La supervisión y evaluación del cumplimiento normativo por el Consejo de Administración

El pasado 14 de enero, la Comisión Nacional del Mercado de Valores (en adelante CNMV) ponía a consulta pública la modificación de un determinado número de recomendaciones del Código de Buen Gobierno de las Sociedades Cotizadas (en adelante el Código). Entre las modificaciones propuestas se incluye la actualización de la recomendación número 42, referente a la supervisión por parte del consejo de administración, a través de la comisión de auditoría, de las funciones de control interno.

El objetivo de esta reforma es fortalecer las tareas supervisoras del consejo, a la hora de evaluar los sistemas de control y gestión de riesgos, ampliando las tareas actuales en materia de información financiera, a los riesgos no financieros, incluyendo entre estos últimos los referentes a la propia reputación de las entidades y los relacionados con la corrupción.

Es una realidad que la información y los riesgos no financieros están adquiriendo una mayor relevancia en el ámbito societario y son cada vez más valorados por los inversores. Por tanto,  es positiva esta ampliación, si bien muchas entidades han establecido comisiones de riesgo  y, por tanto, el reparto y la coordinación de ambas comisiones en estas materias es muy relevante y dependerá en gran medida del esquema de gobierno corporativo de cada entidad.

Una segunda modificación de esta Recomendación 42 se centra en la propia supervisión de los mencionados riesgos por el consejo a través de sus comisiones delegadas o de apoyo. Es en este punto donde quiero centrar mi reflexión. La modificación propuesta da un salto cualitativo importante, al establecer que el modelo de control debe incorporar nuevos elementos que permitan al consejo no solo supervisar, sino también evaluar la gestión en materia de control de la información financiera y no financiera, así como velar para que el modelo de control interno diseñado se aplique de un modo efectivo.

La propuesta añade a la de supervisar las funciones de evaluar y de velar por su efectividad. Esta modificación es especialmente relevante y, en mi opinión, va más allá de una mera cuestión semántica. Será necesario que las entidades, en sus esquemas de gobierno corporativo y modelo de control interno, establezcan las medidas oportunas que faciliten esa evaluación y que determinen que el modelo de control interno es realmente efectivo.

En una amplia mayoría de entidades, el marco actual de control interno se articula en torno a las funciones de cumplimiento normativo, control de riesgos y auditoría interna. Respecto a la función de cumplimiento normativo, en los últimos años estamos asistiendo a una redefinición tanto en lo que se refiere a su ámbito de actuación como al propio desempeño de sus tareas. Por ejemplo, en el sector financiero:

• En el ámbito de la prevención del blanqueo de capitales, existe una mayor interrelación con la prevención del fraude
• Los esquemas de prestación de servicios de inversión y actuación en mejor interés del cliente se han ampliado al conjunto de servicios financieros
• El Banco Central Europeo otorga una mayor relevancia a que la función de cumplimiento normativo supervise la implantación efectiva de todas las normas que afectan a las entidades de crédito
• Los programas de cumplimiento penal ha adquirido una significativa relevancia
• Por último, nos encontramos con que los reguladores están desarrollando una actividad normativa cada vez más relevante en materia de sostenibilidad

En este entorno, la propia función de cumplimiento normativo también está evolucionando en la forma de gestionar sus tareas y responsabilidades. Las áreas de control interno no pueden ser ajenas a la digitalización de los modelos de negocio, a la utilización de la tecnología en los procedimientos de control, o a los nuevos esquemas de trabajo cada vez más colaborativos y transversales que exigen tomas de decisiones más colegiadas y ágiles. La labor de asesoramiento a las áreas de negocio es esencial para evitar futuros riesgos y los nuevos modelos de control exigen la gestión de volumen de información cada vez mayor, tanto cuantitativa como cualitativamente, y una respuesta adecuada a los desafíos que supone una mayor y más rápida innovación.

La revolución digital está transformando no solo el modelo de toma de decisiones dentro de las organizaciones, sino también en el propio ámbito de la protección de los clientes. La función de cumplimiento normativo debe velar por que en estos cambios prevalezca en todo momento el mejor interés del cliente. El desafío es apasionante; sin embargo, a diferencia de otras áreas de control, en este proceso de ampliación de funciones, sería útil para las entidades que los reguladores actualizaran y clarificaran el alcance de la propia función de cumplimiento normativo.

Esta revisión de la función de cumplimiento normativo debería tener en cuenta tres factores:

• El propio sector donde las entidades desarrollen sus actividades
• El particular esquema de gobierno corporativo y de control interno de cada entidad
• El principio de proporcionalidad

Conviene no olvidar que la flexibilidad y la proporcionalidad son dos elementos fundamentales para que el modelo de control interno se adapte a los valores, la cultura y el modelo organizativo de cada entidad, única forma de que realmente sea efectivo

En este proceso de transformación de la propia función de cumplimiento normativo, surge la referida propuesta de reforma del Código. No es mi intención en este post dar una respuesta a cómo deben ser esa evaluación y esa efectividad del modelo de control interno, pero sí al menos dar algunas ideas que puedan favorecer ese debate. El paso, de un modelo de supervisión a un modelo de supervisión, evaluación y aplicación efectivas, implica que los consejos de administración actualicen su visión y estrategia de los modelos de control interno.

Es una realidad que la dependencia de las áreas de control interno del consejo garantiza ya su funcionamiento independiente. Además, el consejo conoce y es informado de todas estas actividades de control, siendo objeto de amplia revisión en su orden del día. No obstante, habrá que plasmar ese requisito adicional de evaluación y de control efectivo en medidas más concretas. En segundo lugar, los reguladores piden a los consejos que “garanticen” que las áreas de control interno cuentan con los medios materiales y humanos necesarios. No creo que nadie pueda dudar del esfuerzo que las entidades vienen haciendo en los últimos años en dotarse sistemas de control interno verdaderamente eficaces.

Los reguladores han publicado diversas guías y recomendaciones en muchas cuestiones relacionadas con la función de cumplimiento normativo, pero sigo echando de menos criterios concretos que permitan a las entidades tener una serie de referencias objetivas que ayuden a contrastar que los recursos  destinados a las funciones de control interno son los adecuados.

En resumen, clarificar el alcance de la propia función de cumplimiento normativo en un entorno en el que se amplían sus funciones, adaptarse a un entorno más digital e innovador, favorecer la evaluación por el consejo del desempeño de sus funciones, y facilitar por los reguladores indicadores que permitan analizar de una forma más objetiva los recursos y medios necesarios para el cumplimiento de sus funciones son desafíos importantes en materia de cumplimiento normativo. Desafíos a los que en mayor o menor medida también se enfrentan el resto de áreas de control interno.