 Miguel Pérez-Ayala I. Naturaleza
El Informe en el ámbito de la supervisión prudencial, es de periodicidad anual, deberá ser consensuado en sus fechas por anticipado con la Entidad objeto de auditoría, y se debe entender como independiente del trabajo de auditoría de las cuentas anuales, obligando a los auditores externos a hacer mención expresa de opinión de los Sistemas de control interno en relación a dos ejes fundamentales:
> Instrumentos Financieros1
> Depósitos de Fondos de los clientes2
El carácter independiente del Informe nos hace preguntarnos si puede o debe ser realizado por Auditores distintos a los que se les encomienda la Auditoría financiera de cuentas anuales, o sería más adecuado la realización por los auditores que realizan la Auditoría Externa Operacional. Igualmente, la extensión de la Carta de Encargo3 de estos últimos, parece cuadrar más con el objeto del informe y las pruebas de verificación a realizar.
II. Metodología
La verificación de las pruebas como parte del proceso de auditoría, se debe realizar siguiendo técnicas estadísticas, en muestras con nivel de confianza (probabilidad de que el número real de partidas con desviaciones respecto a una pauta existente en una población no exceda de una determinada cuantía) del 95% y con un error de muestra tolerable que deberá ser inferior o igual al 5% para cada uno de los puntos objeto de revisión.
Debe existir proporcionalidad, dado que el alcance las muestras debe estar proporcionado al tamaño y escala de actividades de la Entidad o Grupo de Entidades a auditar.
La metodología empleada deberá estar a disposición de la Comisión Nacional del Mercado de Valores. Se debe optar por una técnica de muestreo (muestreo estadístico aleatorio)4 en lugar de la técnica de look through (revisión de cada una de las fases de desarrollo de cada uno de los procedimientos). Esta última técnica implicaría unos elevados costes para la Entidades por el número de horas dedicadas por la auditoría a la realización de pruebas de verificación.
La transmisión telemática del informe se podrá realizar a la Comisión Nacional del Mercado de Valores5, a través del sistema CIFRADOC/CNMV6, como sistema que garantiza la encriptación y cifrado de información, lo que contrasta con la publicidad exigida por la Auditoria financiera de cuentas anuales y se adapta más correctamente a la Auditoría externa de operaciones. En este sentido, debemos destacar que el Informe tiene un carácter reservado y será preparado para los fines indicados en el marco de las funciones de supervisión e inspección atribuidas a la Comisión Nacional del Mercado de Valores y, en su caso, al Banco de España.
Recordemos que los documentos presentados por este medio tienen la misma validez jurídica que si hubiesen sido presentados por cualquier otro de los especificados en la Ley 30/1992, de Régimen Jurídico y Procedimiento Administrativo Común.
III. Estructura
El Informe se estructura en un Cuerpo Principal y cuatro secciones:
1. Opinión del Auditor Externo (Cuerpo Principal)
2. Pruebas realizadas sobre los instrumentos financieros y los fondos de los clientes (primera y segunda sección)
3. Debilidades significativas y excepciones identificadas, así como las limitaciones al alcance producidas (tercera sección)
4. Recomendaciones (cuarta sección)
1. Opinión del Auditor Externo (Cuerpo Principal)
El trabajo se debe realizar de acuerdo con el contenido exigido por la propia Circular siendo el Consejo de Administración u órgano equivalente el último responsable de establecer las medidas y normas relativas a los procedimientos y medidas de control establecidas.
2. Pruebas realizadas sobre los instrumentos financieros y los fondos de los clientes (Primera y Segunda sección)
En la realización de las pruebas pueden surgir errores en los sistemas de control interno que la Entidad tenga establecidos por una mala comprensión de las instrucciones, errores de juicio, falta de atención personal, fallo humano, colusión entre varias personas para eliminar la aplicación de un determinado control, irregularidades o actuaciones fraudulentas, decisiones erróneas o irregulares y la posibilidad de que, en departamentos, oficinas o sucursales de tamaño reducido, no se puedan llevar a cabo medidas de control basadas en segregación de funciones.
Las Áreas a revisar tanto sobre Instrumentos Financieros como sobre Fondos de Clientes por el Auditor externo son:
A. Medidas Organizativas7: Se exige la existencia de procedimientos escritos, que identifiquen los riesgos y controles asociados, la gestión, resolución y reporte de incidencias al Consejo de Administración u órgano de dirección equivalente.
a) Contratos y cuentas asociadas: Se debe verificar la existencia de un procedimiento y contratos relativos a Instrumentos Financieros y sobre Fondos de clientes cumplimentados y firmados.
b) Archivo de documentación y tratamiento de la información: Existencia de un procedimiento de remisión de los documentos en fecha y conforme a normativa a los clientes y personas autorizadas.
c) Operaciones financieras: Debe existir un procedimiento de registro y separación de negocios jurídicos sobre instrumentos financieros (compraventa, liquidación, préstamo de valores, traspasos, depósito IIC, reclamaciones, gestión accionistas) separado la de la financiación de los mismos
d) Análisis y selección de custodios elegibles: Procedimiento de elección, designación, aprobación y revisión periódica de custodios.
e) Conciliaciones: Se debe señalar el objeto de la conciliación y las fechas de las mismas.
f) Personal y Segregación de funciones: Instrucciones de manipulación y gestión documental por el personal y un procedimiento de control que garantice que el personal autorizado tiene los conocimientos y experiencia requeridos.
g) Controles y reportes: Se verificarán los reportes internos realizados al Consejo de Administración o por delegación al Comité de Auditoría y Control. caso de existir, el Informe de Auditoría relativo a la adecuación de lo requerimientos establecidos por el IRS para entidades definidas como QI (Qualified Intermediary) o PAI (Private Arrahge Intermediary)
h) Seguridad: Se verificará la existencia de passwords y controles de accesos de las personas autorizadas lo que implica una Auditoría de Seguridad que excedería el ámbito de la Auditoría financiera.
B. Registros Contables8: Los registros de operaciones son exactos y su imputación se realiza a las cuentas correctas.
- Soporte documental y registro: Deben existir detalles diarios, documentos de negocios jurídicos, fechas de recepción y salida, verificación de requisitos de identificación, registros de facturación o abonos,...
C. Conciliaciones9: Se realizan controles periódicos de posición con las conciliaciones.
- Proceso: La Entidad debe recibir al menos trimestralmente estado de conciliación de instrumentos financieros depositados y lleva a cabo conciliaciones con las confirmaciones recibidas de sus custodios de acuerdo con las instrucciones escritas de sus clientes.
- Resultados: Los Resultados de las conciliaciones deben ser archivadas incluyendo explicaciones por escrito de las desviaciones o diferencias encontradas en las mismas.
- Diferencias: Deben ser subsanadas en un periodo razonable, garantizar el doble chequeo ("double check" o "four-eyes") por persona distinta a la que realiza la conciliación y aplicando medidas correctivas de las detectadas y preventivas para que no se vuelvan a repetir en el futuro cuando estas tienen un carácter permanente.
D. Separación y Segregación10: Establecimiento de reglas de separación con los otros clientes y con la propia Entidad.
- Identificación: Listados de cuentas y clientes deben estar correctamente registrados y a disposición de la Auditoría.
- Distinción de Instrumentos financieros en poder de terceros: Deben estar correctamente separadas las posiciones de la Entidad y las posiciones del custodio.
- Préstamo de Valores: Caso de existir, se debe contrastar el detalle sobre los instrumentos prestados y las garantías aportadas.
E. Salvaguarda y Custodia11: Designación y revisión periódica de los acuerdos de tenencia y custodia de instrumentos y fondos
- Custodios elegibles: Entendiendo por tales, las entidades que realicen la prestación de los servicios auxiliares de custodia y administración por cuenta de clientes de los instrumentos financieros y de recepción de fondos de clientes. Se debe contrastar el rating, solvencia, certificación SAS 70 en la selección designación y revisión periódica de dichos custodios elegibles
- Custodios en estados con / sin regulación de custodia: En el primer caso son terceros elegidos por la Entidad que están domiciliados en estados que sujetan a regulación la custodia. En el segundo caso los clientes son profesionales y la custodia se exige por terceros por solicitud por escito para que así se realice.
- Utilización de los instrumentos financieros de los clientes por la Entidad: Los archivos deben estar ajustados a las instrucciones, condiciones especificadas y aceptadas por los clientes. En el caso de clientes minoristas deberá constar en un documento escrito con la firma del cliente.
- Cuentas globales: En el caso de depósito en Cuenta global, las posiciones de los clientes deben estar perfectamente identificadas mediante registros apropiados y de acuerdo a la naturaleza de las instrucciones recibidas.
Debemos hacer notar que ha quedado fuera de las Áreas a revisar por el Informe la clasificación de Clientes Minoristas y Profesionales (Incluyendo contrapartes elegibles) exigido por la normativa MiFID, en particular, sobre si la Entidad proporciona a los clientes, incluso potenciales, toda la información requerida por la normativa12.
3. Debilidades significativas
Opinión del informe del auditor cuando sobre el trabajo realizado se han identificado situaciones de inexistencia de medidas organizativas formalizadas a través de procedimientos escritos que podrían afectar de manera significativa a la afirmación de que la Entidad cuenta con procedimientos efectivos y sistemas internos de control adecuados que permiten garantizar razonablemente el cumplimiento de las normas y requisitos establecidos sobre protección de los activos de los clientes y evitar su utilización indebida
4. Recomendaciones
Son las sugerencias propuestas por el auditor para mejorar el control interno, los procedimientos y sistemas de protección de activos de la entidad. Su contenido será una descripción de las sugerencias propuestas por el auditor, y puestas de manifiesto como resultado de la revisión de las áreas sobre la custodia de instrumentos financieros o el depósito de los fondos recibidos de los clientes.
IV. Tipos de Entidades a Auditar
a) Las sociedades y agencias de valores que presten servicios de custodia y administración por cuenta de clientes o mantengan fondos de sus clientes en relación con la ejecución de operaciones desarrolladas por cuenta de ellos o bien presten servicios de gestión discrecional e individualizada de carteras.
b) Las entidades de crédito en la medida que presten servicios de inversión.
c) Las sociedades gestoras de carteras presten servicios de gestión discrecional e individualizada de carteras de inversión con arreglo a un mandato conferido por los clientes que les otorgue poder de disposición sobre los instrumentos financieros o fondos de aquéllos.
d) Las sociedades gestoras de instituciones de inversión colectiva que presten servicios de custodia y administración de las acciones y participaciones de inversión colectiva, o de gestión discrecional e individualizada de carteras.
V. Conclusiones
Por las razones mencionadas el Informe de Protección de Activos de Clientes es un Informe anual, consensuado en sus fechas, independiente, que responde a una obligación legal y se enmarca dentro de la supervisión prudencial. Tiene además un carácter reservado y será preparado para los fines indicados en el marco de las funciones de supervisión e inspección atribuidas a la Comisión Nacional del Mercado de Valores y, en su caso, al Banco de España.
En nuestra opinión debe ser realizado por la Auditoría Externa de Operaciones con preferencia a la Auditoría financiera por el carácter de las pruebas a realizar y por el carácter independiente que tiene frente a las Cuentas Anuales. Pruebas de verificación sobre personas autorizadas, passwords y controles de accesos exceden la cualificación de los auditores financieros y parecen cuadrar más con auditores externos de operaciones.
Han quedado fuera de las Áreas a revisar por el Informe la clasificación de Clientes Minoristas y Profesionales (Incluyendo contrapartes elegibles) exigido por la normativa MiFID, en particular, sobre si la Entidad proporciona a los clientes, incluso potenciales, toda la información requerida por la normativa.
El plazo de conservación del Informe, por su carácter de documentos mercantiles es de 5 años si bien el plazo abierto a la Inspección del mismo por la Comisión del Mercado de Valores sería de 4 años.
Notas
1. Artículo 2 de la Ley 24/1988 de 28 de Julio del Mercado de Valores
2. Dinero, cheques u otra forma de efectivo, que, en la prestación de un servicio de inversión, la entidad recibe, retiene o liquida por cuenta del cliente.
3. Modelo en "El Control Interno de Entidades Financieras".Ediciones Amaniel.2009.
4. Utilizado por ejemplo en el Informe para el IRS US Department relacionado con declaración de ingresos sujetos a impuestos de la Qualified Intermediaries
5. CIF Q-2891005-G
6. Aprobado por Acuerdo del Consejo de Administración de la Comisión Nacional del Mercado de Valores de 15 de septiembre de 2006
7. Artículo 39 e) RD 217/08
8. Artículos 39 a) y b) RD 217/08
9. Artículo 39 c) RD 217/08
10. Artículo 39 d) RD 217/08
11. Artículos 40 y 42 RD 217/08
12. artículo 65. RD 217/2008 |
