KPMG Blogs

open

Author Archives: kpmg españa

Las ‘sandbox’ como nueva herramienta regulatoria

Por kpmg españa
on 26. 04. 2017

Literalmente, el concepto anglosajón de “sandbox” significa “caja de arena” y se refiere a un espacio de juego infantil aunque, en realidad, podríamos traducirlo también como una zona o espacio de pruebas.

En el ámbito regulatorio esta expresión se utiliza para definir un fenómeno específico: el reconocimiento por parte de un supervisor público de un espacio en el que los operadores pueden desarrollar una determinada actividad al amparo de una autorización administrativa especial o temporal sin aplicar -total o parcialmente- la regulación vigente en el ámbito de que se trate.

Es en definitiva,  un “espacio de prueba” en que un determinado producto, servicio o tecnología puede probarse en relación con un número determinado de personas/clientes, con la seguridad de que no existirán consecuencias sancionadoras por parte de los supervisores.

Esta técnica se está utilizando en diversos países (Reino Unido, Singapur, Malasia, Australia…) como medio para facilitar la innovación tecnológica  y la trasformación digital en el ámbito de los servicios financieros y, actualmente, en relación con las actividades desarrolladas por el mundo Fintech e Insurtech.

Recientemente, la Asociación Española Fintech e Insurtech ha reclamado en su Libro Blanco de la regulación Fintech en España la utilización de instrumentos similares por parte de los supervisores financieros en España lo que requeriría, para evitar situaciones de inseguridad jurídica, la introducción de alguna habilitación legal.

En definitiva, se trata de evitar que la regulación pueda convertirse en un freno para la innovación tecnológica y el desarrollo de nuevos productos y servicios que aporte valor añadido a los clientes.

Creo que una iniciativa de esta índole –ante la que la CNMV acaba de mostrarse favorable- podría ser positiva, siempre que este instrumento estuviera también disponible para los actores tradicionales (bancos, aseguradoras, etc.) en sus procesos de transformación y desarrollo de nuevos productos.

No obstante, quizá debería complementarse el uso de estos instrumentos “innovadores” de la regulación con otros más tradicionales pero quizá más efectivos como la revisión de aquellos aspectos de la regulación financiera que constituyen un obstáculo a la innovación sin ventaja aparente desde el punto de vista prudencial o que crean una distorsión regulatoria que perjudica a unos actores frente a otros.

Les pongo un ejemplo concreto: la aplicación de las nuevas reglas sobre políticas retributivas en las entidades de crédito a los profesionales que tienen encomendadas funciones relacionadas con la innovación.

A menudo, esos profesionales provienen de ámbitos en que rigen difícilmente encajables en la rigidez de las normas sobre retribuciones en las entidades de crédito.

Seguramente razonables, o al menos comprensibles, en otros ámbitos, y especialmente en lo relacionado con la gestión de riesgos, se trata de medidas que dificultan al sector financiero la captación de talento sometiéndoles a reglas y limitaciones que no se aplican a otros sectores ni a sus nuevos competidores y que, sinceramente, creo que no contribuye en nada a mejorar la gestión del riesgo en la entidad.

Al margen de la novedad (seguramente positiva) del “sandbox”, y de la conveniencia de su introducción entre nosotros, no deberíamos perder la oportunidad de modificar o derogar las normas cuyos efectos negativos superan a sus hipotéticos beneficios y que, concretamente, pueden suponer un freno a la innovación en el ámbito de los servidos financieros, los preste quien los preste.

 

Autor: Francisco Uria es socio principal de KPMG Abogados y socio responsable del sector financiero

Fuente: Cinco Días. Publicado el 26 de abril de 2017

El Libro Blanco de Compliance

Por kpmg españa
on 07. 03. 2017

Ya se puede descargar libremente el Libro Blanco sobre la Función de Compliance elaborado por la Asociación Española de Compliance, y en el que han participado diferentes instituciones nacionales. Es un avance significativo en esta materia, pues es el primer documento que reproduce sistemáticamente los cometidos esenciales de la función de Compliance, partiendo de lo establecido en textos y estándares de aceptación general. El hecho de que hayan colaborado instituciones de prestigio, brinda un texto que transmite el estado del arte en esta materia y consolida una visión de consenso sobre Compliance, compartida por diferentes operadores sociales y económicos.

El Libro Blanco no es un ensayo, una obra de investigación o un texto teórico sobre el Compliance, sino un documento eminentemente práctico que recoge, en líneas muy ejecutivas, los aspectos que definen a la función de Compliance, de acuerdo con una serie de marcos de referencia que relaciona en su Anexo. A través de enunciados claros y concisos, se abordan los aspectos clave de esta función, posibilitando que quienes la desempeñan puedan comprobar si gestionan cuestiones que normalmente se ubicarían en su órbita de responsabilidades. Sin embargo, no debe confundirse el objetivo del texto, que no es convertirse en un estándar sobre programas, modelos o sistemas de gestión de Compliance, proyectándose exclusivamente a delimitar las actividades propias de sus responsables. Para ello, se aborda el Compliance desde una perspectiva amplia, de modo que los contenidos del Libro Blanco tanto aplican a modelos transversales complejos (superestructuras de Compliance) como a sistemas específicos sobre algún ámbito en particular (modelos de prevención penal, por ejemplo).

El Libro Blanco comienza por establecer los objetivos esenciales de la función de compliance: prevenir, detectar y gestionar riesgos de incumplimiento, contribuyendo a promover una cultura adecuada en la organización. Para ello, aborda dos factores esenciales, que son su grado de autonomía e independencia. El primero se vincula con los elementos que la organización deberá dotarle para operar de manera autónoma, como son un conjunto suficientemente amplio de facultades y la autoridad suficiente para actuar sin necesidad de ser continuamente mandatada. El segundo guarda relación con la neutralidad en la toma de decisiones, apuntando las medidas que favorecen el alejamiento de la función respecto de ciertos intereses que pueden conculcar la neutralidad de sus análisis. A partir de ahí, señala los cometidos básicos de Compliance en relación con los siguientes aspectos: las obligaciones que le afectan por cuanto determinan qué se debe cumplir, la evaluación de los riesgos y controles en relación con ellas, las acciones de formación y concienciación, las tareas de asesoramiento y reporte, la actuación en relación con los canales internos de denuncia y el mantenimiento de la documentación relacionada con el Programa de Compliance. El Libro Blanco aborda, finalmente, la necesidad de monitorizar el Programa de Compliance y dedica también un apartado a tratar cuestiones relacionadas con el perfil y responsabilidades de los profesionales que desempeñan cometidos vinculados con el mismo. Este último apartado es útil para interpretar correctamente el ámbito de sus responsabilidades legales, de modo que no alcancen materias o decisiones que se hallan claramente fuera de sus capacidades de gestión.

El Libro Blanco es un documento indispensable no sólo para que el Compliance Officer pueda valorar si está considerando todos los aspectos que suelen atribuirse a su área de competencias, sino también para que terceros puedan valorar su desempeño de una forma realista y dimensionar adecuadamente los recursos que precisa. Dadas las expectativas que ha generado el Libro Blanco dentro y fuera de nuestra jurisdicción, se está traduciendo a la lengua inglesa, para facilitar su difusión en otros países y su empleo en organizaciones multinacionales.

Además de conocer qué actividades se consideran propias de la función, es importante desarrollarlas de manera colaborativa con otras áreas o funciones sinérgicas en la organización, potenciándose mutuamente. El Capítulo tercero de la Serie de videos Compliance Basics aborda esta materia, de modo que los responsables de la función de Compliance puedan identificar y relacionarse con otros profesionales en la empresa en ámbitos que reforzarán sus capacidades.

Prueba 3

Por kpmg españa
on 22. 02. 2016

prueba

KPMG España en los congresos URJC TechFest y TASSI (UPM)

Por kpmg españa
on 05. 02. 2016

Buenas a todos, la semana que viene el equipo de ciberseguridad de KPMG España impartirá varias conferencias en los congresos URJC TechFest y TASSI (UPM), relacionadas con el ámbito del hacking ético, el malware y el desarrollo de soluciones de ciberseguridad.

El lunes, nuestro compañero Juan Antonio Calles responsable del laboratorio de ciberseguridad de KPMG, participará en el TechFest impartiendo una conferencia sobre metodologías de búsqueda OSINT junto a Pablo González a las 19:00h.

El martes, nuestro compañero del equipo de hacking ético, Jesús Alcalde, impartirá un interesante taller introductorio al desarrollo de soluciones de ciberseguridad con la tecnología Node.js a las 17:00h.

El miércoles, nuestro compañero del equipo de ciberinteligencia, Álvaro García, impartirá junto a Juan Antonio Calles un completo taller sobre análisis de malware en smartphones a las 19:00h.

Finalmente, el jueves, Juan Antonio Calles impartirá un taller sobre seguridad en Android y análisis del malware, donde presentará desde un punto de vista práctico las distintas tipologías de malware, técnicas utilizadas, medidas de evasión de sistemas antivirus y metodologías para afrontarlos.

El contrato de mediación inmobiliaria. Caracteres y distinción con el contrato de agencia. Aspectos prácticos

Por kpmg españa
on 03. 02. 2016

En muchas ocasiones, vendedores y agentes que intervienen en el mercado inmobiliario creen de manera equivocada haber suscrito un contrato de agencia para la venta puntual de un inmueble, cuando en realidad el negocio jurídico celebrado es el de mediación inmobiliaria. La diferencia es importante, ya que a pesar de que la naturaleza de una y otra figura guarda cierta similitud como contratos de gestión que son ambos, nos encontramos ante negocios jurídicos distintos y, por tanto, merecedores también de un tratamiento jurídico diferenciado en determinados aspectos.

Introducción a Bitcoin. ¿Es este el fin de esta criptomoneda?

Por kpmg españa
on 21. 01. 2016

Buenas a todos, me inicio en el blog con un tema controvertido, por los diversos usos que se le pueden dar a esta tecnología llamada Bitcoin. Se conoce por Bitcoin a una moneda criptográfica digital de intercambio. Dicha moneda se sustenta en un protocolo y una red P2P consensuada, que se conocen por el mismo término de Bitcoin.

El protocolo de Bitcoin es anónimo y descentralizado, esto es, no está respaldado por algún gobierno, ni depende de la confianza de un emisor central. Por el contrario, utiliza un sistema de prueba de trabajo para alcanzar un consenso entre todos los nodos que integran la red.

En 1998 Wei Dai propuso la idea de un nuevo tipo de dinero que utilizara la criptografía para controlar su creación y las transacciones, en lugar de que lo hiciera una autoridad centralizada. La primera implementación de esta propuesta se materializó en 2008, cuando la persona o grupo de personas bajo el sobrenombre de Satoshi Nakamoto publican un artículo en la lista de criptografía de metzdowd.com donde describe el protocolo Bitcoin. Posteriormente, El 3 de enero de 2009 la red P2P de Bitcoin entra en funcionamiento con la publicación del primer cliente, de código abierto, y la creación de los primeros bitcoins. Esta tecnología supuso un cambio, pues hasta su invención era obligado que todos los pagos en el comercio electrónico se canalizaran a través de entidades centralizadas de confianza,generalmente bancos y otras empresas financieras. Satoshi abandonó el proyecto a finales de 2010 sin revelar mucho sobre su persona. Cuatro años después de su puesta en marcha, la moneda digital pasó de valer apenas unos céntimos a más de 1000 euros por unidad. En diciembre del año pasado, la policía australiana llevó a cabo una labor de investigación por la que se cree que Craig Wright, un emprendedor australiano, podría ser el creador de la divisa digital, y por consecuente, enfrentarse a la imputación de un delito federal en Estados Unidos, que considera que dicha moneda atenta contra el dólar.

Para poder gestionar Bitcoins se necesita un archivo denominado billetera o monedero Bitcoin, que contiene las claves criptográficas de los bitcoins que poseemos. Estas claves son la parte privada de la clave asimétrica (clave pública y privada) que forman el Bitcoin. Las  claves privadas garantizan la unicidad y la privacidad de dicho bitcoin y garantizan la propiedad y la autorización de pagos. Estos monederos pueden ser operados mediante el cliente oficial de Bitcoin, el cual habría que instalar y no permite funciones como el soporte de múltiples carteras, o mediante servicios online (Armory, Multibit y Blockchain.info entre otros).

El bitcoin, al ser una divisa, está sujeto a la ley del mercado, por lo que su precio varía dependiendo de la oferta y la demanda de dicha moneda. Cuando dos usuarios realizan una transacción de bitcoins (pago o cobro con dicha moneda) se procede a realizar la validación o puesta en común de dicha operación por parte de otros usuarios de la red P2P. Las transacciones se agrupan en bloques, que han de ser procesados mediante un gran esfuerzo de cálculo que aportan los usuarios que lo validan. Estos usuarios son los denominados mineros. Como recompensa a este cálculo, se genera un nuevo bloque con un nuevo bitcoin sin dueño, que se lo reparten los mineros

KPMG - Gráfico bitcoin

Debido al creciente uso de esta criptodivisa y su límite en el tamaño de los bloques(1Mb), el 12 de Enero se anunció que se ha llegado al punto en el que la tasa de creación de bloques de transacción es inferior al número de transacciones que se crean–actualmente se generan 3 transacciones por segundo-, por lo que el algoritmo no da abasto en la creación de bloques. Este hecho repercute en que las transacciones se encolen hasta poder formar bloque y pasen de tardar minutos en validarse como pasaba anteriormente, a que incluso tarden horas en procesarse públicamente. Este hecho ha molestado a la comunidad que usaba Bitcoins, lo que se ha materializado en la venta masiva de esta divisa y su consecuente devaluación. Es por esto por lo que muchos piensan que es el fin del Bitcoin tal y como lo conocemos.

Es por este motivo por el que se ha producido un fork del Bitcoin Core, una nueva rama a partir del núcleo del protocolo, el denominado Bitcoin XT. Este fork defiende la cambiabilidad del tamaño de bloque, dependiendo del estado de la red. Así pues, si existe mucho tráfico de transacciones, el tamaño de bloque aumentará habilitando que en un bloque exista un número mayor de transacciones.Sin embargo este hecho produciría un menor número de bloques generando menos Bitcoins, hecho que a los grandes mineros perjudicaría.

Una de las claves del éxito de esta divisa es su característica anonimidad. En Bitcoin todas las transacciones se almacenan de forma pública y permanente en la red, por lo que se pueden rastrear las transacciones a través de los monederos. Sin embargo, la identidad del usuario es completamente anónima. Esta característica es muy demandada cuando las transacciones que se van a llevar a cabo no son del todo legales, llegando a ser actividades completamente ilegales. Por eso que se ha popularizado su uso en los black markets de la Deep Web –la “web profunda”, una serie de tiendas clandestinas en las que se puede adquirir de forma irregular todo tipo de artículos ilegales: armas, drogas, dispositivos robados, pasaportes, credenciales bancarias y un largo etcétera.

A pesar de estos usos, el protocolo Bitcoin puede ser usado para obrar con transparencia, puesto que las transacciones son públicas e imborrables. Estas transacciones quedan registradas y pueden ser comprobadas por cualquiera que así lo desee. Para ahondar más en este aspecto, desde KPMG recomendamos la lectura de artículos de la firma ya publicados:

En definitiva, la tecnología Bitcoin puede ser un arma de doble filo: por un lado permite anonimato y descentralización, usados para actividades fraudulentas; y por otro puede ser un estándar para la transparencia, debido a la inmutabilidad y publicidad de sus transacciones. Habrá que estar atentos al futuro de esta tecnología.

¡Saludos!

Compañías de Telecomunicaciones y ciberataques

Por kpmg españa
on 12. 01. 2016

Nunca hasta ahora se había visto un cambio tan amplio en la variedad y volumen de las ciberamenazas como durante el último año 2014. En España esa tendencia se ha confirmado en la evolución de 2015, en la que el número de incidentes de ciberseguridad identificados prácticamente triplica al total de incidentes registrados en todo el año pasado.

Uno de los principales vectores de amenazas en el sector de las telecomunicaciones es el riesgo de proliferación de las intrusiones a través de dispositivos móviles, cuya ubicuidad ha agravado los riesgos de seguridad.

Pero si la movilidad representa un desafío de seguridad urgente para las empresas de telecomunicaciones, hasta la fecha no se ha hecho demasiado para implementar las medidas de seguridad. A nivel europeo, sólo el 45% de las organizaciones de telecomunicaciones tiene una estrategia de seguridad de dispositivos móviles en marcha.

Otro aspecto importante a tener en cuenta es la proliferación en el desarrollo de aplicaciones específicas para móviles. Esta tendencia imparable acarrea grandes riesgos cuando no se despliega una adecuada metodología de desarrollo seguro y se implantan prácticas de cifrado de datos tanto en el almacenamiento en los dispositivos como en la capa de transporte.

De la misma manera que el uso de los móviles ha aumentado, también lo ha hecho la utilización de servicios de computación en la nube, en la que los operadores de telecomunicación juegan un papel preponderante. Hoy en día más del 50% de los operadores utilizan este tipo de servicios, aunque pocas veces se hace el debido hincapié en las implicaciones de seguridad en que puede derivar su uso.

Es fundamental que los operadores implanten políticas que formalicen las bases de seguridad en el uso de la nube, incluyendo el cifrado de datos, la protección de los datos críticos para el negocio y la garantía de que los proveedores de servicios se adhieren a las normas de seguridad y regulaciones propias del sector con respecto a dónde se pueden almacenar los datos. También deben exigir que los proveedores de la nube de terceros sigan las prácticas de seguridad.

Los operadores de telecomunicaciones son expertos en la protección de sus propias redes pero también es cierto que los ciberdelincuentes emplean su infraestructura como principal medio de transporte para la mayoría de los ataques, aprovechándose de la propia robustez de la red, su nivel de penetración y sus niveles de servicio.

Así, el despliegue de servicios de acceso de banda ancha proporciona mejor servicio a los clientes pero también mejores vías de ataque por parte de los cibercriminales.

El fenómeno de las botnets, o redes de ordenadores zombis que son infectados por un atacante que puede controlarlos desde un único servidor para perpetrar ataques masivos, está creciendo cada vez más. Esto se debe, entre otras razones, a que hay muchos más ordenadores susceptibles de ser atacados (los equipos domésticos con menos niveles de seguridad) y con mejores capacidades de conectividad (el acceso a Internet con servicios desde los 30 hasta los 300 megas). Este escenario de progreso indudable conlleva a la par un aumento de las posibilidades para los ciberdelincuentes.

Tarde o temprano el operador de telecomunicaciones tendrá que tomar una acción para proporcionar servicios de seguridad sobre la red de acceso. En España, algunos de los principales operadores están realizando fuertes inversiones en desarrollar soluciones para sus clientes en este terreno, aunque dichas soluciones para ser efectivas desde un punto de vista de los consumidores, deberían estar coordinadas y realizadas de manera conjunta para poder garantizar su efectividad.

Es necesario evolucionar hacia una mayor inteligencia en seguridad y garantizar que los incidentes de seguridad pasen a ser tenidos en cuenta como un riesgo crítico para el negocio. Aunque estas amenazas no siempre se pueden prevenir, sí pueden ser controladas a niveles aceptables.

Lo fundamental para lograrlo es el compromiso de los operadores de telecomunicaciones sobre cuatro principios: la seguridad es ahora un imperativo; las amenazas de seguridad son riesgos para el negocio; la información más valiosa de la empresa debe estar siempre protegida en todos los procesos y situaciones; y las inversiones deberían seleccionarse teniendo en cuenta los activos más críticos, las amenazas del ecosistema y sus vulnerabilidades.

Francisco Javier Santos Ortega es director responsable de Ciberseguridad en IT Advisory de KPMG en España

Artículo publicado originalmente El Mundo el 3 de enero de 2016

La difícil tarea de gestionar la nueva regulación bancaria

Por kpmg españa
on 20. 07. 2015

La vigilancia por parte de los reguladores ha sido un denominador común para las entidades financieras durante muchos años, particularmente después de la crisis económica global más reciente. Muchos grandes bancos tuvieron que ser rescatados por los gobiernos para evitar su quiebra y las posibles consecuencias drásticas que la caída de una entidad G-SIFI (entidad financiera de importancia sistémica global) habría causado a la economía mundial y al público en general.

En un esfuerzo por impedir que se produzca una crisis similar en el futuro, organismos reguladores tanto de Europa como de Estados Unidos han desarrollado pruebas de resistencia (stress tests) a las que tienen que someterse entidades financieras y bancarias que superen los tamaños especificados. En Europa, el Banco Central Europeo (BCE) ha desarrollado la Prueba de Resistencia para la Evaluación Global (CAST, por sus siglas en inglés). En Estados Unidos, el Banco de la Reserva Federal (FRB) ha desarrollado el Análisis y Revisión Integral de Capital (CCAR). El objetivo de estos ejercicios consiste en evaluar la capacidad de grandes entidades financieras para resistir cambios en la economía, especialmente cuando son negativos.

En KPMG en Estados Unidos hemos examinado de primera mano cómo está influyendo el CCAR en las entidades financieras de importancia sistémica global. Por un lado, todos son conscientes de que este ejercicio de resistencia está contribuyendo a mejorar la gobernanza de la adecuación del capital de las sociedades de cartera o holding (BHC) de los bancos. Por otro lado, el coste y el esfuerzo que están dedicando estas sociedades a “superar” el CCAR  son sustanciales y lo abarcan todo, y las BHC aún se encuentran en fase de mejora continua.

Algunas de las debilidades comunes que han identificado estos exámenes en el grupo de bancos de EEUU son, entre otras, las siguientes: calidad de los datos, modelos operativos, validación de modelos de riesgos, cobertura de pruebas de auditoría interna y planificación de la resolución.

En lo que respecta a la calidad de los datos, las BHC están observando incoherencias entre los informes generados para los procesos habituales del negocio (business as usual) y  los que se presentan ante los supervisores para superar las pruebas de capital. Es probable que los reguladores ejerzan una mayor presión sobre los bancos para mejorar la calidad de los datos y crear un plan para lograr un proceso de CCAR más sostenible y automatizado. Además, los reguladores exigen cada vez más a las matrices de las entidades que demuestren cómo se están incorporando los resultados del ejercicio CCAR en sus operaciones. Con este objetivo, los bancos notarán estos impactos en sus prácticas de gestión de datos, soluciones de sistemas y, en última instancia, los modelos operativos. Adicionalmente, las tareas de automatización pueden influir en los presupuestos y en la planificación de su  implantación. Los esfuerzos por incorporar los resultados del ejercicio CCAR en los procesos habituales de negocio también se extenderán a todos los niveles de la organización y, por lo general, suelen exigir mucho más tiempo y colaboración entre funciones de lo inicialmente previsto por los bancos.

En cuanto a los modelos operativos, el sector seguirá debatiendo la cuestión de si la responsabilidad con respecto al CCAR se centraliza o descentraliza. No es probable que se llegue a una solución hasta que se logre mejorar los sistemas permitiendo una mejor recopilación de datos  de las áreas de negocio (front office) y de apoyo en la designación de actividades, o cuando las normas estén codificadas de forma fija en programas automatizados. Mientras tanto, el sector operará en un modo híbrido en el que el área de atención al cliente, el riesgo regulatorio y las actividades de control se realizan, en gran medida, de forma manual y el cumplimiento normativo se confía a múltiples usuarios. Si se opta por un programa descentralizado, se necesitarán mayores controles en el área de atención al cliente y formación sobre la regulación además de una mayor confianza en los procesos de verificación de controles..

Para cumplir con las normas de presentación de información del CCAR, las entidades financieras han invertido una cantidad significativa de recursos para generar la información y la documentación requeridas. Por ejemplo, actualmente los documentos que deben presentarse al supervisor suelen consistir en un resumen ejecutivo del plan de capital de 300 páginas, que se complementan con documentación de más de 30.000 páginas. Para generar esta cantidad de información suelen asignarse al proyecto cientos de empleados, como mínimo.

La obligación de que un banco global complejo genere documentación tan detallada supone una carga para sus sistemas de tecnología de la información. A medida que un banco global continúa creciendo y adquiere otras entidades, el proceso de consolidación puede ser difícil. La preocupación por la calidad y la consistencia de los datos también fue una de las lecciones derivadas del AQR realizado por el BCE. Como se ha mencionado, los problemas de calidad de los datos ya constituyen un área de atención y preocupación identificada por los supervisores. Además, dada la compleja estructura de la mayoría de los bancos globales, el seguimiento del problema de la calidad de los datos hasta su origen para subsanar el error puede ser un proceso extremadamente difícil que consuma mucho tiempo.

Estamos viviendo una “nueva normalidad”, no cabe duda. El objetivo compartido de los reguladores y los bancos globales será desarrollar un proceso sólido y equitativo de control y equilibrio en el mercado global de capitales para impulsar el crecimiento y una economía saneada, así como un gobierno prudente.

Autora: Dabie Tsai, socia de auditoría en el sector financiero de KPMG.

Fuente: Cinco Días. Publicado el 17 de julio de 2015

 

 

Claves de la nueva directiva de reporting no financiero

Por kpmg españa
on 15. 04. 2014

Con la aprobación por parte del Parlamento Europeo de la nueva directiva europea de divulgación de información no financiera se calcula que cerca de 6.000 compañías se incorporarán a este tipo de reporting, de éstas, entre 600 y 700 serán españolas.

Tras solo un año de debate y cerca del parón electoral europeo, se ha aprobado la directiva europea que establecerá el marco en el que los estados de la UE desarrollarán el reporting no financiero de las principales empresas de cada país. La principal novedad reside en que no se ha hecho mediante una norma de responsabilidad corporativa, si no modificando la cuarta y la séptima directivas contables.

A tener en cuenta:

1. A quien afecta

A todas las empresas que tienen que hacer informe anual de gestión y que tengan más de 500 trabajadores, cuyo balance supere los 20 millones o facturen más de 40 millones de Euros al año. Esto no aplicaría a las subsidiarias que consolidan con otras sociedades.
Tipo de empresas incluidas – Las cotizadas, las compañías financieras y de seguros, y las entidades de inversión colectiva, principalmente.

2. Asuntos sobre los que deberán informar

La directiva establece que se debe informar sobre cuestiones:
Impacto medioambientaly donde sea apropiado – efectos sobre la salud y seguridad, gases de efecto invernadero, uso de energía renovable, agua y contaminación atmosférica.
Sociales y de empleados – igualdad de oportunidades, implantación de las convenciones de la OIT, condiciones laborales, respeto a los derechos sindicales, salud y seguridad, diálogo con las comunidades locales y acciones para asegurar la protección y el desarrollo de dichas comunidades.
Derechos Humanos – medidas de prevención de abusos.
Lucha contra la corrupción y el cohecho – medidas e instrumentos para prevenir malas prácticas.

3. Contenido a informar de cada uno de ellos

Para cada uno de estos asuntos la compañía deberá incluir:

– Una breve descripción de su modelo de negocio
– La políticas que aplican y el debido control de las mismas
– Los resultados obtenidos
– Los riesgos ligados a las operaciones propias, con terceros, a productos o servicios de la compañía que puedan provocar impactos sobre alguno de estos asuntos y la manera en la que los está gestionando la compañía.
– Indicadores no financieros específicos del sector.

No se especifica ningún formato de reporte, pero se refiere a marcos nacionales o internacionales de información financiera, la única condición es que la empresa se debe referir a cual se está utilizando. De todos modos, la Comisión tiene previsto publicar una guía antes de mayo de 2016 – que no será de obligado seguimiento – sobre cómo elaborar esta información.

4. Específicamente sobre diversidad

Se deberá informar sobre la política, objetivos y resultados en materia de diversidad que aplica a los órganos de gobierno, dirección y supervisión con respecto a asuntos como la edad, el sexo, la procedencia geográfica, la formación y experiencia profesional.

5. Relación con los estados financieros

Al formar parte del informe de gestión las relaciones de estos asuntos – impactos económicos de cualquier tipo – que pudieran darse sobre los estados financieros deben quedar explícitos en el informe.

6. Principio de cumple o explica

Si la compañía no dispone de política o acción sobre el tema debe explicar a qué se debe. Estarán exentos de esta obligación de informar aquellos asuntos que estén en controversia o cuya divulgación pueda tener un impacto comercial gravemente adverso para la compañía.

7. Verificación de la información

Cuando entre en vigor a nivel nacional, el auditor externo deberá comprobar que la información está incluida. Los Estados miembros, durante el proceso de trasposición de la directiva, establecerán el grado de revisión externa que deberá tener esta información.

8. A partir de cuándo habrá que elaborar estos informes

Cada año no más tarde de 6 meses tras el cierre del ejercicio, bien dentro del informe de gestión anual o mediante informes más amplios que lo incluyan – por ejemplo el de responsabilidad corporativa.

La directiva deberá transponerse en los estados miembros antes de mayo de 2016, lo que en la práctica supondrá que el primer ejercicio que será de aplicación sería 2017, de no acelerarse el proceso en el estado miembro.

 

Los valores ¿no se traen desde casa?

Por kpmg españa
on 20. 03. 2014

A las personas que asumen por primera vez roles de Compliance, les llama poderosamente la atención que muchos textos acerca de su función la vinculen con la formación. Efectivamente, una gran parte de marcos de referencia sobre Compliance, tanto genéricos como específicos subrayan la importancia de que los sistemas de gestión de cumplimiento (CMS) contemplen esta faceta. El estándar más avanzado en Compliance que actualmente está en fase final de desarrollo, la futura norma ISO 19600 dedica todo un apartado (7.2 Competence and training) a detallar las características de la formación que se espera que una organización procure a sus empleados en materia de Compliance. Uno puede preguntarse, ¿para qué impartir formación sobre el cumplimiento de las obligaciones y los estándares éticos de la empresa? ¿Acaso las personas que se contratan no conocen bien sus obligaciones y carecen de valores morales?

En el año 2010 la Office of Fair Trading británica [link a http://www.oft.gov.uk/] realizó su Competition Law Compliance Survey entrevistando a empresas de distintos sectores de actividad sobre potenciales incumplimientos en materia de competencia. Se descubrió que determinadas conductas, claramente irregulares (el acuerdo con competidores sobre la distribución de mercado, por ejemplo), no solían percibirse como contrarias al derecho de la competencia. Esto ilustra cómo pueden desarrollarse incumplimientos sin llegar a tener siquiera conciencia de ello, y de ahí la importancia de no dar por supuesto su conocimiento.

Cuando entramos en materia de valores éticos, la necesidad se hace igual de patente a causa de las grandes diferencias de percepción sobre el particular entre las personas, en ocasiones debidas a condicionantes culturales. Tanto al guardar cola en la entrada del cine, como ante la puerta de embarque de nuestro vuelo, dudamos que todas las personas vayan a observar una conducta igual de ordenada que la nuestra, y por eso nos mantenemos automáticamente alerta al respecto, tratando de poner orden ante desviaciones inesperadas. Si asumimos esta posibilidad de forma inconscientemente en muchas esferas de nuestra vida cotidiana, reconoceremos que existen situaciones análogas que pueden reproducirse, a otra escala, dentro del mundo de la empresa. De ahí la necesidad de trabajar los valores de las personas y alinearlos con las expectativas de cada organización, sin dar por hecho que se traen desde casa y que son todos iguales.

Sin embargo, la formación en el ámbito del Compliance tiene también un objetivo que trasciende lo comentado hasta ahora: es un factor clave para que cada persona de la organización conozca las obligaciones de cumplimiento que le son propias. Es decir, constituye una herramienta esencial para adquirir conciencia de que las obligaciones de Compliance son inherentes a la actividad que cada individuo desarrolla y, por ello, tienen una dimensión personal inevitable. El hecho de que exista una función de Compliance no supone una traslación de esas responsabilidades individuales hacia un equipo de especialistas, sino tan solo que ciertas personas, por su perfil profesional y experiencia, prestan soporte a los propietarios reales de los riesgos de incumplimiento. Un error conceptual frecuente sobre Compliance, que precisamente analizo en el Caso nº2, es pensar que dicha función asume los cometidos de cumplimiento que en verdad afectan a cada una de las personas de la organización, circunstancia que es materialmente imposible y, por lo tanto, también ingestionable.

 

Impuestos y multinacionales, ¿consenso global?

Por kpmg españa
on 26. 02. 2014

La fiscalidad de los países actúa como una antena para la inversión. Pero cuando el capital y los activos de las empresas tienen mayor movilidad que nunca, resulta relativamente sencillo deslocalizar activos intangibles y determinadas actividades “de alto valor añadido” a jurisdicciones con regímenes tributarios privilegiados.

Para hacernos una ligera idea del problema, Oxfam calcula que la elusión fiscal de las multinacionales en África equivale al 2% de su PIB o, lo que es lo mismo, más de un 10% de toda la ayuda internacional que reciben.

Se impone, pues, el desarrollo de nuevas reglas fiscales en el ámbito internacional, capaces de dotar de eficacia a los regímenes impositivos de todos los países, pero especialmente de aquellos en los cuales los ingresos tributarios pueden significar una partida presupuestaria clave para reforzar sus instituciones e infraestructuras.

Entre el tabú y la demagogia, el mero cumplimiento de la normativa tributaria, o una simple mención a la ausencia de presencia en paraísos fiscales, bastaban para poner un tick en la casilla dedicada a la política fiscal. Sin embargo las opciones fiscales seguidas por algunos gobiernos y empresas multinacionales, nos ha llevado a una situación que la sociedad ha considerado como inaceptable. Buena prueba de ello son los boicots comerciales que han sufrido en los últimos años algunos muy conocidos y reconocidos grupos empresariales, como consecuencia de sus “estrategias fiscales agresivas”, o de sus reducidos ingresos tributarios en sus propios países de origen.

Los gobiernos de la OCDE preparan normas

La propia OCDE ha concluido que resulta imperioso modificar drásticamente las reglas del juego de la fiscalidad internacional, que han venido siendo aplicables desde los años 20, y que no se han adaptado adecuadamente a nuestra actual realidad económica. Es esta la razón de ser del proyecto BEPS (Base Erosion and Profit Shifting), iniciado por la OCDE en 2012, y que pretende dar respuesta a la creciente preocupación internacional por la erosión de las bases imponibles tributarias y el desplazamiento de los beneficios a países de baja tributación.

El pasado verano los responsables de finanzas del G20 dieron el pistoletazo de salida al proyecto BEPS, y definieron un ambicioso plan de acción a completar en diciembre de 2015.

Entre las 15 acciones definidas, cabe destacar las siguientes:

  • El establecimiento de reglas orientadas a que las multinacionales que realicen actividades on-line paguen sus impuestos en las jurisdicciones de las que procedan sus ingresos.
  • La definición de instrumentos que permitan evitar el arbitraje fiscal entre varias jurisdicciones, la doble deducibilidad fiscal de pérdidas o la ausencia de tributación de beneficios (los denominados “homeless income”), o las estructuras fiscales artificiosas o abusivas.
  • La redefinición de las reglas relativas a los precios de transferencia, que han permitido desviar la tributación a países de baja tributación a través de una relativamente sencilla re-ubicación de activos, funciones y riesgos, y con independencia del origen real de los ingresos.
  • La introducción de obligaciones enfocadas a que los sujetos pasivos revelen públicamente sus estructuras de planificación fiscal agresiva.
  • La articulación de mecanismos para que las multinacionales desglosen sus beneficios, ventas y otras variables económicas por país, incluyendo los impuestos que pagan a los gobiernos en los que operan.

Hace unas semanas la OCDE publicó un borrador de documento, abierto a discusión pública, sobre documentación exigible en materia de precios de transferencia y sobre la información a reportar país por país por las empresas multinacionales. Resulta destacable la detallada información económica y tributaria que se exige en este primer modelo de reporting. Sin duda, va más allá de la información exigida en otras iniciativas orientadas a fomentar la transparencia fiscal, como la Iniciativa de las Industrias Extractivas (en marcha desde el año 2003), la Directiva sobre los requerimientos de capital (que obliga a las instituciones de crédito europeas a reportar los impuestos pagados en cada país, a la Comisión Europea, a partir de julio de este mismo año), o la Nueva Directiva de Contabilidad, que obligará a determinadas empresas a reportar los impuestos pagados en otras jurisdicciones a partir del año 2016.

Primeros movimientos en las empresas responsables

Vamos conociendo cómo cada vez un número mayor de compañías están adoptando políticas fiscalmente menos agresivas y prácticas más transparentes. Para compañías globalizadas, sus pautas de actuación en materia fiscal constituyen un aspecto relevante de sus políticas de transparencia y responsabilidad.

En España, el BBVA fue la primera entidad que optó por presentar un informe específico sobre la contribución fiscal global en el ejercicio 2012, y que hizo público en su página web. Repsol ha venido publicando también los impuestos pagados en cada país, desde su adhesión a la Iniciativa de las Industrias Extractivas. Empresas como Iberdrola o Inditex se han comprometido públicamente a no realizar operaciones en paraísos fiscales.

La creciente presión mediática y de las ONGs pro justicia tributaria han acabado de convencer a los más escépticos acerca de la necesidad de presentar informes detallados y clarificadores, “versión 2.0”, de la contribución empresarial a la Hacienda Pública de cada país y de la política fiscal adoptada, siguiendo el ejemplo de empresas como Vodafone, Riotinto o SabMiller.

En los próximos dos años al cerca del centenar que han optado hasta ahora por hacer pública su contribución tributaria global, habrá que sumar de un lado, las instituciones financieras europeas que deberán hacer pública esta información a partir de 2015, las empresas que deberán reportar esta información a partir de 2016 como consecuencia de la Nueva Directiva de Contabilidad, así como todas aquellas empresas multinacionales que vengan obligadas a reportar los impuestos pagados en cada país como consecuencia de las iniciativas nacionales que se gesten tras la definición de un modelo de reporting, en el marco del proyecto BEPS, en septiembre de este mismo año.

¿Y qué están haciendo para adaptarse a este nuevo “mantra tributario”?

En primer lugar, adaptar sus procesos internos para estar en condiciones de cumplir con las nuevas obligaciones de información de forma rápida y fiable. En segundo lugar, preparar un discurso adecuado que dé debida respuesta a las crecientes preguntas realizadas por las ONG´s y otros agentes económicos, a los departamentos de Responsabilidad Social Corporativa o de Relaciones con Inversores, acerca de la política tributaria seguida y de la contribución fiscal en cada país. Y por último, y no por ello menos importante: pasar al ataque; es decir, preparar informes de responsabilidad social en materia tributaria, que expliquen al mercado la política fiscal adoptada y la sostenibilidad de la misma a la luz de las nuevas reglas que se avecinan, que hagan valer su contribución a las finanzas públicas y que, en definitiva, les diferencien de sus competidores, en un entorno especialmente sensible, en el que cualquier excusa es buena para arremeter contra la improcedencia o “injusticia” de los impuestos pagados por las empresas multinacionales.

Justa o injusta, acertada o simplista, equilibrada o demagógica, la nueva ola está ya aquí. Y, como en otras ocasiones, habrá que anticiparse para liderar o esperar que la norma nos lleve.

Texto elaborado en colaboración con Daniel Gómez-Olano, Director de Tax Management Services de KPMG Abogados.

La buena memoria

Por kpmg españa
on 04. 11. 2013

Nuestra mente no sabe de estándares de reporte, por eso la ciencia que la estudia nos puede ayudar a elaborar informes más efectivos y que se recuerden mejor.

Los científicos dicen que el presente psicológico dura tres segundos. Esto significa que al cabo de una vida uno vive aproximadamente 600 millones de experiencias, pero lo cierto es que tan solo recordamos unas pocas.

Estudiando el complejo mecanismo que determina el por qué recordamos algunos momentos de nuestras vidas y otros no, el célebre psicólogo – y premio Nobel de Economía en 2002 – Daniel Kahneman llega a la conclusión de que esto depende principalmente de tres factores: del cambio que haya supuesto para nosotros, de lo significativo del momento y del final de la experiencia.

La diferencia entre la percepción de una experiencia – que fue en un momento dado presente – y el recuerdo, es clave para la formación de la opinión. Unas vacaciones de dos semanas no necesariamente se recuerdan más gratamente que las duraron una semana. Y es que según el Nobel, el recuerdo depende del número y del tipo de experiencias y no del tiempo que estas duraron(1).

Estudiando los factores que hacen más exitosos unos informes corporativos que otros, esta circunstancia es muy relevante. Si el premio de leer un informe corporativo es el poder tomar decisiones mejor informadas sobre la compañía, aquellos que los elaboran deben tener en cuenta qué información relevante debería poder ser “memorizada” por sus lectores. Y es que cuando tomamos decisiones lo hacemos basados en el recuerdo y no en la analítica de la experiencia. Es como si prever el futuro se construyera en términos de adelantar recuerdos.

Conocer mejor cómo funcionan nuestras mentes puede ser útil a la hora de diseñar y elaborar una pieza de comunicación como son los informes corporativos. Los trabajos de Kahneman nos ofrecen interesantes pistas que me atrevo a “traducir” de forma libre, al terreno del reporting, en forma de cuatro aprendizajes:

  1. Contar una historia. Desde los principios de la humanidad aprendemos y recordamos mejor las historias que los datos. Los informes deben tener una construcción de mensaje que defina adecuadamente el proyecto empresarial y permita ser recordado como diferente.
  2. Tener en cuenta las preguntas que el lector tiene en la cabeza. Era Antonio Gala al que le oí una vez decir que ya solo se interesaba por las personas que tenían interés en él. Si queremos que nuestro informe sea relevante para el lector, debe hablar de lo que al lector le interesa – bien sea un hecho o circunstancia positiva o negativa- , no solo de lo que le interese a la organización que lo elabora. Lo que venimos a denominar técnicamente una “materialidad” o relevancia enfocada específicamente a las audiencias del informe.
  3. Los cambios son relevantes. Explicar aquello que ha dejado de ser, cómo era o cómo lo conocieron y sus consecuencias para la organización, son elementos de recuerdo potentes.
  4. Qué hacemos con el final. El momento en el que se deja de leer un informe es impredecible; sin embargo, sí podemos conocer mejor el uso que hacen de nuestros informes consultando y escuchando a los lectores. No olvidemos que es más sencillo conocer por qué dejan de leerlo, que acertar con la fórmula mágica que atraiga a miles de lectores interesados. Cuidar la navegabilidad, el acceso a los contenidos relevantes o a información granular mejora la experiencia.

El 19 de noviembre en la sede de CecaBank en Madrid, presentaremos la versión en español de la Guía GRI G4 a la que estás invitado. Para esta ocasión hemos preparado una consulta sobre el uso que hacen de los documentos los lectores de los informes, a la que te invito a participar y de cuyos resultados daré cuenta, tanto en la presentación como en este blog: Encuesta dirigida a especialistas en Responsabilidad Social Corporativa y Desarrollo Sostenible sobre memorias anuales.

Más información sobre la presentación de la Guía GRI G4

(1)Kaheneman demuestra esta hipótesis con un experimento de pacientes que sufrieron una colonoscopia con el estudio “Cuando más dolor es preferible que menos dolor”.

Para saber más sobre los estudios de Daniel Kahneman te recomiendo: “Pensar rápido, pensar despacio” de Daniel Kahneman, Debate, 2012. ISBN 9788483068618