, ingresos tributarios, producir una gran variedad de bienes y servicios a precios razonables, etc. y que factores como la ética, la concienciación corporativa respecto a las preocupaciones medioambientales y sociales de las comunidades pueden tener repercusión sobre la reputación y el éxito a largo plazo de la empresa. Es el caso de los Principios de la OCDE (1999) y el Informe Aldama (2003). c. Enfoque stakeholder: entiende el éxito de la empresa como resultado del trabajo en equipo y recursos procedentes de distintos grupos de interés. Además, sostiene que el gobierno corporativo debe reconocer que los intereses de la empresa pasan por el reconocimiento de los intereses de los grupos de interés y su contribución al éxito de la compañía a largo plazo. Es el caso de los Principios OCDE (2004), si bien ese reconocimiento explícito no se refleja en otro tipo de medidas de control y seguimiento. En nuestro país, el 31 de mayo del presente año 2012, la Comisión Nacional de Valores publicó en el B.O. la Resolución General Nº 606/12 la cual reemplaza a la anterior resolución 516/07 del mismo organismo. Esta nueva resolución se aplica a los ejercicios económicos iniciados a partir del 1º de enero de 2012, manteniendo el principio de “cumplir o explicar” ya adoptado en la anterior resolución. Incluye como anexo un código de gobierno societario que incluye buenas prácticas que deberán adoptar los entes alcanzados o bien explicar las razones de su incumplimiento y si tienen previsto adoptarlas el futuro. Establece nueve principios a considerar. Ellos son: 1. Transparentar la relación entre emisora, grupo económico y partes relacionadas. 2. Sentar las bases para una sólida administración y supervisión de la emisora. 3. Avalar una efectiva política de identificación, medición, administración y divulgación del riesgo empresarial. 4. Salvaguardar la integridad de la información financiera con auditorías independientes. 5. Respetar los derechos de los accionistas. 6. Mantener un vínculo directo y responsable con la comunidad. 7. Remunerar de forma justa y responsable. 8. Fomentar la ética empresarial. 9. Profundizar el alcance del Código. Esta resolución amplía el alcance, siendo aplicable no sólo a las sociedades con autorización para cotizar sus acciones sino también a aquellas autorizadas para cotizar sus obligaciones negociables (con excepción de aquellas que tengan autorización para emitir obligaciones con plazos de amortización de hasta 365 días). En comparación con el anterior código, la aplicación de éste requiere una mayor explicitación de las políticas aplicadas por el ente en relación a los temas contemplados. Se incorporan algunas buenas prácticas muy difundidas a nivel internacional como, por ejemplo: políticas de prevención del uso de información privilegiada, prevención de riesgos de fraude, emisión de un código de conducta y la implementación de un mecanismo para la recepción de denuncias sobre conductas ilícitas o no éticas. En materia de responsabilidad social empresaria se sugiere la emisión de un balance social sujeto a verificación por un auditor independiente. · Información orientada a las partes interesadas. Es conveniente tener en cuenta las necesidades de información de todas las partes interesadas. · Información coherente y sistemática. Debe ser coherente con otros elementos del informe de gestión.   Otros servicios de aseguramiento.   Auditoría de Información no financiera. Para entender la diferencia entre información financiera y no financiera nos remitimos a la definición del Financial Accounting Standard Board (FASB, 2001, p. 5): “la información no financiera es aquella que no está reflejada en los estados financieros tradicionales (Balance y Cuenta de Pérdidas y Ganancias), pudiendo comprender: información revelada con carácter obligatorio (informe de auditoría; hechos relevantes) e información de carácter voluntario (comentario de directivos)”. Además agrega: “el objetivo de cualquier medida no financiera, debería ser capturar los datos que informen sobre aquellos aspectos del negocio, que no estén reflejados en los estados financieros básicos…” (FASB, 2001, p. 56). Otra denominación a otorgarle a este tipo de información podría ser el de información cualitativa, es decir, la no cuantificada en términos monetarios en los estados contables tradicionales, aunque puede aparecer cuantificada, incluso monetariamente, en la memoria u otro . Aunque la mayor parte de la información no financiera divulgada es de carácter voluntaria, buena parte es exigida por los organismos reguladores y debe ser incluida en la Memoria, Informe de Gestión u otros documentos como la Carta del Presidente o el Informe Medioambiental. La información voluntaria comprende cualquier dato que la empresa no está obligada a emitir por la normativa legal o contable. Está integrada por información que acompaña a las cuentas anuales y también por la divulgada a través de Internet, prensa financiera, reuniones con analistas. Según el FASB (2001) la información financiera junto a la no financiera conforma el total de la información sobre el negocio de la compañía y se la denomina (Business Reporting). Dentro de la información llamada “no financiera” podemos distinguir dos clases: las “Memorias o Informes de Sostenibilidad” y los “Informes de Gobierno Corporativo”.   Auditoría jurídica Este tipo de control está dirigido a determinar el grado de cumplimiento por parte de las entidades del marco jurídico inherente a su actividad, y en que medida la referida reglamentación permite que los programas y proyectos del ente se cumplan de manera económica y eficiente.  Desagregando lo precedentemente expuesto, el auditor legal deberá satisfacerse de los siguientes aspectos: Desenvolvimiento General de la entidad o área auditada. Este objetivo de control comprende el examen jurídico de las operaciones generales que realiza la entidad -esto es-, observar si se cumplen los recaudos legales, de forma tal de determinar si se ha preservado la regularidad de cada operación, como así también si los intereses de la entidad estuvieron desde el punto de vista legal, correctamente defendidos. Cumplimiento  de  los  objetivos  asignados  a  la entidad. Este aspecto obliga al auditor legal, a verificar si la normativa que regula a la entidad permite que esta cumpla sus objetivos en forma económica, eficiente y eficaz, como así también, si la misma resulta racional, congruente, actualizada y ajustada a la realidad. Cumplimiento, por parte de la entidad, de las disposiciones que regulan procedimientos. El auditor deberá dar énfasis al control del cumplimiento de las normas que tienden especialmente a organizar, dar publicidad y transparencia a la gestión de la entidad, como así también aquellas que establezcan pautas que aseguren a los administrados las garantías del debido proceso, y las referidas a los requisitos esenciales que deben contener los actos administrativos. Esta actividad resguarda el desenvolvimiento organizado y conforme a derecho de la administración y protege la prosecución del interés general y el logro de la verdad objetiva.   Auditoria de Gestión. La auditoría de gestión examina las prácticas de gestión; no existen principios de gestión generalmente aceptados, que estén codificados, sino que se basan en la práctica normal de gestión; los criterios de evaluación de la gestión han de diseñarse para cada caso específico, pudiéndose extender a casos similares; las recomendaciones sobre la gestión han de ser extensas y adaptadas al hecho fiscalizado, analizando las causas de las ineficiencias y sus consecuencias. Por último, las auditorías de gestión son aperiódicas.   Auditoria de Cumplimiento. La auditoría de cumplimiento es una evaluación independiente para determinar si un asunto dado cumple con las disposiciones legales y normativas aplicables identificadas como criterios. Como auditores, debemos evaluar si las actividades, las operaciones financieras y la información cumplen, en todos los aspectos importantes, con las disposiciones legales y normativas que regulan a la entidad auditada2. Los auditores de las auditorías de cumplimiento buscan desviaciones sustantivas de los criterios establecidos con base en leyes y reglamentos.

Identificación de riesgos. El primer paso para la implementación del proceso de Auditoría Interna en una organización es la creación del Departamento de AI. El equipo de AI se organiza jerárquicamente dentro del departamento, siendo el principal responsable el Gerente General o DEA. La cantidad de niveles puede ascender hasta cuatro, variando de acuerdo al tamaño del departamento, las regulaciones legales a las que se encuentra sometida la organización, u otros factores. Además, para poder dar cumplimiento con el requisito de Independencia impuesto por el IIA (2012), es recomendable que el DEA tenga una dependencia directa hacia el órgano de gobierno. De este modo, en las empresas de mayor envergadura la dependencia funcional será hacia el Comité de Auditoría, el cual actúa de forma independiente a la administración general. En cambio, para aquellas empresas con una estructura más simple que no conformen el Comité, será hacia la dirección. Es importante que al realizar el diseño de una actividad de AI se considere la visión estratégica y la misión de la empresa para trabajar de forma integrada. Sumado a esto se requiere la participación activa de la dirección, la cual define los objetivos y los niveles de responsabilidad y autoridad del departamento. Otra actividad importante para poder llevar adelante las tareas, es la determinación de los canales de comunicación interna horizontal y vertical. Por último, se recomienda el desarrollo de un Manual de Auditoría que detalle los procedimientos concretos para llevar adelante la función en el ámbito particular de la empresa. El proceso de AI consiste en: Evaluación de Riesgos. Planificación del Plan Anual de Auditoría. Planificación detallada y desarrollo del trabajo. Comunicación y reporte. Seguimiento. De este modo, el DEA propone un calendario de trabajo de acuerdo a las prioridades definidas en la evaluación de riesgos y los recursos disponibles. El mismo, debe ser lo suficientemente flexible como para permitir contemplar situaciones o requerimientos inesperados. Posteriormente se deberá elaborar un Plan para cada trabajo que debe incluir el alcance, los objetivos, el plazo y la asignación de los recursos (IIA, 2012). El paso siguiente consiste en realizar las tareas contempladas en el Plan de Auditoría a los fines de obtener evidencia suficiente, a través de pruebas de detalle y de cumplimiento del Control Interno. Finalmente, se confecciona el Informe de Auditoría Interna a partir del resultado de las investigaciones, estudios y análisis realizados durante el trabajo de campo y el cual concluye expresando una opinión. Además de ello, se deben incluir los objetivos y el alcance del trabajo, así como también sugerencias, recomendaciones y planes de acción para la corrección de los defectos indicados. Es necesario que el auditor considere la sensibilidad de la redacción del Informe, puesto que éste indica deficiencias o fracasos de los controles, sistemas y procedimientos de los cuales son responsables los administradores. Respecto a la emisión de recomendaciones, cabe destacar que el Auditor Interno tiene una excelente visión para reconocer las oportunidades de fortalecer o mejorar los sistemas, procedimientos y métodos, para optimizar la eficiencia de la empresa. Puesto que, a través de sus revisiones, supervisa constantemente la validez del sistema de control interno implementado por la administración y su aplicación efectiva. Por otra parte, el departamento de AI puede además realizar tareas de consultoría dentro de la empresa, siempre que no se observen impedimentos a la independencia u objetividad relativa al trabajo propuesto. Estos servicios generalmente son desempeñados a pedido de la administración, la cual define la naturaleza y el alcance del trabajo.   Mapa de riesgos y procesos relacionados. Los riesgos de auditoría aplicados a los rubros de los estados contables.   1. Caja y Bancos. Para el rubro en cuestión, los riesgos que se mencionan a continuación suelen ser lo más frecuentes: a. La posibilidad tanto de desaparición como del manejo temporario de los fondos, para beneficio de terceros. b. Las decisiones inadecuadas tomadas con respecto al manejo de fondos, que pueda generar su inmovilización o falta en el momento en que se los necesite. c. La inclusión en los estados contables de fondos inexistentes o irreales, o la omisión en dichos estados, de fondos disponibles propiedad del ente. d. La no contabilización de operaciones que involucran movimientos de fondos y su ocultación mediante la contabilización de operaciones ficticias que involucran a la cuenta caja y a partidas pendientes en la conciliación bancaria. Como se observa, los riesgos están relacionados con la volatilidad de los componentes del rubro y la tentación que esto genera para la comisión de fraudes. Por otra parte, es un rubro que centraliza el cierre de todas las operaciones del ente, puesto que todas las ventas terminan en una cobranza y todas las compras de bienes y servicios terminan en un pago. Entonces, la cantidad de operaciones permite el ocultamiento con mayor facilidad. Por lo tanto, las manifestaciones más riesgosas son: 1. Integridad: por la cantidad de operaciones involucradas. 2. Existencia: por la posibilidad de incluir operaciones ficticias para realizar ocultamientos.   2. Ventas y créditos por ventas. Los riesgos involucrados en este circuito son más diversos que los relacionados con caja y bancos. En efectos, los riesgos principales son: a. Que no estén contabilizados todas las operaciones de ventas y los créditos que surjan de ellas. b. Que no estén contabilizadas todas las cobranzas de clientes. c. Que las operaciones de ventas no estén contabilizadas por sus valores de contado. d. Que haya alta probabilidad de incobrabilidad. e. Que se hayan contabilizados ventas y, por lo tanto, créditos inexistentes. f. En determinadas actividades, que no se hayan reconocidos los ingresos o se hayan reconocido por de más. Por lo tanto, desde el punto de vista de las manifestaciones de los estados contables, los riesgos más sensiblemente involucrados son: 1. Existencia: por la imposibilidad de verificar visualmente los créditos. 2. Valuación: por la subjetividad en la determinación de la previsión para deudores incobrables y en la intención y factibilidad de las partes de cancelar anticipadamente y por consideración de los valores de contado de las ventas. 3. Integridad: por la cantidad de operaciones, ya que se trata del circuito que involucra a la actividad principal de la empresa.   3. Inversiones. En el caso de las inversiones, los riesgos más comunes consisten en: a. Que se tomen decisiones erróneas en cuanto a la calidad y cantidad de las inversiones a efectuar, lo que puede generar inmovilización de fondos o falta de capital de trabajo. b. Que las inversiones sean medidas por valores superiores a los reales, no siendo recuperables los montos invertidos. c. Que existan ciertos activos dentro del ente auditado con los cuales se busque obtener una renta o beneficio adicional a la actividad ordinaria del ente y que no se incluyan como inversiones sino en otros rubros del activo de los estados financieros, simplemente por sus características físicas. d. Que las inversiones no se encuentren correctamente medidas contablemente. e. Que no se haga una correcta separación entre las inversiones y aquellos conceptos que son consecuencia de ellas, como podrían ser los intereses a cobrar y el valor llave.   4. Compras y bienes de cambio. En el caso de los bienes de cambio, los riesgos más comunes son: a. Las decisiones inadecuadas que llevan al ente a poseer exceso de existencias o falta de ellas. Por esta razón puede haber: - Inmovilización innecesaria de fondos. - Falta de capacidad para cubrir la demanda de bienes. b. La inclusión en los estados financieros de unidades físicas inexistentes o la omisión de inclusión de ciertas unidades físicas reales. c. La incorrecta valuación de las unidades físicas en existencia con respecto a la realidad económica. d. La medición contable relacionada con los límites del valor recuperable. e. La posible confusión en bienes que, por sus características, podrían ser considerados bienes de cambio, pero también bienes de uso. En cuanto a las compras, los riesgos esenciales son: a. La práctica contable de considerar las compras perfeccionadas en la fecha de la emisión de la factura y no con la entrega de la mercadería. b. La consideración de los conceptos activables en el costo del bien y aquellos que no lo son, como así también los valores de contado. c. La significativa cantidad de operaciones que involucra el concepto compras, debido a que se relaciona con la actividad principal del ente.   5. Bienes de uso. Los riesgos más comunes del rubro son: a. La omisión de inclusión de algunos bienes de uso en los estados contables. b. La inclusión de bienes de uso por un valor que no considera el límite en el valor de utilización económica y el valor neto de realización. c. La problemática inherente a la determinación de las depreciaciones y de los valores de rezago. d. La posible confusión entre bienes de cambio y bienes de uso. e. La subjetividad con la que se determina el importe o el concepto por los que un bien es considerado bien de uso, o gasto.   6. Pasivos. En el caso de los pasivos, los riesgos más comunes son: a. Decisiones erróneas en cuanto a las condiciones pactadas por los pasivos adquiridos por el ente. b. Omisión de pasivos del ente auditado. c. Inclusión de ciertos pasivos por un valor superior o inferior al real de la obligación efectiva al momento de cierre de los estados contables. d. Subjetividad en la intención de cancelación anticipada de las deudas. e. Existencia de pasivos contingentes.   7. Patrimonio Neto. Este rubro presenta la particularidad de poseer escasos movimientos durante el ejercicio y los mismos resultan fácilmente identificables. Por esta razón, dentro del proceso de auditoría la mayoría de los procedimientos son aplicados con posterioridad al cierre, en la etapa final de la auditoría. Los riesgos principales están relacionados con la exposición, ya que el problema principal es determinar si los aportes realizados por los propietarios deben considerarse en el pasivo o en el patrimonio neto.   8. Resultados. En el caso de los resultados, los riesgos más comunes son: a. La omisión de ciertos resultados devengados durante el ejercicio bajo análisis, ya sea por omisión de la registración de operaciones o por errores en las mediciones de activos y pasivos. b. La inclusión de ciertos resultados por un valor distinto al efectivamente devengado. c. La inclusión de resultados por operaciones inexistentes.   Identificación de tipos de transacciones de negocio. El auditor efectuará una evaluación preliminar del riesgo de control por proceso (gastos/facturas, prefinanciación, etc.), evaluándolo como poco elevado, medio o elevado, a fin de identificar la naturaleza, el calendario y el alcance de los procedimientos de auditoría a aplicar. En la Comisión, las DG establecen sus propios análisis de riesgo contable por proceso y por afirmación de auditoría, lo que representa una contribución sustancial al trabajo del auditor que, sin embargo, actuará con escepticismo profesional al evaluar el análisis de riesgo de la entidad auditada.   Identificación, propósito y determinación de clases significativas de transacciones en procesos significativos. Si se pretende confiar en los controles para reducir la cantidad de procedimientos sustantivos, el objetivo de las pruebas será evaluar si los controles clave, o los controles de compensación correspondientes, funcionaron con eficacia y de manera continua durante el período examinado. El auditor obtendrá conocimiento del control interno, evaluará y responderá al riesgo de control determinando unos procedimientos de auditoría adecuados, y verificará los controles.   Alcance de las pruebas de los controles El auditor planteará unas pruebas de controles que le proporcionen evidencia suficiente, pertinente y fiable de su funcionamiento eficaz durante todo el período en que se hayan utilizado como base. Cuanto más se apoye el auditor en la eficacia operativa de los controles durante la evaluación de riesgos, mayor será el alcance de las pruebas de los controles. El auditor puede tener en cuenta los siguientes aspectos al determinar el alcance de las pruebas de los controles: • la frecuencia de la aplicación del control por la entidad durante el período; • el intervalo dentro del período de auditoría en que el auditor se esté basando en el control; • la pertinencia y fiabilidad de la evidenciad de auditoría de la eficacia del control; • el volumen de evidencia de auditoría obtenida a partir de pruebas de otros controles relativas a la afirmación; • el nivel de confianza que se prevé depositar en el control (reducción de procedimientos sustantivos); • la desviación esperada del control, cuyo incremento supone una mayor verificación de este: si se espera que la desviación sea demasiado elevada, las pruebas de los controles pueden no ser eficaces. Cuando el auditor decide incrementar el alcance del procedimiento de auditoría, las verificaciones de los controles automatizados no tienen que aumentar necesariamente debido a la coherencia inherente del sistema informático. Una vez que el auditor determina que un control automatizado funciona de la manera prevista, se planteará la realización de verificaciones para determinar si el control aun funciona con eficacia. Concebir pruebas de controles que proporcionen evidencia positiva. Al evaluar y verificar los controles, el auditor tendrá muy en cuenta las limitaciones inherentes a los controles internos, así como la rentabilidad de proceder a su verificación. La naturaleza negativa y poco convincente de la evidencia obtenida es un problema general que afecta a las pruebas de los controles. No obstante, pueden concebirse unas pruebas que ofrezcan evidencia positiva del funcionamiento correcto de un control, p. ej. listas de operaciones rechazadas a raíz de los controles clave, junto con el registro de la corrección y nuevo tratamiento de las operaciones en cuestión, o la conciliación periódica de los registros bancarios con los datos contables.   Planteamiento de procedimientos sustantivos - naturaleza, calendario y alcance. El auditor concebirá procedimientos sustantivos para poder responder a la evaluación de los riesgos conexos (p. ej. riesgo de incorrecciones materiales o de disconformidad). El grado de garantía que ha de obtenerse de los procedimientos sustantivos depende tanto de la evaluación del riesgo como del nivel de confianza en los controles internos. No obstante, con independencia del riesgo evaluado y del nivel de confianza en los controles internos, el auditor concebirá y aplicará procedimientos sustantivos para cada elemento significativo, puesto que la evaluación de riesgos se basa en un juicio y el auditor puede no haber identificado todos los riesgos y porque existen limitaciones inherentes a los controles internos, como se ha descrito en apartados anteriores. Cuando el auditor determina que un riesgo evaluado en el nivel de las afirmaciones es significativo, aplicará unos procedimientos sustantivos que respondan específicamente a dicho riesgo. Cuando el enfoque de auditoría adoptado para responder a un riesgo significativo consista sólo en procedimientos sustantivos, éstos incluirán pruebas de detalles.   i) Naturaleza de los procedimientos sustantivos Existen dos categorías de procedimientos sustantivos: procedimientos analíticos sustantivos y pruebas de detalles. Los primeros son en general más aplicables a grandes volúmenes de operaciones que tienden a ser predecibles en el tiempo. Las pruebas de detalles suelen ser más indicadas para obtener evidencia relativa a determinadas afirmaciones, como las referentes a la existencia, a la admisibilidad y a la valoración. Según el tipo de evidencia que se desee obtener, el auditor puede decidir aplicar una combinación de ambos procedimientos.   ii) Calendario de los procedimientos sustantivos Los procedimientos sustantivos pueden aplicarse bien en una fecha intermedia o bien al final del período. Cuando se apliquen en una fecha intermedia, el auditor utilizará procedimientos sustantivos adecuados, combinados con pruebas de controles, salvo que lo considere innecesario, a fin de abarcar el período restante y reducir el riesgo de que no se detecten desviaciones al final del período. En caso de detectarse desviaciones en una fecha intermedia, el auditor modificará la evaluación del riesgo y por consiguiente, la naturaleza, el calendario y el alcance de los procedimientos sustantivos aplicables al período restante.   iii) Alcance de los procedimientos sustantivos El alcance de los procedimientos sustantivos está en relación con la elección de la naturaleza y el tamaño de la muestra a fin de afrontar todos los riesgos significativos en todas las correspondientes afirmaciones de auditoría. El alcance de las pruebas sustantivas se determina al establecer el enfoque de auditoría. Dependiendo del nivel de materialidad y de la evaluación combinada de riesgo inherente y de control, el alcance de los procedimientos sustantivos será mínimo, normal o específico (basado sólo en líneas generales en pruebas sustantivas). Cuando el auditor haya decidido no basarse en los controles internos, al aplicar procedimientos sustantivos no puede presumir que los controles relativos al elemento en cuestión estén funcionando con eficacia o que los datos sean fiables. Unos controles internos poco fiables o no verificados exigirán que el auditor compruebe la fiabilidad de los datos procesados y ajuste en consecuencia el alcance de las pruebas sustantivas.   Definición de la información producida por la organización. Las NIAs consideran que el auditor debe obtener una comprensión de los sistemas de contabilidad y de control interno suficiente para planear la auditoría y desarrollar un enfoque de auditoría efectivo, utilizando, además, su juicio profesional para evaluar el riesgo de auditoría y diseñar los procedimientos para asegurar razonablemente que el riesgo se reduce a un nivel aceptablemente bajo. Se definen “riesgo de auditoría”, “riesgo inherente”, “riesgo de control”, “riesgo de detección”, “sistema de contabilidad”, “sistema de control interno”, “ambiente de control”, “procedimientos de control”. Menciona la relación entre las evaluaciones de los riesgos inherentes y de control; el riesgo de auditoría en pequeñas empresas, aclarando que muchos controles internos que serían importantes para entidades grandes no son prácticos en las pequeñas. Por ejemplo, en pequeños negocios, los procedimientos de contabilidad pueden ser desarrollados por unas cuantas personas que pueden tener responsabilidades tanto de operación como de custodia, y por lo tanto faltaría la segregación de deberes o estaría severamente limitada. La inadecuada segregación de funciones puede, en algunos casos, ser mitigada por un fuerte sistema de control de la administración en el que existen controles de supervisión del dueño/gerente a causa del conocimiento personal directo de la entidad e involucramiento en las transacciones. En circunstancias donde la segregación de deberes es limitada y falta la evidencia de auditoría de los controles de supervisión, la evidencia de auditoría necesaria para respaldar la opinión del auditor sobre los estados financieros puede tener que obtenerse completamente a través de la ejecución de procedimientos sustantivos. En lo que hace a la comunicación de debilidades, el auditor debería informar a la administración, en forma oportuna y a un adecuado nivel de responsabilidad, y normalmente por escrito, sobre las debilidades significativas en el diseño u operación de los sistemas de contabilidad y de control interno, que hayan llamado su atención. Finalmente, en un apéndice se ilustra sobre la interrelación de los componentes del riesgo de auditoría - variación del nivel aceptable de riesgo de detección, basado en las evaluaciones de los riesgos combinados: inherente y de control -. La RT 7: norma “…Evaluar la significación de los que se debe examinar, teniendo en cuenta…el riesgo involucrado” (Punto III. A. 2.3.) y la “…Evaluación de las actividades de control de los sistemas que son pertinentes a su revisión, siempre que, con relación a su tarea, el auditor decida depositar confianza en tales actividades…Emitir, en su caso, un informe con las observaciones recogidas durante el desarrollo de la tarea y las sugerencias para el mejoramiento de las actividades de control de los sistemas examinados” (Puntos III. A. 2.5.1y 2.5.1.5.)   Identificación de categorías de controles. El auditor efectuará pruebas de los controles para confirmar la evaluación preliminar de los controles clave en los que pretende basar su trabajo. El objetivo de estas pruebas es evaluar si los controles clave funcionaron de manera continua y eficaz durante el período examinado. Si las pruebas de los controles confirman que estos han funcionado de manera continua y eficaz a lo largo del período examinado, podrá depositarse confianza en dichos controles y limitar al mínimo las pruebas sustantivas. Si se comprueba que estos controles no han funcionado de manera continua y eficaz a lo largo del período examinado, el auditor reconsiderará el enfoque de auditoría e incrementará el grado de pruebas sustantivas que se hayan de realizar. Las técnicas generalmente empleadas para verificar los controles clave son la observación e indagación, la inspección y el cálculo, o una combinación de las tres.   Definición del porqué, cómo y cuándo desarrollar la evaluación de la efectividad en la operación de los controles. El control de calidad consiste en el conjunto de medidas adoptadas y los procedimientos aplicados en el proceso de auditoría con el fin de garantizar la calidad del trabajo de auditoría y del consiguiente informe.

Procedimientos analíticos.   NIA 520 PROCEDIMIENTOS ANALíTICOS. ALCANCE. Trata del uso del auditor de procedimientos analíticos como procedimientos sustantivos (procedimientos analíticos sustantivos).  También trata de la responsabilidad del auditor de efectuar procedimientos analíticos cerca del final de la auditoría para ayudar al auditor cuando forma una conclusión general sobre los estados financieros.   La NIA 315 trata del uso de procedimientos analíticos como procedimientos de evaluación del riesgo y la 330 incluye requisitos y lineamientos respecto de la naturaleza, oportunidad y alcance de los procedimientos de auditoría en respuesta a los riesgos evaluados; estos procedimientos pueden incluir procedimientos analíticos sustantivos.   OBJETIVOS. a) Obtener evidencia de auditoría relevante y confiable cuando use procedimientos analíticos sustantivos; y b) Diseñar y efectuar procedimientos analíticos cerca del final de la auditoría que ayuden al auditor cuando forme una conclusión general en cuanto a si los estados financieros son congruentes con el entendimiento de la entidad por el auditor.   DEFINICION. Para fines de las NIA, el término "procedimientos analíticos" significa evaluaciones de información financiera mediante análisis de relaciones factibles entre datos, tanto financieros como no financieros. Los procedimientos analíticos también abarcan la investigación que sea necesaria de fluctuaciones o relaciones identificadas que sean inconsistentes con otra información relevante o que difieran por un monto importante de los valores esperados.   REQUERIMIENTOS. Procedimientos analíticos sustantivos. Al diseñar y efectuar procedimientos analíticos sustantivos, ya sea solos o en combinación con pruebas de detalle, como procedimientos sustantivos de acuerdo con la NIA 330, el auditor deberá: a) Determinar lo adecuado de los procedimientos analíticos       sustantivos particulares para las aseveraciones, tomando en cuenta los riesgos significativos evaluados y las pruebas de detalle, si las hay, para estas aseveraciones; b) Evaluar la confiabilidad de los datos con los que desarrolla el auditor la expectativa de los montos registrados o coeficientes determinados, tomando en cuenta la fuente, comparabilidad y naturaleza, y relevancia de la información disponible, y los controles sobre la preparación; c) Desarrollar una expectativa de los montos registrados o coeficientes determinados y evaluar si la expectativa es suficientemente precisa para identificar un error significativo que, individualmente o junto con otros errores, pueda hacer que los estados financieros no estén presentados adecuadamente; y d) Determinar el monto de cualquier diferencia entre los montos registrados y los esperados, que sea aceptable sin mayor investigación, según requiere esta norma. Procedimientos analíticos que facilitan una conclusión global. El auditor diseñará y aplicará, en una fecha cercana a la finalización de la auditoría, procedimientos analíticos que le faciliten alcanzar una conclusión global sobre si los estados financieros son congruentes con su conocimiento de la entidad. Investigación de resultados de los procedimientos analíticos. Si los procedimientos analíticos efectuados de acuerdo con esta NIA identifican fluctuaciones o relaciones que son inconsistentes con otra información relevante o que difieran por un monto importante de los valores esperados, el auditor deberá investigar estas diferencias por medio de: a) Indagar ante la dirección y obtener evidencia de auditoría apropiada relevante a las respuestas de ésta; y b) Efectuar otros procedimientos de auditoría según sea necesario en las circunstancias.   Muestreo de auditoría. Norma Internacional de Auditoría 530 (NIA 530). Muestreo de Auditoría. La NIA 530 trata el uso del muestreo de auditoría estadístico y no estadístico cuando el auditor diseña y selecciona la muestra de auditoría, desarrollando pruebas de control y pruebas de detalle, y evaluando los resultados de la muestra. Complementa la NIA 500, que trata de la responsabilidad del auditor para diseñar y desarrollar procedimientos de auditoría para obtener suficiente evidencia apropiada de auditoría para poder extraer conclusiones razonables sobre las cuales basar la opinión del auditor. La NIA 500 proporciona lineamientos sobre los medios disponibles al auditor para seleccionar las partidas para pruebas, de los cuales el muestreo de auditoría es un medio. (Pto. 1 – NIA 530). A los fines de la norma, la misma define los siguientes conceptos: (Pto. 5 – NIA 530) a) Muestreo de auditoría (muestreo). La aplicación de procedimientos de auditoría a menos de 100% de partidas dentro de una población de relevancia de auditoría, de tal modo que todas las unidades del muestreo tengan una oportunidad de selección para dar al auditor una base razonable de la cual extraer conclusiones sobre la población entera. b) Población. El conjunto completo de datos de los que se selecciona una muestra y sobre los que el auditor desea extraer conclusiones. c) Riesgo de muestreo. El riesgo de que la conclusión del auditor que se basa en una muestra pueda ser diferente de la conclusión si la población entera se sujetara al mismo procedimiento de auditoría. De esta manera, el auditor deberá evaluar: a) Los resultados de la muestra; y  b) Si el uso del muestreo de auditoría ha dado una base razonable para conclusiones sobre la población que se ha sometido a prueba. (Pto. 15 – NIA 530) Respecto al diseño de la muestra, el muestreo de auditoría puede aplicarse usando enfoques de muestreo no estadístico o estadístico. (Ac. A4 – NIA 530) En el muestreo estadístico, la partidas de la muestra se seleccionan de modo que cada unidad de muestreo tenga una probabilidad conocida de ser seleccionada. Con el muestreo no estadístico, se usa el juicio para seleccionar las partidas de la muestra. En todos los casos es importante que el auditor seleccione una muestra representativa. Si el auditor concluye que el muestreo no ha proporcionado una base razonable para conclusiones sobre la población que se ha puesto a prueba, el auditor puede: • Solicitar a la administración que investigue los errores que se han identificado y el potencial de otros errores y que haga los ajustes necesarios; o • Ajuste a medida la naturaleza, oportunidad y extensión de los procedimientos adicionales para mejor lograr la seguridad requerida. Por ejemplo, en el caso de pruebas de controles, el auditor podría extender el tamaño de la muestra, poner a prueba un control compensatorio o modificar los procedimientos sustantivos relacionados. (Ac A23 – NIA 530)   Auditoría de estimaciones. NIA 540, Auditoría de estimaciones contables. La norma internacional de auditoria 540 presenta la responsabilidad del auditor con relación a las estimaciones contables, aquellas partidas de los estados financieros que no pueden medirse en forma precisa sino solo estimarse; incluidas las estimaciones contables del valor razonable y las revelaciones relacionadas a la auditoria de estados financieros. De la misma manera, la norma 540 presenta los requisitos y lineamientos sobre representaciones erróneas de estimaciones contables individuales e indicadores de posible sesgo de la administración. El grado de falta de certeza de las estimaciones es afectado por la naturaleza y confiabilidad de la información disponible a la administración para soportar una estimación contable, lo que puede implicar riesgos de representación errónea y la susceptibilidad a sesgo de la administración, sea intencional o no. La medición de las estimaciones contables varía de acuerdo al marco de referencia de información financiera aplicable y la partida. Estas estimaciones contables que implican una falta de certeza pueden ser las estimaciones contables que: Surgen en entidades que participan en actividades de negocios que no son complejas. Se actualizan constantemente porque se relacionan con transacciones de rutina. Derivadas de datos fácilmente disponibles Relativas al resultado de litigios. Estimaciones para las que se usa un modelo de medición especializado. Objetivo. El auditor debe obtener suficiente y apropiada evidencia de auditoria sobre si las estimaciones contables son razonables en los estados financieros, y si las revelaciones relacionadas son adecuadas, de acuerdo al marco de referencia de información financiera aplicable. Requisitos. Procedimientos de evaluación del riesgo y actividades relacionadas: El auditor deberá obtener un entendimiento de, en primera medida, los requisitos establecidos por el marco de referencia de información financiera aplicable relevantes a las estimaciones contables y revelaciones relacionadas para entender su aplicación en los estados financieros en relación a las estimaciones contables; segundo, identificación de la administración de transacciones, hechos y condiciones que dan origen al reconocimiento o revelación de estimaciones contables en los estados financieros; y finalmente de cómo la administración hace las estimaciones contables y la información en la que se basa. A partir de este entendimiento, el auditor puede proporcionar una base para la identificación y evaluación de los riesgos de representación errónea de importancia relativa para las estimaciones contables. Asimismo, el auditor puede revisar las estimaciones contables del ejercicio anterior, evaluando si la información obtenida es relevante para la identificación y evaluación de los riesgos de representación errónea en las estimaciones contables del ejercicio actual, así como indicios de posibles sesgos de la administración. Identificación y evaluación de los riesgos de representación errónea de importancia relativa: Cuando el auditor identifica y evalúa los riesgos de representación errónea de importancia relativa, debe evaluar el grado de falta de certeza de la estimación asociada a una estimación contable, determinando si se da origen a riesgos importantes. Respuestas a los riesgos evaluados de representación errónea de importancia relativa: De acuerdo a los riesgos evaluados de representación errónea de importancia relativa, el auditor debe determinar si la administración ha aplicado apropiadamente los requisitos establecidos por el marco de referencia de información financiera aplicable relevantes a las estimaciones contables, así como si los métodos que aplica la administración para establecer las estimaciones contables son apropiados y se han aplicado consistentemente. También, al responder a los riesgos evaluados, el auditor debe determinar si los hechos proporcionan evidencia de auditoria en relación a las estimaciones contables, probar como hizo la administración la estimación contable y la información en la que se basó, y la efectividad de los controles sobre las estimaciones contables de la administración. Para esto, el auditor debe desarrollar una estimación por puntos o a escala para evaluar la estimación por puntos de la administración, obteniendo un entendimiento de los supuestos o métodos usados por la administración para establecer las estimaciones contables. En este proceso el auditor debe determinar si se requieren habilidades o conocimientos especiales en relación a algún aspecto de las estimaciones contables. Procedimientos sustantivos adicionales para responder a los riesgos importantes: Cuando el auditor ha determinado que hay estimaciones contables que dan origen a riesgos importantes, el auditor debe desempeñar los procedimientos de auditoria de acuerdo a la norma internacional de auditoria 330, y evaluar la respuesta de la administración en cuanto a los supuestos y resultados, la falta de certeza de la estimación y aplicación del marco de referencia de información financiera aplicable. Igualmente, el auditor debe obtener la suficiente y apropiada evidencia de auditoria, sobre la decisión de la administración de reconocer o no las estimaciones contables, y si las bases de medición para las estimaciones contables están de acuerdo al marco de referencia. Evaluación de lo razonable en las estimaciones contables, y determinación de las representaciones erróneas: El auditor con base en la evidencia que ha obtenido, debe evaluar si las estimaciones contables son razonables en relación al marco de referencia de información financiera aplicable y si están representadas de manera errónea. Revelaciones relacionadas con las estimaciones contables: El auditor debe obtener suficiente y apropiada evidencia de auditoria sobre si las revelaciones relacionadas a las estimaciones contables están de acuerdo con el marco de referencia de información financiera aplicable. De la misma manera si las estimaciones generan riesgos importantes, el auditor debe evaluar lo adecuado de la revelación de la falta de certeza, Indicadores de posible sesgo de la administración: El auditor debe evaluar los juicios y decisiones en las que se basa la administración para hacer las estimaciones contables, e identificar cualquier indicio de posible sesgo de la administración, teniendo en cuenta que esos indicadores de posible sesgo no constituyen por si mismo representaciones erróneas. Representaciones escritas: El auditor debe obtener representaciones escritas de la administración o de los encargados del gobierno corporativo sobre si creen razonables los supuestos para hacer las estimaciones contables. Documentación: El auditor debe incluir en la documentación de la auditoria la base para las conclusiones del auditor sobre lo razonable de las estimaciones contables y revelaciones relacionadas; y los indicadores del posible sesgo de la administración.   Escepticismo profesional. El Contador Público planea y desempeña un compromiso de seguridad con una actitud de escepticismo profesional para obtener evidencia suficiente apropiada sobre si la información del asunto principal está libre de declaraciones erróneas significativas. Una actitud de escepticismo profesional significa que el Contador Público hace una evaluación crítica, con una actitud mental de cuestionamiento, de la validez de la evidencia obtenida y está alerta a evidencia que contradiga o ponga en duda la confiabilidad de los documentos o manifestaciones de la parte responsable. Por ejemplo, es necesaria una actitud de escepticismo profesional en todo el proceso del compromiso para que el Contador Público reduzca el riesgo de pasar por alto circunstancias sospechosas, y de usar suposiciones erróneas al determinar la naturaleza, oportunidad así como alcance de los procedimientos de obtención de evidencia y la evaluación de los resultados de ellos. 41. Un compromiso de seguridad rara vez implica la autenticación de documentación, y el Contador Público no está entrenado ni se espera que sea un experto en dicha autenticación. Sin embargo, el Contador Público considera la confiabilidad de la información que se va a usar como evidencia; por ejemplo, fotocopias, facsímiles, documentos filmados, digitalizados, u otros documentos electrónicos, incluida la consideración de los controles sobre la preparación y mantenimiento cuando sea relevante.   Aplicación de nuevas herramientas y tecnologías. La tecnología está cambiando la forma de hacer las auditorías. Las máquinas nos ayudan a hacer auditorías más rápidamente, de manera más completa y con un menor riesgo de error. Entre las principales herramientas que ya se están utilizando, se destacan las siguientes. Audit Analytics. Audit Analytics es un conjunto de herramientas que ayuda con el análisis de patrones, la identificación de anomalías, dejando al descubierto las relaciones y la extracción de información útil a partir de grandes Notas rápidas página 2relaciones y la extracción de información útil a partir de grandes conjuntos de datos. Audit Analytics permite a los auditores desarrollar expectativas independientes y analizar, modelar y visualizar los datos a los efectos de la planificación, ejecución y efectiva comunicación de la auditoría. A medida que aumentan de los datos transaccionales y el volumen de información de las organizaciones, los enfoques convencionales de auditoría no pueden mantenerse al día con la afluencia de tanta información. Cada vez más, las transacciones financieras y operativas se están moviendo en línea, expandiendo el conjunto de variables para analizar, valores atípicos para identificar, tendencias y patrones para darles sentido. Las capacidades avanzadas de Analytics aportan un mayor valor a los procesos de auditoría externa al respaldar el análisis de grandes conjuntos de datos y revelar conocimientos más detallados. Al permitir el análisis de conjuntos enteros de transacciones financieras, Analytics ayuda en la interpretación y gestión de un volumen creciente de información de auditoría, ayudando a los conjuntos de datos masivos a entregar subconjuntos más pequeños de datos de alto valor para que el auditor los evalúe, mejorando tanto la calidad de la auditoría como el valor de los conocimientos empresariales que un auditor puede brindar. La Inteligencia Artificial es simplemente la tarea de hacer que las computadoras y las máquinas realicen trabajos que requieren inteligencia cuando son hechas por humanos. La mayoría de las inteligencias artificiales actuales son angostas, ya que se crean para entregar una tarea específica dentro de ciertos parámetros programados. Esto significa que la inteligencia artificial depende de que los humanos proporcionen instrucciones y algoritmos iniciales. La computación cognitiva usa inteligencia artificial y algoritmos de aprendizaje automático para ir más allá de las capacidades analíticas y para aprender y tomar decisiones autónomas. Se considera que la Inteligencia Artificial es un avance fundamental para impulsar la eficiencia y la calidad de la producción en cualquier industria o tipo de negocio. El concepto de Inteligencia Artificial no es nuevo y se está explorando y desarrollando activamente en una amplia gama de áreas, desde el sector sanitario hasta la industria automotriz, desde la publicidad en línea hasta las agencias de crédito. Como era de esperar, la profesión de auditoría también está explorando las oportunidades y el potencial para aprovechar la Inteligencia Artificial dentro de un enfoque de auditoría. Notas rápidas página 5Las tecnologías emergentes como la Inteligencia Artificial presentan a la profesión de auditoría muchas oportunidades para mejorar la forma en que trabajamos, proporcionar mejores servicios a nuestros clientes, efectuados de una manera más eficiente y brindar una mejor comprensión del proceso de auditoría. Como ejemplo podemos tomar el caso del procesamiento del lenguaje natural: al usar técnicas avanzadas de aprendizaje automático, por ejemplo, con la lectura de grandes volúmenes de contratos, los auditores ahora pueden procesar, resaltar y extraer rápidamente la información clave de los documentos de una manera mucho más eficiente. Estas capacidades cognitivas le permiten al auditor evaluar un conjunto de población mucho más amplio y enfocar el esfuerzo en elementos clave de interés y  percepción, mientras que el área de extracción repetitiva o de bajo criterio es automática y la efectúa a través de una herramienta tecnológica. Blockchain. En los últimos cinco años, Blockchain ha evolucionado desde una criptomoneda o sistema de pago a un amplio sistema de oportunidades de automatización digital. El Blockchain proporciona un registro inmutable de una transacción establecida en el código. Algunos analistas han sugerido la posibilidad futura de la contabilidad de triple entrada en la que cada transacción contable registrada por una entidad también tiene una contabilización correspondiente en una cadena de bloques pública. Todas las transacciones que se registran en un libro público están disponibles para los usuarios en la red, haciendo que el sistema sea transparente por diseño.  Un ejemplo de ello es la forma en que Blockchain se puede utilizar para registrar contratos inteligentes entre entidades. Dichos contratos podrían alterar drásticamente la forma en que las personas hacen negocios. Es fácil pensar en las ventajas de que los usuarios puedan interactuar con contratos inteligentes para invocar la ejecución automática de reglas definidas y como una forma de mantener y transferir de manera segura el título legal del activo. Los detalles de cómo contabilizar el contrato también podrían incluirse dentro del contrato inteligente. Esto reforzaría la congruencia entre el reconocimiento de los costos en una entidad y el reconocimiento de los ingresos en la otra. ¿Y cuál es la visión a largo plazo? Con todas las transacciones verificadas por una fuente independiente (o la otra parte del contrato inteligente) y un historial completo de todas las transacciones en el Blockchain, el enfoque puede pasar de la auditoría de transacciones que la empresa realizó en un año a la auditoría de los términos del contrato inteligente en sí. En lugar de esperar hasta el final del año para ver el impacto de las transacciones de una entidad en sus estados financieros, la auditoría podría ocurrir cuando se creen contratos inteligentes, antes de que las transacciones se realicen. Declaraciones erróneas, ya sea por fraude o error, pueden detenerse antes de que ocurran. La auditoría se convierte en tiempo real, no en un evento anual que se remonta al año pasado, por lo que brinda una nueva perspectiva a la transparencia y a la información corporativa. La mayoría de los esfuerzos realizados hasta el momento siguen siendo altamente experimentales, y las aplicaciones prácticas y las soluciones comerciales a gran escala aún no han emergido. Y, por supuesto, otro elemento que afecta negativamente es la inestabilidad del Bitcoin. Blockchain sigue siendo una tecnología en etapa relativamente temprana. Sin embargo, a pesar de los obvios desafíos actuales y su impredecible futuro, su potencial disruptivo sigue siendo significativo.

Informes de cumplimiento. Caracterización. Implica la emisión de informes especiales incluidos en el Capítulo VII. C de la RT 37 para responder a disposiciones de reguladores, organismos de control u otros entes con facultades de fiscalización que solicitan a las entidades bajo su control la presentación de un informe profesional suscripto por contador público con opinión sobre el cumplimiento por parte de ellas de requerimientos normativos para la realización de diversos trámites (en adelante “informes de cumplimiento”), sin que ello implique modificar las tareas que usualmente viene aplicando el profesional en estos casos. Que un encargo que implique la emisión de un informe de cumplimiento de normas emanadas de reguladores, organismos de control u otros entes con facultades de fiscalización presenta características singulares ya que, a diferencia de los informes especiales, se da un aseguramiento dentro de un marco de cumplimiento de los requerimientos normativos, ya sea establecidos por el regulador o por una disposición legal. El informe se realiza mediante la aplicación de ciertos procedimientos suficientes para los propósitos del regulador en relación con el cumplimiento por parte de la Empresa con sus requerimientos.   Informes de auditoría de información financiera. La aseveración que realice un profesional en su informe de auditoría indicando que “… Los estados auditados concuerdan con los registros contables del ente, los que han sido llevados de acuerdo con las disposiciones legales…..” implica, en principio y en base a una interpretación literal de la expresión, que se ha verificado que las registraciones contables del ente cumplen con todos los requisitos sustanciales y formales enunciados por el Código de Comercio, si se trata de un ente comercial, o por las leyes correspondientes y/o resoluciones de su organismo de control (que en general remiten al texto del Código de Comercio, sea a través de una remisión genérica o sea remitiendo al contenido de artículos del mismo), cuando se trate de entes no comerciales. También es posible que Organismos de Control establezcan requisitos adicionales a los expresamente previstos en el Código. Ahora bien, genéricamente, la Auditoría de Estados Contables es el examen de éstos con el propósito de dictaminar si fueron preparados de acuerdo con ciertas normas contables. En la generalidad de los casos, la auditoría de estados contables mejora la credibilidad de los estados examinados, pero es virtualmente imposible que proporcione una seguridad total sobre la forma en que ellos fueron preparados, porque: a) muchas medidas contables dependen de estimaciones, como las efectuadas sobre la vida útil de una maquinaria o sobre el desenlace de una contingencia; b)por razones de costo, las auditorías se basan en evaluaciones generales sobre el funcionamiento de los sistemas del ente y en la realización de muestreos (y no de exámenes totales) de la documentación que respalda los estados contables. Con su labor de auditoría, el auditor provee un nivel de seguridad alto pero no absoluto, de que la información sujeta a auditoría está libre de incorrecciones significativas. La auditoría se plantea como fin opinar acerca de si los estados contables en conjunto presentan razonablemente la información que ellos deben brindar de acuerdo con las normas contables profesionales –RT N° 7‐ o, conforme la RT N° 37, las normas de referencia que permitan una opinión sobre razonabilidad de las cifras, entre las que se encuentran las Normas Contables Profesionales. (Aclaración: con la RT N° 37 aparece también la posibilidad de utilizar marcos de cumplimiento, siendo en ese caso el fin de la labor profesional concluir si los estados contables están o no preparados de acuerdo a un determinado marco utilizado en su confección – El marco de cumplimiento implica que no se puede opinar sobre la razonabilidad de la información). Sin duda, la opinión del auditor sobre los estados contables es un elemento muy valioso a la hora de analizar si los estados contables presentan un cuadro verídico de sus negocios y si las cifras resultan de la correspondiente documentación respaldatoria; pero por las limitaciones propias de la labor y de las normas contables que utiliza como sensor, se entiende que no resulta adecuado que el profesional en su informe incluya aseveraciones que puedan conducir a un lector a interpretar que las registraciones contables cumplen con los requisitos sustanciales. Distinto es el caso de los requisitos formales, pues, por un lado, éstos configuran aspectos de evaluación más objetiva y, por el otro, ciertamente, son procedimientos de auditoría expresamente previstos en las normas de auditoría el “Cotejo de los estados contables con los registros de contabilidad” y la “Revisión de la correlación entre registros y entre éstos y la correspondiente documentación respaldatoria”. En ese entendimiento es que, en los casos en que el auditor debe informar acerca de cómo son llevados los libros contables por el ente cuyos estados contables son objeto de la labor profesional, resulta recomendable indicar que las registraciones contables cumplen, “en sus aspectos formales”, con las disposiciones legales aplicables.   Informes de aseguramiento. La RT37 introduce uno de los cambios más importantes está relacionado con el “Marco de Información” utilizado en la preparación de los estados contables. Los estados contables con fines generales se deberían preparar bajo un marco de información que permita opinar sobre la presentación razonable de dichos estados contables. El marco de información se presume aceptable para opinar sobre presentación razonable, Marco Razonable, cuando sus normas provienen:   (a) de un emisor autorizado o reconocido para la emisión de normas contables profesionales, que siga un debido proceso establecido y transparente que implique deliberación y consideración de las opiniones de una amplia gama de partes interesadas (ejemplo: Normas Contables Profesionales Argentinas, NIIF, US GAAP), o   (b) de disposiciones legales o reglamentarias, en la medida que no estén presentes indicadores que puedan rebatir tal presunción, como ser, la existencia de diferencias significativas con el marco que utilizaría el contador para concluir sobre presentación razonable de conformidad con las NCPA, en cuyo caso, el contador evaluará las razones para esas diferencias, y si la aplicación de las convenciones contables del marco legal o regulatorio, o la descripción de ese marco en los estados contables, puede dar lugar a información que induzca a error. Si el marco de información no se considera aceptable para concluir sobre presentación razonable, estaríamos frente a un Marco de Cumplimiento. En este caso, salvo que las disposiciones legales o reglamentarias lo requirieran, la opinión del contador no empleará la frase "presentación razonable en todos los aspectos significativos" sino que se referirá a la “preparación de la información contable de acuerdo con las disposiciones legales o reglamentarias aplicables”.   Tipos de informes de la RT 7 • Auditoria de estados contables – Informes breve o resumido – Informe extenso • Revisión limitada de EE/CC de períodos intermedios • Informe sobre controles de sistemas examinados • Certificaciones • Otros informes especiales   Elementos del Informe breve • Título • Destinatario, domicilio y CUIT • Identificación de los EECC objeto de la auditoria • Alcance del trabajo de auditoria • Aclaraciones especiales previas al dictamen • Dictamen u opinión sobre los EECC en su conjunto o indicación por la cual no se emite opinión • Información especial requerida por leyes, disposiciones gubernamentales u organismos públicos de control de la Profesión • Lugar y fecha de emisión • Firma del auditor   Tipos de opinión • Sin salvedades o favorable o “limpia” • Con salvedades – Determinadas – Indeterminadas • Opinión adversa – Opcionalmente con opinión parcial • Abstención de opinión – Opcionalmente con opinión parcial   Opinión sin salvedades • Implica que: – Las conclusiones se formaron en base a una auditoría realizada de acuerdo con normas de auditoria vigentes en la República Argentina (RT 7) – La forma y contenido de los estados contables están de acuerdo con normas contables profesionales   Informes de auditoría interna. Una auditoría conlleva la aplicación de procedimientos para obtener elementos de juicio sobre las cifras y la información presentadas en los estados contables. Los procedimientos seleccionados dependen del juicio del auditor, incluida la valoración de los riesgos de incorrecciones significativas en los estados contables. Al efectuar dichas valoraciones del riesgo, el auditor tiene en cuenta el control interno pertinente para la preparación y presentación razonable por parte de la entidad de los estados contables, con el fin de diseñar los procedimientos de auditoría que sean adecuados en función de las circunstancias y no con la finalidad de expresar una opinión sobre la eficacia del control interno de la entidad. Una auditoría también incluye la evaluación de la adecuación de las políticas contables aplicadas y de la razonabilidad de las estimaciones contables realizadas por la dirección4 de la entidad, así como la evaluación de la presentación de los estados contables en su conjunto. Características. Revisión de las operaciones para verificar la autenticidad, exactitud y concordancia con las políticas y procedimientos establecidos por la organización. Control de los activos a través de los registros contables y comprobaciones físicas. Revisión de las políticas y procedimientos para evaluar su efectividad. Revisión de si los procedimientos contables fueron aplicados en forma consistente con las normas contables. Auditoría de otras organizaciones con las que existen relaciones contractuales a cumplir u otras vinculaciones económicas. La auditoría interna es una actividad apreciativa, independiente de los sectores objetos de revisión. Por lo tanto, debería reportar a los máximos niveles de la organización y depender de ellos. Tiene por objeto la revisión de las operaciones para servir de base a la administración. Por este motivo, es un control que se describe como independiente pues mide y evalúa la eficacia de otros controles.

Importancia del control para la gestión gubernamental. El control interno es un proceso llevado a cabo por las autoridades superiores y el resto del personal de la entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos organizacionales -tanto en relación con la gestión operativa, con la generación de información y con el cumplimiento de la normativa-. De este modo, el control interno apunta al logro de los objetivos, considerando que los mismos presentan tres aspectos desde los cuales deben ser abordados: a) la gestión operativa (es decir, los propósitos operativos que se determinan para la gestión, como por ejemplo completar una obra o atender determinada cantidad de trámites); b) la generación de información (información contable, presupuestaria reportes internos y externos a generar de manera confiable y oportuna); y c) el cumplimiento de las normas y regulaciones aplicables. Todos los miembros de una organización tienen incumbencia en el control interno. Autoridades Superiores: responsables de la implantación y mantenimiento de un eficiente y eficaz sistema de control interno (Ley N° 24.156, artículos 4° y 101°), que permita proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos organizacionales -tanto en relación con la gestión operativa, con la generación de información y con el cumplimiento de la normativa-. Comité de Control para Jurisdicciones y Organismos Descentralizados: responsable de constituir un ámbito común para el conocimiento y análisis conjunto de las cuestiones relativas al funcionamiento del sistema de control interno del ente, como una manera ágil de encauzar su solución. (Resolución N° 36/2011 SGN - Anexo II Normas Particulares de Comités de Control. Responsabilidad Primaria y Acciones). Comité de Auditoría para Empresas y Sociedades del Estado: responsable de: Supervisar el funcionamiento de los sistemas de control interno y del sistema administrativo contable, así como la fiabilidad de este último y de toda la información financiera o de otros hechos significativos que sean elaborados por la entidad; Supervisar la aplicación de las políticas en materia de información sobre la gestión de riesgos de la sociedad; Verificar el cumplimiento de las normas de conducta que resulten aplicables, muy particularmente los deberes de lealtad y diligencia (Resolución N° 37/2006 SGN - “Normas Mínimas de Control Interno para el Buen Gobierno Corporativo en Empresas y Sociedades del Estado”). Auditor Interno: responsable de examinar en forma independiente, objetiva, sistemática e integral el funcionamiento del sistema de control interno establecido en las organizaciones públicas, sus operaciones y el desempeño en el cumplimiento de sus responsabilidades financieras, legales y de gestión informando acerca de su eficacia y eficiencia (Resolución N° 207/2012 SGN. Art. 2° “Responsabilidades Primarias y Acciones Mínimas de las Unidades de Auditoría Interna”).   Organismos de control. Nuestro actual sistema de control del sector público nacional, diseñado por la Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional, Ley 24.156 (B.O. 29/10/1992), ha creado como órgano de control interno del Poder Ejecutivo Nacional a la Sindicatura General de la Nación, SIGEN (artículos 96 y 100) –órgano normativo, de supervisión y coordinación ‐ y a las Unidades de Auditoría Interna (UAI), las cuales dependen jerárquicamente de la autoridad superior de cada organismo, y actúan coordinadas técnicamente por la Sindicatura General de la Nación, en su carácter de órgano rector del control interno. El actual Sistema de Control del Sector Público Nacional, originado con anterioridad a la reforma constitucional de 1994, tuvo como antecedente inmediato el sistema de control de la hacienda pública que ejercían el Tribunal de Cuentas de la Nación y la Sindicatura General de Empresas Públicas, ambos derogados por la Ley 24.1561. La Ley 24.156 comprende la administración financiera, como el conjunto de sistemas, órganos, normas y procedimientos administrativos que hacen posible la obtención de los recursos públicos y su aplicación para el cumplimiento de los objetivos del Estado, y por el otro, los sistemas de control, constituido por las estructuras de control interno y externo del sector público nacional, que tiene: 1. El Decreto 2660/92 (B.O. 31/12/1992) –reglamentario de la Ley 24.156– instrumentó la disolución y liquidación de la Sindicatura General de Empresas Públicas y del Tribunal de Cuentas de la Nación a partir del 1 de enero de 1993. 2. Sistema presupuestario, de crédito público, de tesorería y de contabilidad gubernamental. El artículo 8 de la Ley 24.156 describe la composición del sector público nacional sujeto a auditoría por los organismos de control interno y externo del sector público, el cual se encuentra integrado por: a) Administración Nacional, conformada por la Administración Central y los Organismos Descentralizados, comprendiendo en estos últimos a las instituciones de Seguridad Social. b) Empresas y Sociedades del Estado que abarcan a las Empresas del Estado, las Sociedades del Estado, las Sociedades Anónimas con Participación Estatal Mayoritaria, las Sociedades de Economía Mixta y todas aquellas otras organizaciones empresariales donde el Estado Nacional tenga participación mayoritaria en el capital o en la formación de las decisiones societarias. c) Entes Públicos excluidos expresamente de la Administración Nacional, que abarcan a cualquier organización estatal no empresarial, con autarquía financiera, personalidad jurídica y patrimonio propio, donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de las decisiones, incluyendo aquellas entidades públicas no estatales donde el Estado Nacional tenga el control de las decisiones. d) Fondos Fiduciarios integrados total o mayoritariamente con bienes y/o fondos del Estado Nacional. Serán aplicables las normas de la Ley 24.156, en lo relativo a la rendición de cuentas de las organizaciones privadas, a las que se hayan acordado subsidios o aportes y a las instituciones o fondos cuya administración, guarda o conservación está a cargo del Estado Nacional a través de sus jurisdicciones o entidades. Con la Ley 23.696 (B.O. 23/08/1989) de Emergencia Administrativa comenzó a producirse lo que podría llamarse un cambio de paradigma en el control de la hacienda estatal, por lo que el control externo, previo y concomitante que efectuaba el Tribunal de Cuentas de la Nación, es sustituido en la Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional por un control externo y posterior, al crearse la Auditoría General de la Nación (AGN) –la cual luego adquiere jerarquía constitucional con la reforma constitucional de 1994– , y la Sindicatura General de la Nación, como órgano de control interno del Poder Ejecutivo Nacional. La esencia del sistema de control interno y externo de la hacienda pública es la rendición de cuentas, la cual “es un aspecto fundamental para la gobernabilidad de los países (entendida ésta como la capacidad de los gobiernos para usar eficazmente los recursos públicos en la satisfacción de las necesidades comunes), y constituye un principio de la vida pública, mediante el cual, los funcionarios depositarios de la voluntad del pueblo están obligados a informar, justificar y responsabilizar públicamente por sus actuaciones. Se constituye por mecanismos políticos, sociales y jurídicos de control vinculados en forma de redes de intercambio”. Esta exigencia de transparencia y eficiencia en la gestión de los recursos públicos resulta esencial para el cumplimiento de las políticas públicas que emanan como mandato constitucional a los poderes públicos, y que el legislador debe fomentar. Estas políticas públicas, expresamente previstas en el preámbulo de la Constitución Nacional y su artículo 75, incisos 18 y 19, como promover el bienestar general, proveer lo conducente al desarrollo humano, al progreso económico con justicia social, son objetivos políticos que requieren la utilización eficiente, efectiva y eficaz del dinero público en la gestión de gobierno, principios aplicables –entre otros– al procedimiento administrativo de contrataciones públicas para la adquisición de bienes y servicios, los subsidios a los servicios públicos, y planes sociales orientados a la protección de los sectores más vulnerables, entre otras intervenciones del Estado. Tan importante es el control de los fondos públicos y su correcta rendición por los funcionarios, que su utilización dolosa es considerada como atentado contra el sistema democrático por el artículo 36 de la Constitución Nacional: “Atentará asimismo contra el sistema democrático quien incurriere en grave delito doloso contra el Estado que conlleve enriquecimiento, quedando inhabilitado por el tiempo que las leyes determinen para ocupar cargos o empleos públicos”. Antes de la sanción de la ley actual (ley 24.156) el control interno estaba a cargo de la Contaduría General de la Nación y a partir de la nueva norma el Legislador creo la Sindicatura General de la Nación como órgano de control interno del Poder Ejecutivo dependiente del Presidente de la Nación. Recordemos que, por su parte, la AGN depende del Congreso. En verdad, tal como dice la ley, el sistema de control interno está integrado, por un lado, por la Sindicatura General de la Nación como órgano normativo de supervisión y coordinación y, por el otro, por las Unidades de Auditoría Interna (UAI) creadas en cada jurisdicción a controlar. Quizá la característica más peculiar del actual sistema es que las Unidades dependen jerárquicamente del órgano superior de cada organismo y, a su vez, son coordinadas técnicamente por la Sindicatura General. Cabe agregar que el control interno es un examen posterior de las actividades financieras y administrativas de las entidades que abarca los aspectos presupuestarios, económicos, financieros, patrimoniales, normativos y de gestión fundados en criterios de economía, eficiencia y eficacia.   Rol de los distintos poderes en el ámbito de contralor. El presupuesto no es un fin en sí mismo; es un instrumento que traduce el cumplimiento de los objetivos económicos y sociales de un país. Por eso, desde la óptica de la política económica, abre el camino para alcanzar esas metas, con el objetivo adicional de efectuar la asignación de recursos más apropiada y conveniente. Por oro lado y dado que los recursos de los países son limitados, y la cantidad de ingresos obtenidos de la mayoría de la población no es equivalente a la cantidad que se destina en beneficio de aquella, el presupuesto se convierte en un mecanismo de redistribución y asignación de recursos. Todo enmarcado en el proceso político que los fines presupuestarios y las asignaciones definitivas suponen. Es posible distinguir cuatro (4) etapas del presupuesto, que a su vez tiene importancia en el análisis de las competencias constitucionales, legales y reglamentarias: 1) La preparación del proyecto de ley: es una etapa que se compone de subetapas o procedimientos. Está a cargo de órganos del Poder Ejecutivo. En ella podemos ver traducida, en una forma práctica, la estrecha relación entre las decisiones políticas y la Administración. Pues el presupuesto es uno de los instrumentos jurídicos más relevante a la hora de verificar las políticas públicas que adoptará el gobierno en un ejercicio determinado. El artículo 24 de la ley 24.156 establece que el Poder Ejecutivo Nacional fijará anualmente los lineamientos generales para la formulación del proyecto. El anteproyecto de ley es preparado por las jurisdicciones y organismos descentralizados, y debe ser remitido a la Oficina Nacional de Presupuesto. Esta Oficina, sobre la base de dicha información, prepara el proyecto, que debe contener presupuestos de gastos y de recursos de la Administración central y a uno de los organismos descentralizados; créditos presupuestarios asignados a cada uno de los proyectos de inversión que se prevén ejecutar; y los resultados de las cuentas corrientes y de capital para la administración central, para cada organismo descentralizado y para el total de la Administración nacional. El proyecto es sometido a consideración del Poder Ejecutivo, previo acuerdo de gabinete, para que, posteriormente, el jefe de Gabinete lo remita a la Cámara de Diputados antes del 15 de setiembre de cada año. 2) Sanción de la ley: Corresponde exclusivamente al Congreso Nacional, por así establecerlo el art. 75, inc. 7, Constitución Nacional. No existe óbice para que el Poder Legislativo modifique el proyecto que remite el Poder Ejecutivo. La Constitución Nacional no establece límites en ese sentido, por eso puede introducir modificaciones de cualquier tipo sobre las erogaciones. Respecto de los recursos, la situación es diferente, dado que el presupuesto se limita a su cálculo.  Sin embargo, los legisladores podrían suprimir o rebajar impuestos, o establecer tributos de otra naturaleza que los contenidos en el proyecto de ley. La promulgación es competencia del Poder Ejecutivo conforme a los preceptos constitucionales. Este tiene el derecho de veto, como en el caso de cualquier ley. Si bien el veto puede ser parcial o total, es difícil que se presente en la práctica este segundo supuesto, pues el Poder Ejecutivo se encontraría sin presupuesto. El caso sería muy hipotético, pues siendo este Poder el que prepara el proyecto, el veto total sólo tendría lugar en el caso de que el Legislativo hubiese modificado o sustituido íntegramente la propuesta original5. En el caso de que el presupuesto no fuera sancionado al inicio del ejercicio, regirá el del año anterior en los términos del  artículo 27 de la ley 24.156 (“reconducción del presupuesto”). 3) Ejecución presupuestaria: Corresponde al Jefe de Gabinete de Ministros, según el artículo 100, inc. 7, Constitución Nacional, que establece que es el responsable de “hacer recaudar las rentas de la Nación y ejecutar la Ley de Presupuesto Nacional”. Esta etapa consiste en el conjunto de operaciones o actos reglamentarios que se ejecutan con el objeto de recaudar los recursos públicos y realizar las operaciones e inversiones  previstas en el presupuesto6. 4) Control: Está a cargo de los organismos de control interno y externo, conforme a la ley 24.156. De las etapas que conforman todo el proceso presupuestario nos atendremos a esta última, para poder diferenciar las competencias y métodos de control de algunos de los organismos responsables de ejercer dicha función. Tal como indica Corti, el derecho federal argentino contiene una multiplicidad de mecanismos de control, que no necesariamente conduce a una actividad presupuestario regular.  Dentro de esta función incluiremos, como la Sindicatura General de la Nación y las Unidades de Auditoría Interna, la Auditoría General de la Nación, las Comisiones parlamentarias y el Defensor del Pueblo.   Control por parte de organismos multilaterales de crédito (BID, Banco Mundial, etc.). Sobre el particular, se reportan tanto las evidencias de incumplimiento de carácter material, así como la posible existencia de actos ilegales, irregularidades. Se deja establecido con precisión la naturaleza y alcance del examen, el grado de responsabilidad que el auditor asume, así como su opinión sobre los estados financieros en su conjunto. Al respecto, se brindan los siguientes documentos (dictámenes):   1. Dictamen de los Estados Financieros Básicos del Proyecto. Los estados financieros del proyecto deben ser presentados en forma comparativa con el ejercicio anterior, y expresados en dólares estadounidense, pudiendo además ser expresados en moneda local. Los estados a presentar son: A. BID (a) Estado de Efectivo Recibido y Desembolsos Efectuados; (b) Estado de Inversiones, y sus respectivas notas, (c) Estado de Solicitudes de Desembolsos, y sus respectivas notas; B. BANCO MUNDIAL (a) Estado de USO Y FUENTES de Fondos; (b) Estado de Inversiones o Detalle de Gastos, y sus respectivas notas, (c) Estado de Certificados de Gastos (SOES), (d) Estado de Cuenta Especial   2. Dictamen sobre el Cumplimiento de las Cláusulas Contractuales. Se informa el estado de cumplimiento dado por el ejecutor a las cláusulas contractuales de carácter contable-financiero incluidas en el contrato de préstamo (convenio de cooperación técnica) de forma específica, cláusula por cláusula. Asimismo, se presta especial atención al cumplimiento de lo dispuesto en el reglamento operativo, de crédito (si aplica) y/o en los acuerdos inter-institucionales, en caso de proyectos de ejecución descentralizada.   3. Dictamen las solicitudes de desembolsos presentadas al Banco. Opinión sobre los procesos de adquisiciones de bienes, contratación de obras y servicios de consultoría, con base en lo establecido en el contrato y en las leyes y regulaciones locales aplicables, en forma integrada con el examen de la respectiva documentación de soporte de los gastos relacionados con las solicitudes de desembolsos presentadas al Banco, así como de su elegibilidad para ser financiados con los recursos del proyecto, el porcentaje de financiamiento y la tasa de cambio aplicada según los lineamientos de cada entidad de crédito.   4. Informe sobre el sistema de control interno relacionado con el proyecto. Este informe suministra información relacionada con la evaluación del sistema de control interno del proyecto, con base en los elementos y su funcionamiento durante el período bajo examen, detallando tanto las fortalezas como los hallazgos reportables (debilidades materiales), y categorizándolos en cada caso, de acuerdo con el peso relativo de los riesgos inherentes (i) criterio: lo que debería ser; (ii) condición: situación encontrada; (iii) causa: lo que provocó la desviación del criterio; (iv) efecto: riesgo involucrado; (v) recomendación, en caso que fuera aplicable; y (vi) comentarios del ejecutor y/o prestatario. El informe contiene entre otros, hallazgos reportables sobre el Sistema de Control Interno respecto a: • Procedimientos administrativos que rigen las actividades y responsabilidades de la administración financiera del proyecto. • Niveles de autoridad y procedimiento requeridos para el procesamiento de las transacciones financieras. • Niveles de autoridad, descripciones de cargo, número y suficiencia de habilidades del personal que trabaja en las diversas áreas de ejecución del proyecto. • Habilidad del ejecutor en mantener una planta de personal adecuada, dado los posibles cambios en la administración. • Segregación de responsabilidades en la administración financiera del proyecto (actividades de tesorería, contabilidad e informes contables). • Adecuación de los sistemas de procesamiento de datos para producir información operativa, financiera y contable oportuna y confiable. • Capacidad del área contable para registrar y mantener información adecuada con respecto a la documentación de apoyo de las solicitudes de desembolso. • Capacidad del sistema financiero y contable en verificar, controlar y hacer el seguimiento de todas las fuentes y uso de fondos relacionados con el proyecto, incluyendo las transacciones del fondo rotatorio del Banco. • Capacidad del sistema contable utilizado por el ejecutor y/o coejecutores para el registro de las transacciones financieras, incluyendo los procedimientos para consolidación de la información financiera en proyectos de ejecución descentralizada. • Condiciones materiales reportables identificadas como resultado de las visitas de inspección física realizadas relacionadas con la ejecución de las obras y/o las adquisiciones de bienes y servicios financiados con los recursos del proyecto. • Estado de implantación de recomendaciones de control interno de períodos anteriores. • Control de subejecución de los proyectos.   Aspectos particulares o diferenciales del control en el ámbito del sector público. En más de una ocasión se escucharon críticas al control interno, basadas principalmente en la dependencia que existe entre el controlado y controlante. Sin embargo, tal particularidad no configura en sí misma la “mala reputación” que aquel tiene; su desprestigio hay que buscarlo en otras causas funcionales. Por eso, creemos que se trata de una especie de control trascendental en toda organización, por la función preventiva que cumple. Dada la multiplicidad de modalidades que puede adoptar, lo identificaremos como aquel que se ejerce desde adentro de la organización controlada. Este criterio permite incluir al control que se inserta en la misma gestión y al que practican determinados órganos o entes especializados. El eje sobre el cual gira está dado por la idea de que conforma una cultura dentro de la organización, con la pretensión del mejoramiento continuo, previendo los riesgos, obstáculos y hasta posibles incumplimientos de las normas. Ello, sin perjuicio de las diversas variantes que presenta su ejercicio: previo, concomitante, posterior; mediante técnicas de intervención preventivas, dictámenes, informes, observaciones legales, etc. De esto se deduce que no todo control interno tiene como objetivo la gestión, aun cuando pueda tener incidencia en ésta; por ejemplo el que ejerce el servicio jurídico de los organismos, las asesorías especiales o las comisiones evaluadoras de las contrataciones públicas, que en el marco de un procedimiento administrativo, practican un control interno de legalidad que contribuirá a detectar y a prevenir irregularidades administrativas. Las Normas Generales de Control Interno para el Sector Público Nacional, aprobadas por la Sindicatura General de la Nación (SIGEN) en el año 2014 (que receptan las directivas del Informe COSO-2013 –que reemplazó al creado en 19929–) caracterizan al control interno como un proceso integrado a los procesos básicos de planificación, ejecución y supervisión, y no a un conjunto de mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable para el logro de objetivos incluidos en las siguientes categorías: •             Eficacia y eficiencia de las operaciones. •             Confiabilidad de la información financiera. •             Cumplimiento de las leyes, reglamentos y políticas. •             Este enfoque desplaza la idea del control interno contable para ubicarse en un plano integrador, aglutinante de todas las modalidades de control interno.   Configurado como un proceso, presupone: - Que se trata de un medio para alcanzar un fin y no un fin en sí mismo. - Es ejercido por las personas que actúan en todos los niveles, no se trata solamente de manuales de organización y procedimientos. - Sólo puede aportar un grado de seguridad razonable, no la seguridad total, a la conducción. - Está pensado para facilitar la consecución de objetivos en una o más de las categorías señaladas las que, al mismo tiempo, suelen tener puntos en común.   El logro de sus objetivos se alcanza mediante la conformación de cinco componentes interrelacionados, que serán los mismos para todas las organizaciones (públicas o privadas): 1- Ambiente de control: son los valores y filosofía de la organización y tiene influencia directa en el personal y su visión respecto al control. 2- Evaluación de riesgos: consiste en la identificación y el análisis de los riesgos relevantes para el logro de los objetivos de la organización; ello tiene utilidad para determinar la forma en que aquellos deben ser gestionados. 3- Actividades de control: son las acciones, políticas, normas y procedimientos que permiten a la dirección manejar y afrontar los riesgos identificados. 4- Información y comunicación: constituyen los medios y sistemas mediante los cuales el personal de la entidad capta e intercambia la información necesaria para desarrollar, gestionar y controlar sus operaciones. 5- Supervisión y monitoreo: es un proceso para verificar el desarrollo y desempeño del sistema de control interno en el transcurso del tiempo. Es decir, evalúa la calidad del control interno en el tiempo. En cada uno de estos componentes se consagran principios (diecisiete en total) que constituyen reales guías para su ejercicio, reflejando que puede ser llevado a cabo en forma previa, concomitante y posterior. En el ámbito nacional, la Ley 24.156 de Administración Financiera y Sistemas de Control regula el control interno del Poder Ejecutivo, aunque las reglas gestión Pública y control interno generales que incluye se extienden a todos los poderes del Estado, quienes deben implementar mecanismos y crear órganos para cumplir con tales funciones. El régimen permite que, quien resulte responsable de la toma de decisiones en los organismos públicos, cuente con información veraz, oportuna y confiable sobre la gestión administrativa. Como síntesis del modelo que aplica, podemos decir que se trata de un sistema complejo: hay un control interno que denominamos “en sentido estricto”, uno ejercido por órganos con competencia específica ubicados en cada jurisdicción o entidad (Unidades de Auditoría Interna, UAI) y otro que practica el órgano rector del sistema (SIGEN). Es decir, por un lado, el responsable de mantener un adecuado sistema de control es la autoridad superior de cada jurisdicción o entidad dependiente del Poder Ejecutivo Nacional, debiendo incluir los instrumentos de control previo y posterior incorporados en el plan de organización y en los reglamentos y manuales de procedimiento de cada organismo y la auditoría interna. Por su parte, las UAI, creadas en cada jurisdicción y entes del Poder Ejecutivo Nacional dependientes jerárquicamente de la autoridad superior de cada organismo, son las que tienen a su cargo el examen posterior de las actividades financieras y administrativas de éstos, bajo la supervisión y coordinación técnica de la SIGEN. A su vez, esta entidad, en su carácter de órgano rector, tiene tres funciones básicas: normativa, de supervisión y coordinación, que las ejerce a través del dictado de normas de control interno, supervisando la auditoría interna y las estructuras de control interno de los organismos, –sin perjuicio de que puede ejecutar por sí auditorías integrales e integradas– y coordinando técnicamente la actuación de las UAI. El modelo de control que tiene a su cargo es caracterizado como integral e integrado, al abarcar los aspectos presupuestarios, económicos, financieros, patrimoniales, normativos y de gestión; y porque forma parte de los procedimientos que se establezcan para la toma de decisiones. La ley instituye principalmente el mecanismo denominado “auditoría”. Ésta, en el ámbito interno, es “un servicio a toda la organización consistente en un examen posterior de las actividades financieras y administrativas de las entidades a que hace referencia esta ley, realizada por los auditores integrantes de las unidades de auditoría interna. Las funciones y actividades de estos auditores internos deben mantenerse desligadas de las operaciones sujetas a su examen”. Reiteramos que se está ante un sistema de control interno compuesto de instrumentos de control previo (no intervención previa) y posterior, que se incorporan en el plan de organización y en los manuales de procedimientos de cada organismo, y a la auditoría interna.