La función de auditoría interna de las sociedades gestoras (SGEIC) y su delegación

Golfe-Juan - Paul Signac

La Auditoría interna es una parte esencial del control interno de las sociedades gestoras de entidades de inversión de tipo cerrada (SGEIC), de igual modo que con las SGIIC. El control interno integra varias funciones entre las cuales se halla la auditoría interna y dicho control interno es llevado a cabo por distintos órganos, departamentos o personas, según el caso y bajo ciertas normas de compatibilidad.

Debido a la falta de normativa sobre las funciones de control interno y auditoría interna en la normativa sobre SGEIC, como la Ley 22/2014 (LECR), debe acudirse a la Circular 6/2009 para IIC y empresas de servicios de inversión, a fin de completar el entendimiento de su funcionamiento.

La unidad de control de la SGEIC, tiene la obligación de establecer, aplicar y mantener un plan que permita examinar y evaluar la adecuación y efectividad de los sistemas y mecanismos de control interno habilitados por la sociedad gestora. También debe informar regularmente, al menos con periodicidad anual, al Consejo de Administración de la sociedad sobre las actuaciones desarrolladas por la SGEIC en el periodo al que se refiere el informe respecto al grado efectivo de cumplimiento de los procedimientos internos implantados, así como de las principales incidencias registradas y debilidades detectadas y de las soluciones adoptadas o planteadas, según se trate, respectivamente, de incidencias o debilidades.

Cuando sea oportuno y proporcionado a la actividad de la gestora, deberán establecer y mantener una función de auditoría interna que esté separada y sea independiente de sus otras funciones y actividades. En el resto de los casos, la SGEIC deberá contar con alguien que se haga cargo de esas funciones bien desde el seno de la entidad, bien mediante la delegación de la función en un tercero.

Tal y como se establece en la Circular 6/2009 de la CNMV, se entiende que el control interno de una SGIIC o sociedad de inversión, incluye las funciones de gestión de riesgos y cumplimiento normativo. Sin embargo, las sociedades gestoras, por norma general, deben crear y mantener una unidad de gestión de riesgos, una unidad de cumplimiento normativo y una unidad de auditoría interna que funcionen de manera independiente, pero atendiendo a la naturaleza, volumen y complejidad de sus actividades y de las IIC gestionadas (o en el caso de las SGEIC, de las ECR gestionadas), se permite que las sociedades gestoras y sociedades de inversión puedan constituir una única unidad, dentro de la organización, encargada del ejercicio de las funciones de cumplimiento normativo y gestión de riesgos. Como consecuencia de ello, multitud de sociedades gestoras de pequeño tamaño optan por delegar la auditoría interna de la entidad en un tercero y, en cambio mantienen las funciones de gestión de riesgos y cumplimiento normativo en sede de un órgano interno específico de la entidad.

En relación con la auditoría interna, cabe mencionar la Norma 6 sobre auditoría interna (en las SGEIC estas normas se ajustan a su tipología, especialmente reduciendo ciertas obligaciones para las SGEIC no sujetas al Capítulo II del Título II), se identifican las siguientes normas de funcionamiento:

1) Depender de una persona en la organización con suficiente autoridad para promover la independencia y garantizar una amplia cobertura de la función de auditoría interna, así como la adecuada consideración de las comunicaciones de los trabajos realizados y de las acciones apropiadas sobre las recomendaciones efectuadas, reportando directamente al consejo de administración de la sociedad gestora o sociedad de inversión o, en su caso, al comité de auditoría de la sociedad gestora o sociedad de inversión.

2) Elaborar y mantener un plan de auditoría, aprobado por el consejo de administración de la sociedad gestora o sociedad de inversión, o por el consejo de administración de la entidad del grupo al que pertenece la sociedad gestora que haya asumido la función de auditoría interna de acuerdo con lo previsto en la Norma 8.ª, dirigido a examinar y evaluar la adecuación y eficacia de los sistemas y procedimientos de control interno (incluyendo los planes de continuidad del negocio y recuperación de desastres), formular recomendaciones a partir de los trabajos realizados en la ejecución del mismo y verificar el cumplimiento de las mismas, contribuyendo de esta forma a la mejora de los sistemas y procedimientos de control interno.

3) Asimismo, la función de auditoría interna deberá elaborar anualmente un informe sobre el resultado de sus actividades, que será remitido al consejo de administración de la sociedad gestora o sociedad de inversión, y enviado a la Comisión Nacional del Mercado de Valores.

Debido a la carga de trabajo y costes de mantener las funciones de auditoría interna, es habitual que ésta se delegue a terceros, especialmente, debido a la imposibilidad de compaginar esta función con otras, tal y como hemos visto. Es decir, debido a que esta función no se puede compaginar con las de gestión de riesgos, ni la de cumplimiento normativo, ni la de gestión de inversiones.

Cuando se delega la auditoría interna se delega una parte esencial de la función de control interno, pudiéndose delegar también otras funciones propias de la función de control interno, como la supervisión del cumplimiento del Reglamento Interno de Conducta, pero no se puede delegar a la misma entidad tanto la auditoría interna como la gestión de riesgos y el cumplimiento normativo, en tanto la función de auditoría interna supervisa el cumplimiento de los sistemas y procedimientos de gestión de riesgos y de cumplimiento normativo, produciéndose una autorevisión si eso se permitiera.

Ante esta situación, es habitual que el Consejo de Administración pueda mantener la función de cumplimiento normativo y gestión de riesgos (funciones ambas de control interno), pero delegar a un tercero o asignar a otro órgano dentro de la SGEIC la función de auditoría interna y supervisión del Reglamento Interno de Conducta, ambas siendo también funciones de control interno. Sin embargo, en sociedades gestoras de pequeño tamaño, también es habitual que el Consejo de Administración quiera mantener la función de gestión de inversiones y desinversiones, peor esta función no puede compaginarse con la la función de cumplimiento normativo y gestión de riesgos, de modo que el Consejo de Administración de las sociedades gestoras debe elegir entre una función o las otras.

Sobre más información sobre las principales funciones de las sociedades gestoras, se puede ver esta entrada anterior del blog.