La Auditoría de cuentas y la Protección de Datos Personales

La auditoría de cuentas es una actividad que está regulada básicamente por la Ley 19/1988 de Auditoría de Cuentas y su reglamento de desarrollo aprobado por Real Decreto 1636/1990, aparte de otras normas que o bien hacen referencia a la auditoría, o a los auditores de cuentas. Esta actividad, se desarrolla a través de profesionales personas físicas, o bien como sociedades de profesionales con y sin personalidad jurídica, pero independiente de quien sea el titular que desarrolla la actividad, está claro que le afecta todo lo referente a la Ley Orgánica de Protección de Datos Personales (LOPD en adelante) Ley 15/1999 (B.O.E. número 298, de 14 de diciembre de 1999) y toda su normativa de desarrollo.

Así, tenemos que el profesional o la entidad que realice la actividad de auditoría de cuentas, será responsable del fichero por los datos de personas físicas que posea y trate, también es el encargado del tratamiento por cuanto trata datos de personas físicas cedidas por sus clientes y por lo tanto le afecta la obligación que impone el artículo 12 de la LOPD, como es el deber de tener un contrato escrito con su cliente que regule los derechos y obligaciones que tienen las dos partes respecto a la LOPD en el desarrollo de esa relación contractual que les une. De no existir este contrato entre el responsable del fichero (cliente) y del encargado del tratamiento (auditor) podrán ser objeto de sanción el primero por ceder datos sin el consentimiento de los afectados (por ejemplo de sus trabajadores) con una sanción muy grave, mínima de 300.000 euros hasta 600.000 euros y del segundo por tratar datos de personas físicas sin dicho consentimiento con una sanción mínima de 60.000 euros hasta los 300.000 euros. Por lo tanto, es indispensable este contrato para evitar posibles situaciones gravosas, como son las sanciones mencionadas.

Pero además tenemos que el profesional de la auditoría de cuentas, en el desarrollo de su trabajo está obligado a revisar y comprobar si su cliente cumple con todos los aspectos regulados en la LOPD, por si ello pudiera dar origen a infracciones con las correspondientes sanciones cuya cuantía pudiera tener relevancia en la imagen fiel que deben presentar las cuentas anuales.

Nos basamos para esta afirmación en la Resolución de 26 de Julio de 2001, del Instituto de Contabilidad y Auditoría de Cuentas (ICAC en adelante), por la que se publica la Norma Técnica de Auditoría sobre "Cumplimiento de la normativa aplicable a la entidad auditada publicada en el BOICAC núm. 47, de septiembre 2001 y de la cual transcribimos ciertos párrafos de sus diferentes apartados (en negrita destacamos cuestiones que consideramos se deben retener).

"Los artículos 209.1 del Texto Refundido de la Ley de Sociedades Anónimas, aprobado por el Real Decreto Legislativo 1564/1989, y 5.1 e) del Reglamento de desarrollo de la Ley 19/1988 de Auditoría de Cuentas aprobado por Real Decreto 1636/1990, establecen la obligación de incluir en el informe de auditoría las eventuales infracciones de la normativa a la que se encuentra sujeta la entidad auditada, que se hubiesen comprobado durante la realización de los trabajos y que puedan tener relevancia en la imagen fiel que deben presentar las cuentas anuales."

"El artículo 209.1 del Texto Refundido de la Ley de Sociedades Anónimas determina:

Los auditores redactarán un informe detallado sobre el resultado de su actuación, conforme a la legislación sobre auditoría de cuentas, que contendrá, al menos, las menciones siguientes:

a) Las observaciones sobre las eventuales infracciones de las normas legales o estatutarias que hubieran comprobado en la contabilidad, en las cuentas anuales o en el informe de gestión de la sociedad.

b) Las observaciones sobre cualquier hecho que hubieren comprobado cuando éste suponga un riesgo para la situación financiera de la sociedad".

“El artículo 5.1 e) del Reglamento de la Ley de Auditoría de Cuentas determina:

"..., el auditor de cuentas manifestará en el informe de forma clara y precisa su opinión técnica sobre si las cuentas anuales expresan la imagen fiel del patrimonio y de la situación financiera de la Empresa o Entidad auditada, así como de los resultados de las operaciones y de los recursos obtenidos y aplicados en el período examinado, con referencia a los siguientes extremos:

e) Sobre las eventuales infracciones de las normas legales o estatutarias que se hubiesen comprobado durante la realización de los trabajos y que puedan tener relevancia en la imagen fiel que deben presentar las cuentas anuales»

Consideraciones Generales

"Se entiende por normativa aplicable, a efectos de esta norma técnica, el conjunto de disposiciones cualquiera que sea su rango, a las que se halla sujeta la entidad auditada, ya sea con carácter general, específico o sectorial."

"El término incumplimiento utilizado en esta norma técnica, se refiere a actos, intencionados o no, por acción o por omisión llevados a cabo por la entidad sometida a auditoría. O a situaciones en las que ésta se encuentre, contrarios a la normativa aplicable,"  

"... El incumplimiento de la normativa aplicable puede tener consecuencias financieras para la entidad tales como multas, litigios etc., o incluso llevar al cese de su actividad. Por lo general, cuanto menos se refieran a hechos " transacciones que deben tener reflejo en las cuentas anuales, menor es la probabilidad de que el auditor tenga conocimiento de ellas, o reconozca su posible incumplimiento."

"De acuerdo con el contenido del artículo 209.1 del TRLSA y del artículo 5.1 e) del Reglamento de la Ley de Auditoría de Cuentas, el auditor deberá tener en consideración en su informe los eventuales incumplimientos de la normativa aplicable a la entidad aunque hubiera comprobado durante la realización de su trabajo de auditoría y que de acuerdo con la norma técnica sobre el concepto de importancia relativa puedan tener relevancia en la imagen fiel que deben presentar las cuentas anuales."

 

Objeto de la Norma

"El objeto de esta Norma Técnica de Auditoría es establecer los procedimientos que ha de aplicar el auditor y delimitar su responsabilidad en relación con la detección de los eventuales incumplimientos de la normativa aplicable en que haya podido incurrir la entidad auditada que afecten significativamente a la imagen fiel de las cuentas anuales, así como determinar su efecto en el informe de auditoría y la comunicación al Órgano de Administración, a la Dirección y, en su caso, a los organismos reguladores."

Ámbito de la Norma

"La referencia a la expresión auditoría de cuentas anuales en la presente norma técnica se hace extensible a todos aquellos otros trabajos de auditoría sujetos a la Ley de Auditoría de Cuentas"

Responsabilidad de los administradores y de la dirección sobre el cumplimiento de la normativa aplicable

"Es responsabilidad de los administradores y de la dirección de la entidad asegurar que la actividad se realiza de acuerdo con la normativa que le es de aplicación. La responsabilidad de la prevención y detección de incumplimientos corresponde por tanto a los administradores y a la dirección en el ámbito de sus competencias."

Responsabilidad del auditor en relación con el cumplimiento de la normativa aplicable:

"El auditor no es responsable de la prevención de los incumplimientos de la normativa aplicable.

Al planificar y aplicar los procedimientos de auditoría, así como al evaluar los resultados de su trabajo y al informar sobre ellos, el auditor debe ser consciente de que los incumplimientos por parte de la entidad de la normativa aplicable pueden afectar significativamente a las cuentas anuales, por lo que el auditor debe realizar su trabajo de forma que tales incumplimientos puedan ser razonablemente detectados."

"Con el fin de planificar adecuadamente su trabajo de auditoría, el auditor debe obtener un conocimiento general de la normativa aplicable a la entidad y al sector en el que ésta opera, y de cómo la entidad está cumpliendo con ella. En este contexto, el auditor debe tener especialmente en cuenta Que alguna normativa aplicable puede tener un efecto importante en las operaciones de la entidad que en algunos casos, podrían llegar a causar el cierre de la entidad o poner en duda su capacidad para continuar sus operaciones."

"El auditor deberá obtener confirmación escrita de la dirección. De acuerdo con lo establecido al respecto en la Norma Técnica sobre "Carta de Manifestaciones de la Dirección, sobre cualquier incumplimiento de la normativa aplicable que pudiera conocer la dirección y cuyos efectos cualitativos o cuantitativos deban ser considerados en la formulación de las cuentas anuales."

Procedimientos cuando se pone de manifiesto una eventual infracción

"Cuando llegue a conocimiento del auditor información relativa a un eventual incumplimiento de la normativa aplicable deberá entender la naturaleza del hecho y las circunstancias en las que ha sucedido, así como obtener suficiente información adicional para evaluar su posible efecto en las cuentas anuales."

Al evaluar el posible efecto en las cuentas anuales, el auditor tendrá en cuenta:

Las consecuencias financieras previsibles como multas, sanciones de otro tipo perjuicios y responsabilidades indemnizaciones expropiación de activos, cese forzoso de actividades, litigios, etc.

Si tales consecuencias deben ser desglosadas expresamente en la memoria de las cuentas anuales.

Si las consecuencias financieras previsibles son de tal importancia o naturaleza Que afecten significativamente a la imagen fiel de las cuentas anuales, de acuerdo con la norma técnica sobre el concepto de importancia relativa."

"Si la dirección de la entidad auditada no proporciona información satisfactoria de que está de hecho cumpliendo con la normativa, el auditor deberá considerar la posibilidad de consultar con los asesores legales de la misma acerca de la aplicación de la normativa aplicable a la situación concreta de que se trate, así como sus posibles efectos en las cuentas anuales."

"Cuando no sea posible o no considere apropiado consultar con los asesores legales de la entidad auditada o no quede satisfecho con la opinión de los mismos el auditor evaluará la posibilidad de consultar con otros asesores legales acerca de la posible existencia de un incumplimiento de la normativa aplicable, sus previsibles consecuencias legales, así como aquellos otros procedimientos que deba tomar en consideración.

Comunicación de los incumplimientos de la normativa aplicable a la entidad

"Informe de auditoría de las cuentas anuales. Si el auditor concluye que el eventual incumplimiento de la normativa aplicable a la entidad tiene o puede tener un efecto significativo o muy significativo desde un punto de vista cuantitativo o cualitativo en las cuentas anuales y que no ha sido adecuadamente considerado en las mismas debe emitir un informe con salvedad. Opinión desfavorable o denegada según proceda de acuerdo con las normas técnicas de auditoría sobre informes."

"Si la entidad o las circunstancias impiden al auditor la obtención de la evidencia suficiente y adecuada para evaluar si existen o si es probable que hayan producido incumplimientos de la normativa aplicable a la entidad que puedan afectar significativamente a la cuentas anuales, debe expresar una opinión con salvedades o denegar su opinión, por la existencia de limitaciones al alcance de la auditoría.

"Al Órgano de Administración"

"El auditor debe comunicar oportunamente al órgano de Administración a la Alta Dirección y, en su caso al Comité de Auditoría la existencia de los incumplimientos Que conozca de la normativa aplicable a la entidad o bien obtener evidencia de que están adecuadamente informados de dichos incumplimientos."

"A las autoridades reguladoras (Banco de España. Comisión Nacional de Mercado de Valores, Dirección General de Seguros)."

"En relación con la presente Norma Técnica debe recordarse que el deber de secreto profesional establecido en los artículos 13 y 14 de la Ley 19/1988, de 12 de julio de Auditoría de Cuentas, no resulta de aplicación frente a ciertas autoridades supervisoras en las circunstancias previstas en la Disposición Final Primera de dicha Ley, según la nueva redacción dada a su párrafo fina por la Disposición Adicional Octava de la Ley 37/1998, de 16 de diciembre, de Reforma de la Ley 24/1988 del Mercado de Valores, que establece":

«Los auditores de las cuentas anuales de las entidades sometidas al régimen de supervisión previsto en la Ley 13/1992, sobre Recursos Propios y Supervisión en base consolidada de las entidades financieras, o de las entidades reguladas en la Ley 30/1995, de 8 de noviembre, de Ordenación y Supervisión de los Seguros Privados o de las instituciones reguladas en la Ley 46/1984, de 26 de diciembre, sobre instituciones de inversión colectiva, tendrán la obligación de comunicar rápidamente por escrito al Banco de España. Comisión Nacional del Mercado de Valores o Dirección General de Seguros, según procesa, cualquier hecho o decisión, sobre la entidad o institución auditada, del que hayan tenido conocimiento en el ejercicio de sus funciones y que pueda:

a) Constituir una violación grave del contenido de las disposiciones legales, reglamentarias o administrativas que establezcan las condiciones de su autorización o que regulen de manera específica el ejercicio de su actividad

b) Perjudicar la continuidad de su explotación, o afectar gravemente a su estabilidad o solvencia.

c) Implicar la abstención de la opinión del auditor, o una opinión desfavorable o con reservas, o impedir la emisión del informe de auditoría,”

"En consecuencia, los incumplimientos de la normativa aplicable a la entidad, conocidos por el auditor de cuentas, y que correspondan al contexto de las obligaciones a que se refiere la disposición transcrita en el párrafo anterior, deberán ser comunicados a las autoridades correspondientes."

Como podemos observar. de las transcripciones de ciertos apartados o párrafos de la Resolución de 26 de Julio de 2001 del ICAC los auditores tienen la obligación de revisar y comprobar el cumplimiento de la normativa que hace referencia a la protección de datos personales, como lo debe realizar en el caso de protección medioambiental, prevención de riesgos laborales, en el ámbito fiscal, laboral o actividades de aquellas entidades sometidas al régimen de supervisión previsto en diferentes leyes respecto a entidades financieras de seguros o sobre instituciones de inversión colectiva y la obligación de comunicación a las autoridades reguladoras.

Este criterio también es refrendado por diferentes autores de artículos en revistas especializadas en auditoría como es el caso del artículo "La Protección de datos personales: efectos en los trabajos de auditoría" escrito por CERE Ruiz Espinós del cual extractamos algún párrafo traducido al castellano:

“en el ámbito de la protección de datos, la función del auditor no es muy diferente de aquella que nos encontraríamos en cualquier otro ámbito (fiscal, laboral, medioambiental, etc.)"

"Procedimientos de auditoría: Es evidente que atendido todo lo expuesto, se hace imprescindible que los auditores establezcan unos procedimientos que permitan verificar el adecuado cumplimiento de las obligaciones derivadas de la normativa sobre protección de datos de carácter personal.

Un primer aspecto esencial, es de limitar el riesgo que puede comportar esta normativa,..."

Por último Francisco de Quinto Zumárraga escribe el artículo "La protección de datos personales y los profesionales" en la revista del REAF nº 44 de 1 de septiembre de 2001 y como conclusión del mismo:

"Como síntesis de los efectos que pueden derivarse del incumplimiento de la normativa que comentamos por parte de empresas, asesores y auditores, citamos los siguientes:

a) Riesgo de continuidad de la empresa, de su dimensión y capitalización.

b) Riesgo por parte de los asesores fiscales de ser a su vez objeto de sanción, en los mismos términos que la empresa en los supuestos de infracción incurrida por una u otra parte”

c) Riesgo doble por parte de los auditores que no cumplan la norma Técnica comentada. Por un lado la responsabilidad profesional por incumplimiento de la Ley de Auditoría y por otro la posible responsabilidad derivada de la sanción a la empresa editada en el marco de la L.O.P.D.P., en el caso de que ésta le reclame al auditor por daños y perjuicios.

José Cid Dacosta

Logic Data Consulting, SL.

VOLVER A LA PÁGINA DE NOTICIAS PROTECCIÓN DE DATOS