El Sistema de Control Interno de la Información No Financiera (SCIINF) nace como respuesta proactiva de las compañías para establecer un marco de control interno que asegure la fiabilidad de su información no financiera publicada al exterior, fruto del nuevo entorno regulatorio y de la exigencia cada vez mayor por parte de los grupos de interés.
Debido a que la implantación de un sistema de control requiere de preparación y experiencia previa en materia de evaluación de riesgos y diseño de controles, generalmente se está atribuyendo a la Dirección Financiera y a las áreas de Control Interno y Cumplimiento o Gestión de Riesgos la responsabilidad de su diseño y puesta en marcha. Así, la figura del CFO cobra relevancia a la hora de integrar y gestionar todo tipo de información necesaria para tomar decisiones estratégicas.
En el contexto actual, cabe preguntarse por qué surge la necesidad de extender los actuales sistemas de control interno desde la información financiera a la no financiera.
España traspuso la Directiva 2014/95/UE sobre divulgación de información no financiera y diversidad destinada a determinadas grandes empresas y grupos, mediante la Ley 11/2018. Con esta ley, España pasa a convertirse en un referente a nivel europeo en materia de divulgación de información no financiera y diversidad, elevando los niveles de exigencia en cuanto a transparencia y fiabilidad en el reporting de estos datos.
La Ley 11/2018 no establece la obligatoriedad de establecer un Sistema de Control Interno de la Información No Financiera (en adelante SCIINF). No obstante, las compañías están desarrollando e implementando los sistemas de control sobre la misma, como muestra de su compromiso con la fiabilidad y transparencia de la información no financiera.
Adicionalmente, en junio de 2020 la CNVM publicó el “Código de Buen Gobierno de las sociedades cotizadas” donde establece en la recomendación 42, que, además de las previstas en la ley, correspondan a la comisión de auditoría las funciones de supervisar y evaluar el proceso de elaboración y la integridad de la información financiera y no financiera, así como los sistemas de control y gestión de riesgos financieros y no financieros relativos a la sociedad y, en su caso, al grupo, revisando el cumplimiento de los requisitos normativos, la adecuada delimitación del perímetro de consolidación y la correcta aplicación de los criterios contables, así como velar en general para que las políticas y sistemas establecidos en materia de control interno se apliquen de modo efectivo en la práctica.
Por otro lado, la Guía Técnica 3/2017 sobre la Comisión de Auditoría Interna de Entidades de Interés Público (EIP) en el punto 39 establece que en “particular la comisión de auditoría debe revisar la claridad e integridad de toda la información financiera, y no financiera relacionada, que la entidad haga pública, como pueden ser los estados financieros, informe de gestión y control de riesgos, de gobierno corporativo, etc. La comisión de auditoría debe valorar en qué casos tiene sentido y puede involucrar a los auditores de cuentas en la revisión de alguno de los informes adicionales a los estados financieros”. En el punto 50 se hace referencia a que “la responsabilidad de supervisión de la comisión de auditoría en materia de riesgos se refiere a la eficacia de los sistemas internos de control y gestión de riesgos en su conjunto, abarcando los riesgos financieros y no financieros. No obstante, la facultad de aprobar la política en materia de riesgos corresponde al consejo.”
¿Qué beneficios se obtienen cómo resultado de la implantación del SCIINF?
La definición e implantación del SCIINF surge de un nuevo entorno regulatorio, así como de la exigencia cada vez mayor por parte de los grupos de interés, entre los que destacan los reguladores, como medida para reforzar la fiabilidad y confianza en la información no financiera que se proporciona al exterior, permitiendo a las compañías:
- Involucrar a toda la organización en el objetivo de proporcionar una información no financiera completa, fiable, oportuna y de calidad de manera eficiente y eficaz.
- Sistematizar y formalizar los controles sobre la información no financiera que prevean y detecten la posible existencia de irregularidades y su remediación.
- Proporcionar seguridad razonable al Consejo de Administración en su rol de órgano responsable de formular anualmente el Estado de Información no Financiera (EINF).
- Garantizar la transparencia y fiabilidad de los procesos de generación, comunicación, elaboración y reporte de la información no financiera
- Asegurar el cumplimiento de las normas aplicables.
¿Cómo se está abordando la implantación del SCIINF?
Las compañías que han iniciado el proceso de diseño e implantación del SCIINF lo están llevando prácticamente en su totalidad como una extensión de su actual Sistema de Control Interno sobre la Información Financiera (en adelante SCIIF), siguiendo la metodología definida en el marco integrado COSO 2013 (Committee of Sponsoring Organizations of the Treadway Commission), y con un enfoque del modelo de las “tres líneas” publicado por el Instituto de Auditores Internos (IAI) con el objetivo de alcanzar una visión integrada de cómo las diferentes partes de la organización interactúan de una manera efectiva y coordinada, resultando más eficaces los procesos de gestión y control interno de los riesgos relevantes en materia del proceso de elaboración y reporte de la información no financiera de la organización.
Más allá de la alta implicación de las áreas de Control Interno y Gestión de Riesgos de la Dirección Financiera en el SCIINF como responsables de su gestión y actualización como segunda línea de defensa, también juega un papel muy importante en el proceso de implantación del modelo la función de Auditoría Interna como tercera línea, incluyendo en sus planes de auditoría trabajos de aseguramiento para la evaluación de la eficacia de los sistemas y procesos de gestión de riesgos, control interno y gobernanza implantados en este ámbito; así como el resto de los departamentos de Sostenibilidad, RRHH, RSC, etc. como responsables de la preparación de la información no financiera, y la ejecución eficaz de las actividades de control dentro de los procesos definidos en el SCIINF como primera línea, principalmente en lo que respecta a la atribución de responsabilidades, segregación de funciones, gestión de accesos a información y otros recursos críticos, y por último, el archivado de las evidencias que posteriormente serán solicitadas durante los procesos de supervisión del modelo.
Debido a la gran diversidad de la naturaleza de la información no financiera y al gran volumen de indicadores que publican las compañías, el proceso de implantación del modelo se está abordando por fases, priorizando aquella información que tiene un riesgo o complejidad significativa durante su proceso de preparación y reporte, que generalmente es de carácter cuantitativo.
La digitalización como facilitador del proceso de aseguramiento de la fiabilidad del dato
Para asegurar la implantación y trazabilidad del SCIINF, la utilización de plataformas tecnológicas es clave, dada su capacidad para llevar a cabo una gestión integral y homogénea que permita a cada unidad organizativa y línea de defensa involucrada en el modelo:
- Centralizar toda la documentación de las evidencias.
- Digitalizar los flujos de trabajo y formularios para la gestión de las actividades de control.
- Identificar conflictos de segregación de funciones.
- Monitorizar el cumplimiento del modelo de control interno definido en tiempo real.
- Administrar el proceso de supervisión de los controles.
Sin embargo y con independencia de la implantación de un modelo SCIINF, es fundamental mitigar el riesgo de error durante el tratamiento de la información y garantizar tanto la calidad como fiabilidad del dato. No hay que olvidarse de establecer mecanismos que ayuden a tal fin desde el principio del proceso de reporting, definiendo un modelo que integre la información de carácter no financiero de la organización en una plataforma tecnológica única que permita centralizar y optimizar la recopilación de datos digitalmente, así como el cálculo de indicadores y generación de reporting de manera automática. Este modelo permite liberar recursos para focalizarse en tareas de análisis y revisión de calidad de los resultados obtenidos, que posteriormente serán clave para la definición de planes estratégicos en materia ESG y para la toma de decisiones relevantes.