El auditor corrupto

La independencia del auditor está ampliamente regulada en la legislación nacional e internacional y la nueva Ley de Auditoría de Cuentas ha reforzado las obligaciones del auditor en esta materia.

La cuestión que se plantea es si las acciones u omisiones de un auditor, o de una sociedad de auditoría, en el ejercicio de su función de revisión y verificación de las cuentas anuales y los estados financieros de una compañía, pueden llegar a tener trascendencia penal en los supuestos de máxima gravedad.

Hasta ahora, la actividad de los auditores incursos en un procedimiento penal se ha asociado a los delitos de falseamiento de cuentas anuales y de información financiera. La decisión del legislador y del juzgador de sancionar penalmente estas conductas estaría justificada en este caso por la frustración de la confianza del mercado en el informe del auditor sobre la fiabilidad de las cuentas revisadas y el perjuicio causado a los accionistas, proveedores, clientes y demás grupos de interés que confiaron en dicho informe.

Pero el falseamiento de las cuentas anuales y de la información financiera puede ser solamente la consecuencia o el síntoma de una enfermedad más grave: la pérdida de la independencia del auditor causada por el desequilibrio entre la facturación de los servicios de auditoría y los restantes servicios de consultoría y asesoramiento contratados por la compañía auditada.

En los supuestos de máxima gravedad, en los que la sociedad de auditoría ha perdido la capacidad de resistir la presión del cliente para emitir un informe favorable, que oculte la situación real de la empresa, el análisis de la actividad de la sociedad de auditoría debería extenderse a los ingresos obtenidos por servicios distintos a los de auditoría contable.

Es evidente que la pérdida de esos ingresos puede condicionar la opinión del auditor cuando su cuantía es muy superior a los ingresos percibidos por los servicios de auditoría. Esta situación podría llegar a crear una transacción de facto, en el que la partida sería el mantenimiento de unos importantes ingresos por servicios “non-audit” y la contrapartida sería una interpretación más laxa de los criterios contables aplicados por el cliente. La prestación de las dos categorías de servicios por sociedades distintas sería absolutamente irrelevante en el caso de confirmarse la falta de independencia y su influencia final en el informe del auditor.

Si se considerase que la contratación de servicios distintos a los de auditoría se ha convertido, en la práctica, en una contrapartida a la emisión de un informe favorable al cliente, la actividad de la sociedad auditora podría quedar subsumida en el tipo penal del delito de corrupción en los negocios, que tiene asignadas unas penas superiores a las del delito de falseamiento de cuentas, tanto para las personas físicas y como para las jurídicas.

Sería lógico en este caso, por una cuestión ética y estética, que en la oferta de servicios de la firma no figurasen los de “compliance” o cumplimiento normativo, y mucho menos los de formación en esta materia.

 

Nuevo curso de Compliance Officer de Aranzadi y Ribas y Asociados

Como resultado de un acuerdo de colaboración alcanzado con Thomson Reuters Aranzadi, y con el aval de la Universidad CEU San Pablo, se iniciará en el mes de septiembre un nuevo curso online de Compliance Officer de 200 horas, adaptado a la reforma del Código Penal de este año.

El curso constará de dos partes:

PARTE I – Metodología
PARTE II – Delitos, riesgos y controles

El programa se puede descargar a través de este enlace:

Descargar el programa del curso

Entrada en vigor de la reforma del Código Penal – Acciones a realizar

Hoy entra en vigor la reforma del Código Penal, que establece los requisitos a cumplir para que una empresa pueda acceder a la exención de la responsabilidad penal.

De forma telegráfica resumo las acciones que recomiendo realizar en el caso de que todavía no se hayan ejecutado.

1. Aprobar una política que describa el modelo de prevención y control de la empresa.
2. Nombrar un Comité de Compliance basado en un modelo de control descentralizado.
3. Identificar el riesgo de delito en cada departamento a través del correpondiente mapa de riesgos.
4. Definir y aplicar un protocolo de toma de decisiones
5. Definir y aplicar un modelo de gestión de los recursos financieros orientado al compliance.
6. Crear, mantener y promocionar adecuadamente el canal ético de la empresa.
7. Establecer un sistema disciplinario que tenga en cuenta los cortos plazos de prescripción de las infracciones en los convenios
8. Programar una verificación periódica del funcionamiento y el cumplimiento del modelo de prevención y control.

Adicionalmente, y con el fin de cumplir los requisitos de antelación, eficacia, idoneidad y prueba, se recomienda realizar las siguientes acciones:

1. Completar el código ético con escenarios de riesgo y prohibiciones idóneas para todos los riesgos previstos en el mapa de riesgos.
2. Completar el modelo de prevención y control con controles idóneos para todos los riesgos previstos en el mapa de riesgos.
3. Obtener evidencias cronológicas de la existencia y la eficacia de los controles.
4. Conservar las evidencias de los controles en un repositorio que de fe de su antigüedad.

Una oportunidad para compartir o limitar la responsabilidad del Compliance Officer

El pasado 3 de junio se publicó en el Boletín Oficial del Senado el Proyecto de Ley de Auditoría de Cuentas, que extiende la obligación de disponer de una Comisión de Auditoría a las empresas cuyo importe neto de la cifra de negocios de más de 200 millones de euros o tengan más de 1.000 empleados.

La Comisión de Auditoría de estas empresas deberá tener la composición y las funciones contempladas en el artículo 529 quaterdecies del Texto Refundido de la Ley de Sociedades de Capital.

Esta comisión puede compartir o llegar a sustituir las funciones y responsabilidades del Compliance Officer o del Comité de Compliance en su caso, ya que es el órgano al que se refiere alternativamente el artículo 31 bis del Código Penal cuando habla del órgano que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.

Composición de la Comisión de Auditoría

La comisión de auditoría estará compuesta exclusivamente por consejeros no ejecutivos nombrados por el consejo de administración, la mayoría de los cuales, al menos, deberán ser consejeros independientes y uno de ellos será designado teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o en ambas. En su conjunto, los miembros de la comisión tendrán los conocimientos técnicos pertinentes en relación con el sector de actividad al que pertenezca la entidad auditada.

Funciones de la Comisión de Auditoría

Sin perjuicio de las demás funciones que le atribuyan los estatutos sociales o de conformidad con ellos, el reglamento del Consejo de Administración, la Comisión de Auditoría tendrá, como mínimo, una serie de funciones, entre las que destaca la de supervisar la eficacia del control interno de la sociedad, la auditoría interna y los sistemas de gestión de riesgos.

En las entidades a que dispongan de un órgano con funciones equivalentes a las de la Comisión de Auditoría, que se haya establecido y opere conforme a su normativa aplicable, las funciones de la Comisión de Auditoría serán asumidas por el citado órgano, debiendo dichas entidades hacer público en su página web el órgano encargado de esas funciones y su composición. Este órgano podría ser el Comité de Compliance o el Compliance Officer. La dificultad de que una sola persona asuma estas funciones confirma una vez más la recomendación de que se trate de un órgano colegiado.

Empresas que estarán obligadas a tener Comisión de Auditoría

Están obligadas a tener Comisión de Auditoría las entidades de interés público. El artículo 3.5.b del proyecto establece que tendrán la consideración de entidades de interés público las que se determinen reglamentariamente en atención a su importancia pública significativa por la naturaleza de su actividad, por su tamaño o por su número de empleados.

Hasta el momento en que se produzca el desarrollo reglamentario de la futura Ley de Auditoría de Cuentas, el actual Reglamento del texto refundido de la Ley de Auditoría de Cuentas atribuye la consideración de entidades de interés público a las empresas cuyo importe neto de la cifra de negocios o plantilla media durante dos ejercicios consecutivos, a la fecha de cierre de cada uno de ellos, sea superior a 200.000.000 de euros o a 1.000 empleados, respectivamente. ACTUALIZACIÓN: la propuesta del Gobierno consiste en que estos umbrales pasen a 2.000 millones y 4.000 empleados.

Cómo quedará configurada la responsabilidad del Compliance Officer

Con la entrada en vigor de la nueva Ley de Auditoría de Cuentas las empresas podrán optar por las siguientes alternativas:

1. Asignar la función de supervisión del modelo de prevención y control de delitos (Programa de Compliance) exclusivamente a la Comisión de Auditoría, por ser el órgano que tiene encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica, de acuerdo con lo establecido en el artículo 31 bis del Código Penal y la Ley de Sociedades de Capital. Ello sin perjuicio de que la Comisión de Auditoría delegue funciones de supervisión y control en el Comité de Compliance o en el Compliance Officer en su caso.

2. Asignar al Comité de Compliance las funciones establecidas legalmente a la Comisión de Auditoría. En tal caso, el Comité de Compliance deberá operar conforme a lo establecido en la Ley de Auditoría de Cuentas, en la Ley de Sociedades de Capital y en el artículo 31 bis del Código Penal de forma acumulativa. La empresa deberá hacer público en su página web el órgano encargado de estas funciones y su composición.

3. Repartir las funciones de supervisión y control entre la Comisión de Auditoría y el Comité de Compliance. Esta sería la opción más recomendable según mi opinión, ya que de esta manera se produciría una especialización en la función de control, financiero y contable en el primer caso, y relativo a los riesgos penales en el segundo.

Conclusiones

La extensión de la obligación de disponer de Comisión de Auditoría a las sociedades no cotizadas que cumplan los requisitos cuantitativos comentados abre la posibilidad de compartir o concentrar la función de supervisión y control en un órgano superior, formado, (por razones de independencia) por consejeros no ejecutivos. Ello será especialmente relevante en el momento de depurar responsabilidades por la existencia de un déficit de control en la sociedad, dado que los consejeros ya tienen en la actualidad una potencial responsabilidad penal por la vía del artículo 31 y el Compliance Officer, o el Comité de Compliance en su caso, no debería responder de un entorno de control diseñado por el Consejo de Administración.

 

Última convocatoria del Curso de Compliance Officer antes del verano

Por una anulación de última hora han quedado libres dos plazas en la convocatoria del Curso intensivo de Compliance Officer de los días 18 y 19 de junio (16 horas presenciales y 134 horas online – Máximo 12 alumnos)

Esta será la última convocatoria que haremos antes del verano.

El programa es el mismo que el de las convocatorias enteriores, pero si queréis que os lo envíe podéis remitirme un mensaje a xavier.ribas@ribastic.com

Muchas gracias.

Xavier Ribas

Estudio – Análisis de los códigos éticos del Ibex 35 – 2015

Nuestro despacho ha elaborado un estudio titulado “Códigos éticos y líneas rojas penales” en el que analizamos dónde colocan públicamente las líneas rojas relativas a los principales delitos económicos las empresas del Ibex 35.

Expansión dedicó ayer dos páginas a este estudio con un gráfico comparativo y un artículo de Almudena Vigil en el que, con gran esfuerzo de síntesis, comentó las principales conclusiones del análisis.

El estudio puede ser de utilidad para cualquier empresa que desee dar un mensaje al mercado y a sus grupos de interés sobre el marco de actuación en el que debe trabajar el equipo directivo y todos los niveles de la organización.

Estudio “Códigos éticos y líneas rojas penales Ibex 35 – 2015

Artículo de Almudena Vigil en Expansion.com

Gr

Curso de Compliance adaptado a la reforma del Código Penal

Logo del grupo 100x50

 

 

Nuestro despacho inicia en abril la segunda edición del Curso de Compliance de 150 horas que tiene los siguientes formatos:

– Presencial intensivo – 2 días (16 horas presenciales + 134 horas online)
– Online (150 horas online)

Las características diferenciales de este curso son las siguientes:

– En las dos modalidades presenciales no se superarán los 12 asistentes por clase con el fin de conseguir el máximo aprovechamiento en los debates, talleres y casos prácticos.

– Toda la formación será impartida por abogados en ejercicio, por lo que  irá orientada a la aplicación práctica de la metodología a la función de compliance.

– La metodología irá orientada específicamente a la prevención de la responsabilidad de la empresa y del directivo.

– Se realizarán 20 talleres de aplicación y prueba de medidas preventivas y controles específicos.

– Se analizarán y resolverán 40 casos prácticos.

– Se analizarán 50 escenarios de riesgo con sus respectivos controles y evidencias.

– Se revisarán 20 actividades críticas que habitualmente se externalizan.

– Se identificarán 20 categorías de proveedores críticos de diversos sectores.

– Se explicará la metodología de control de los proveedores críticos.

– Se explicará el uso de herramientas informáticas de análisis de riesgos, gestión de controles y de evidencias.

Si deseas que te envíe el programa y el precio del curso en sus dos modalidades te ruego que me lo indiques enviando un mensaje a xavier.ribas@ribastic.com

Te ruego también que especifiques cuál de los dos formatos te interesa más.

El programa coincide en estructura y alcance con la metodología Compliance 3.0 desarrollada y registrada por nuestro despacho, por lo que su distribución está restringida.

Publicada en el BOE la reforma del Código Penal de 2015 sobre la responsabilidad penal de las empresas

El BOE de hoy publica la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. que establece los requisitos que las empresas deberán cumplir para quedar exentas de responsabilidad penal.

El nuevo régimen entra en vigor el 1 de julio de 2015.

Dado el carácter definitivo del texto, hemos resumido estos requisitos en la siguiente infografía titulada “El camino a la exención”.

Infografía – El camino a la exención (PDF)

Infografia - El camino a la exencion

Posibles deficiencias en el manual antiblanqueo de Banco Madrid

Una noticia de ayer dió a conocer las conclusiones del informe sobre el Banco Madrid enviado por el SEPBLAC a la Fiscalía Anticorrupción. En él se recogen una serie de posibles deficiencias detectadas en el manual de prevención del blanqueo de capitales de la entidad.

Entre las deficiencias identificadas en el informe destacarían las siguientes:

1. Inexistencia de un capítulo específico relativo a los agentes, presentadores y mediadores, cuya actividad es significativa en el Banco Madrid.

2. Falta de especificación de la forma de comunicación de las operaciones sospechosas por parte de los empleados al órgano de control interno, en cuanto a plazos, contenido mínimo, etc.

3. Omisión de actividades de elevado riesgo como la intermediación, el comercio exterior, los despachos de abogados y las inmobiliarias.

4. Mayor orientación del manual a la actividad de la banca minorista que a la de banca privada.

5. Ausencia de mención de los procedimientos de verificación interna de la correcta aplicación de las medidas de prevención.

6. Inexistencia de criterios de actuación en relación a la titularidad de las operaciones.

Al margen de la especificidad en materia de prevención del blanqueo de las presuntas deficiencias, y del posible incumplimiento de la normativa que la regula, la lectura de la noticia nos lleva una vez más a reconocer la importancia de la estructura normativa en materia de Compliance. A pesar de la dificultad de conseguir el conocimiento pleno de tal volumen de normas por sus destinatarios.

Las políticas, las normas y procedimientos deben describir los comportamientos que la empresa espera del equipo humano que la forma, así como las malas prácticas que están prohibidas. Este principio tan elemental, que debe inspirar el cuerpo normativo de la empresa, desde el código ético hasta el último procedimiento, no siempre se cumple, como veremos en un estudio que nuestro despacho está preparando en relación al Ibex35.

 

¿Cómo debe actuar el Compliance Officer ante una decisión de riesgo del Consejo de Administración?

El Compliance Officer, o el Comité de Compliance en su caso, deben tener perfectamente delimitada su zona de control. Lamentablemente la línea que separa el Consejo de Administración del resto de la empresa es una gran barrera que separa también la zona de autocontrol de la zona de control. El compliance actúa en la zona de control y la alta dirección debe impulsar el modelo de prevención y control y cumplirlo. Parece un argumento elemental, pero vemos en muchas ocasiones que no siempre se cumple.

En el caso Commerzbank pudimos ver cómo el equipo de Compliance alertó sobre determinados riesgos legales y la dirección de la entidad tomó presuntamente sus decisiones a pesar de dichas advertencias.

En el caso Banco Madrid hemos podido leer hoy mismo una noticia en la que se afirma que el equipo de Compliance advirtió sobre el riesgo legal de una determinada operación financiera por carecer de información suficiente y manifestó en todo caso su opinión desfavorable a la misma.

Los protocolos de toma de decisiones exigidos en la próxima reforma del Código Penal y en la Ley de Sociedades de Capital deben garantizar que en el proceso de formación de la voluntad societaria se solicite la opinión del equipo de Compliance y ésta se tenga en cuenta. La respuesta a esta consulta demostrará si la función de Compliance es independiente o no en cada empresa.

La opinión desfavorable del equipo de Compliance actuará como prueba exculpatoria para éste y como prueba inculpatoria para el Consejo de Administración.