Compliance en la persona jurídica y las tres líneas de defensa

La función de Compliance en la organización

ESTRUCTURA DE RIESGO Y CONTROL

Como dice el Instituto de Auditores Internos (IIA -por sus siglas en inglés-) en cualquier organización hay diversos roles colaborando en la gestión del riesgo y el control interno, en diferentes ámbitos empresariales. Cada uno de estos roles, en su especialidad, tiene una perspectiva única y habilidades específicas que pueden ser relevantes para la organización, pero las responsabilidades están cada vez más distribuidas en múltiples áreas funcionales y divisiones, lo que puede provocar solapamientos, o lo que es peor, zonas oscuras.

En consecuencia, deben coordinarse y distribuirse estos roles de manera que se logre una cobertura homogénea, sin brechas ni solapamientos, en sus funciones y ámbitos de responsabilidad. Es importante disponer de una parcela de responsabilidad clara para que puedan encajar los diferentes roles en la estructura general de gestión del riesgo y control de la organización.

 

EL MODELO DE LAS TRES LÍNEAS DE DEFENSA

Agrupando esta estructura de gestión del riesgo y control, en base al modelo de las tres líneas de defensa, se obtiene una manera simple y efectiva de mejorar el conjunto, al quedar explícitamente determinadas las funciones y responsabilidades esenciales de cada línea.

 

En base al principio de segregación de funciones, se define la incompatibilidad de que un mismo rol pueda pertenecer simultáneamente a más de una línea.

El modelo de las Tres Líneas de Defensa, como su nombre indica,  distingue tres líneas, o agrupaciones funcionales, de gestión del riesgo y control:

  • Línea 1: Las propias áreas de negocio, entendidas como la gestión operativa de la empresa. Es dónde se encuentran los propietarios de los riesgos.
  • Línea 2: La función de Compliance, y otras funciones de control, inspección y cumplimiento, que supervisan los riesgos.
  • Línea 3: La función de auditoría interna, que proporciona verificación y aseguramiento independiente.

 

Primera línea de defensa. Áreas de negocio

La primera línea de defensa está formada por las diferentes áreas operativas o de negocio. Son los Directores de éstas los encargados, directamente o delegando, de colaborar en la apreciación de los riesgos (identificación, análisis y evaluación –Vid. ISO 31000:2009- ). En consecuencia serán habitualmente propietarios de esos riesgos y se responsabilizarán de la correcta implantación de los controles o acciones de tratamiento que se hayan podido determinar.

Debe matizarse que su función no es identificar esos riesgos unilateralmente, sino en colaboración con la segunda línea de defensa, que dispone de mayores conocimientos técnicos respecto a los posibles riesgos que puedan afectar a la organización, aunque a menudo en abstracto, concretándolos en la realidad y determinando los controles adecuados de mitigación, caso de ser necesario, conjuntamente.

La dirección velará permanentemente para que se continúen aplicando sin fisuras esos controles, o acciones de tratamiento, que se hayan podido determinar. A su vez, se responsabilizará de la implantación de posibles acciones correctivas, a partir de interacciones con las otras dos líneas de defensa, respecto a la modificación de los procedimientos operativos y controles existentes o la creación de nuevos.En otras palabras, la dirección de las áreas operativas es responsable de mantener un control interno efectivo en su área de competencia, velando para que se ejecuten los procedimientos de control sobre los riesgos que puedan estar presentes en su día a día.

La dirección de área operativa y sus empleados, especialmente el Front-Office, serán el frente de guerra con el riesgo, las trincheras, la primera línea de defensa.

 

Segunda línea de defensa. Compliance

Se trata de la función de Compliance, que puede constituirse como un único órgano consolidado de todas las posibilidades de cumplimiento y control de la organización o repartirse áreas de especialización según los riesgos (penales, PRL, de calidad, ambientales, de PBCyFT para sujetos obligados, etc.).

Su función principal es supervisar los diferentes riesgos, ya sean éstos transversales a la organización o específicos de las áreas operativas, y el desempeño de los controles implantados, reportándolo a la Alta Dirección o a los órganos de Gobierno Corporativo.

También asiste a las áreas operativas, colaborando con ellas en la apreciación del riesgo, en la definición de la exposición tolerable al mismo (apetito de riesgo) y en la determinación de controles adecuados para mitigar esos riesgos. Evidentemente supervisará el desempeño de esos controles. 
Es importante recalcar la función de formación y concienciación a las áreas operativas respecto a los posibles riesgos identificados o coordinados desde la segunda línea y respecto a cumplimiento.
La segunda línea debe reportar al más alto nivel en la organización, para preservar su independencia. Debe tener un canal directo con los órganos de gobierno corporativo.

 

Tercera línea de defensa. Auditoría interna

La auditoría interna proporciona garantía sobre la eficacia y eficiencia de la gestión de riesgos y los controles internos, incluyendo la manera en que las dos primeras líneas de defensa logran sus objetivos.

No debe sorprender que la tercera línea de defensa audite a la función de Compliance de la segunda línea, ya que ésta no debe considerarse custodia del Santo Grial. Es necesario auditar de forma independiente al propio modelo de prevención implantado en la organización. Si se basa en la norma ISO 19600:2014, recordaré que en su apartado 9.2 “Auditoría interna” se señala: “La organización debería llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca de si el Sistema de Gestión de Compliance:

a) Cumple los requisitos propios de la organización para su Sistema de Gestión de Compliance y los requisitos de esta norma internacional.
b) Se implementa y mantiene eficazmente.
Se pueden realizar auditorías adicionales en caso de que sea necesario”.

Pongo de manifiesto que la tercera línea es la que tiene una menor capacidad de reacción, ya que habitualmente la función de auditoría interna audita una única vez al año, salvo que haya habido cambios sustanciales en la organización.

Al igual que la segunda línea, debe reportar a alto nivel para ser capaz de desempeñar sus funciones de manera independiente. Debe tener un canal directo con los órganos de gobierno corporativo.

 

Cuarta línea de defensa

Si bien no cabe hablar de una cuarta línea en el modelo de las tres líneas de defensa, sí que puede llegar a darse.

En última instancia, siempre están los Reguladores y las Autoridades de Control con capacidad de supervisión, y la propia Administración de Justicia, erigiéndose como cuarta línea de defensa, no de la propia organización en este caso, sino de la sociedad en general.

No obstante, debe tenerse en cuenta que existe la función de auditoría externa (o de tercera parte), que no está bajo el control de la organización y deberíamos considerarla cuarta línea de defensa. En el mundo de las normas ISO, interviene cuando se desea certificar el Sistema de Gestión por una entidad independiente acreditada para ello. En este sentido recordaré que no todas las normas ISO son certificables. Habitualmente lo son aquellas que terminan en “1”, por lo que, referido al Compliance,  la norma ISO 19600:2014 “Sistemas de Gestión de Compliance” no es certificable, pero la futura UNE 19601:2017 “Sistemas de Gestión de Compliance Penal”, sí que lo será.

 

RELACIONES O INTERFACES ENTRE LÍNEAS

Los que actuamos como Experto Externo para auditar sujetos obligados por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, conocemos las recomendaciones del SEPBLAC [2] sobre las medidas de control interno, dónde se apunta a que la función de Compliance no debe aislarse de las áreas operativas aunque, en este caso, con alcance circunscrito a la PBCyFT.

 

En la página 5 del documento señala: Es importante tener claro que la prevención, al igual que otras obligaciones relacionadas con la clientela, no es algo que sea tarea exclusiva de las unidades técnicas de prevención, sino que es una función consustancial a las unidades comerciales, a las redes de negocio (minorista, corporativa, banca privada, banca de negocios, etc.) o a las distintas líneas de actividad, porque son las áreas de negocio las que se relacionan con los clientes, y las que aplican las medidas de diligencia debida con ellos, por lo que deben implicarse muy activamente en la función de prevención. El primer filtro del sistema de prevención del sujeto obligado se sitúa en el establecimiento de la relación con los clientes y esa relación es responsabilidad de las unidades de negocio que actúan como primera línea de defensa ante el BC/FT”.

Tras esta ratificación de conceptos, sigue diciendo: Los sujetos obligados tendrán que establecer un cauce o procedimiento ágil de retroalimentación, comunicación o “feed-back” entre sus órganos de prevención y las unidades de negocio, en relación con aquellos riesgos en los que puedan estar incurriendo en función de la actividad desarrollada, estableciendo asimismo las medidas necesarias para mitigarlos”.

Con esto está abriendo una interfaz bidireccional entre la primera y la segunda líneas de defensa.

Entre la tercera u las otras dos, también está clara la relación, ya que la función de auditoría recibe información al auditarlas y luego les notifica los hallazgos mediante el correspondiente Informe de Auditoría. A su vez ambas líneas auditadas elaborarán un Plan de Acciones Correctivas (PAC) que facilitarán a la tercera línea.

 

PRÁCTICAS RECOMENDADAS

Basándonos en las apreciaciones del Instituto de Auditores Internos (IIA) [1], desde una perspectiva general deben considerarse las siguientes recomendaciones:

  • 3 líneas de defensa: Los procesos de riesgo y control deben ser estructurados de acuerdo con el Modelo de las Tres Líneas de Defensa.
  • Mantener la estructura: Las líneas de defensa, pese a existir interfaces entre ellas, no deberían mezclarse de forma que pueda verse comprometida su independencia.
  • Definición de políticas: Cada línea de defensa debería apoyarse en procedimientos y políticas específicas.
  • Roles: Deberán definirse claramente las funciones de los roles relevantes para cada línea.
  • Coordinación: Debe existir una adecuada coordinación entre las distintas líneas de defensa, compartiendo conocimiento, para fomentar la eficacia y la eficiencia y tender hacia un mejor cumplimiento.
  • Si se mezclan líneas: Aunque debe evitarse, en las situaciones en que las funciones de las diferentes líneas se mezclen, los Órganos de Gobierno deben ser informados de la débil estructura y su impacto. La Alta Dirección y/o los Órganos de Gobierno deberán explicar y dar a conocer a las partes interesadas porqué han considerado esa estructura como suficiente para el aseguramiento de la eficacia del gobierno de la organización y de la gestión del riesgo y control interno.

 

TABLA RESUMEN

 

Sin que pretenda ser una lista exhaustiva, se puede considerar las siguientes responsabilidades de cumplimiento para cada una de las tres líneas de defensa:

Responsabilidades de cumplimiento de cada línea de defensa
1ª Línea
2ª Línea
3ª Línea
§  Identificar y Evaluar los riesgos de las diferentes operaciones en su área de negocio.
§  Controlar y mitigar los riesgos de sus operaciones.
§  Implementar y adaptar los controles, manteniendo su eficacia en el tiempo.
§  Asegurar el cumplimiento de las normas internas y legislación aplicable a sus operaciones.
§  Ejecutar análisis y evaluaciones de los riesgos de los que son propietarios.
§  Implementar procedimientos que le permitan cumplir las normas de Compliance que le afecten.
§  Informar a la segunda línea las variaciones en el riesgo o en las circunstancias de control.
§  Elaborar el marco para la gestión del riesgo en la organización.
§  Promover y ayudar en la gestión del riesgo de toda la organización.
§  Verificar que las acciones para mitigar los riesgos se apliquen con eficacia.
§  Asesorar a los propietarios de los riesgos a definir el apetito de riesgo en las operaciones.
§  Ayudar a crear los controles de la primera línea de defensa.
§  Monitorizar los controles de gestión operativa.
§  Asegurar que la primera línea de defensa está bien diseñada e implantada, y que su desempeño es el adecuado.
§  Gestionar de manera especializada los riesgos transversales de la organización.
§  Monitorear la implementación de los controles para tratamiento de los riesgos transversales.
§  Otras funciones según el alcance definido (Compliance Penal, PRL, Privacidad…)
§  Colaborar a asegurar el gobierno corporativo, la gestión del riesgo y el control interno.
§  Evaluar la forma en que la primera y segunda línea de defensa operan.
§  Informar a la primera y segunda líneas del resultado de las evaluaciones.
§  Asegurar que se estén cubriendo adecuadamente las responsabilidades de la primera y segunda línea de defensa.
§  Revisar la gestión de los riesgos más relevantes de la organización.
§  Asesorar a los órganos de gobierno de la organización respecto la gestión de los riesgos.
§  Revisar el Plan de Acciones Correctivas (PAC) aportado por los auditados.