Resumen: La función de Compliance en las organizaciones no vive aislada de las áreas de negocio, como metida dentro de una burbuja, ni asume toda la responsabilidad de cumplimiento de la persona jurídica. Veremos en este artículo el modo de poner orden a estas ideas. Todo lo aquí indicado es aplicable a cualquier área de práctica, basada en el riesgo, como puede ser la seguridad de la información.
Autor del artículo Colaboración
José Luis Colom Planas
Actualizado
26 de enero
de 2017
Índice
1. ESTRUCTURA DE RIESGO Y CONTROL 2. EL MODELO DE LAS TRES LÍNEAS DE DEFENSA
2.1 Primera línea de defensa. Áreas de negocio
2.2 Segunda línea de defensa. Compliance
2.3 Tercera línea de defensa. Auditoría interna
2.4 Cuarta línea de defensa
3. RELACIONES O INTERFACES ENTRE LÍNEAS
4. PRÁCTICAS RECOMENDADAS
5. TABLA RESUMEN
6. BIBLIOGRAFÍA CONSULTADA
7. CONTROL DE CAMBIOS DEL ARTÍCULO
8. DERECHOS DE AUTOR
1. ESTRUCTURA DE RIESGO Y CONTROL
En consecuencia, deben coordinarse y distribuirse estos roles de manera que se logre una cobertura homogénea, sin brechas ni solapamientos, en sus funciones y ámbitos de responsabilidad. Es importante disponer de una parcela de responsabilidad clara para que puedan encajar los diferentes roles en la estructura general de gestión del riesgo y control de la organización.
2. EL MODELO DE LAS TRES LÍNEAS DE DEFENSA
Agrupando esta estructura de gestión del riesgo y control, en base al modelo de las tres líneas de defensa, se obtiene una manera simple y efectiva de mejorar el conjunto, al quedar explícitamente determinadas las funciones y responsabilidades esenciales de cada línea.
En base al principio de segregación de funciones, se define la incompatibilidad de que un mismo rol pueda pertenecer simultáneamente a más de una línea.
El modelo de las Tres Líneas de Defensa, como su nombre indica,distingue tres líneas, o agrupaciones funcionales, de gestión del riesgo y control:
- Línea 1: Las propias áreas de negocio, entendidas como la gestión operativa de la empresa. Es dónde se encuentran los propietarios de los riesgos.
- Línea 2: La función de Compliance, y otras funciones de control, inspección y cumplimiento, que supervisan los riesgos.
- Línea 3: La función de auditoría interna, que proporciona verificación y aseguramiento independiente.
2.1 Primera línea de defensa. Áreas de negocio
Debe matizarse que su función no es identificar esos riesgos unilateralmente, sino en colaboración con la segunda línea de defensa, que dispone de mayores conocimientos técnicos respecto a los posibles riesgos que puedan afectar a la organización, aunque a menudo en abstracto, concretándolos en la realidad y determinando los controles adecuados de mitigación, caso de ser necesario, conjuntamente.
La dirección velará permanentemente para que se continúen aplicando sin fisuras esos controles, o acciones de tratamiento, que se hayan podido determinar. A su vez, se responsabilizará de la implantación de posibles acciones correctivas, a partir de interacciones con las otras dos líneas de defensa, respecto a la modificación de los procedimientos operativos y controles existentes o la creación de nuevos.
En otras palabras, la dirección de las áreas operativas es responsable de mantener un control interno efectivo en su área de competencia, velando para que se ejecuten los procedimientos de control sobre los riesgos que puedan estar presentes en su día a día.
La dirección de área operativa y sus empleados, especialmente el Front-Office, serán el frente de guerra con el riesgo, las trincheras, la primera línea de defensa.
2.2 Segunda línea de defensa. Compliance
Su función principal es supervisar los diferentes riesgos, ya sean éstos transversales a la organización o específicos de las áreas operativas, y el desempeño de los controles implantados, reportándolo a la Alta Dirección o a los órganos de Gobierno Corporativo.
También asiste a las áreas operativas, colaborando con ellas en la apreciación del riesgo, en la definición de la exposición tolerable al mismo (apetito de riesgo) y en la determinación de controles adecuados para mitigar esos riesgos. Evidentemente supervisará el desempeño de esos controles.
Es importante recalcar la función de formación y concienciación a las áreas operativas respecto a los posibles riesgos identificados o coordinados desde la segunda línea y respecto a cumplimiento.
La segunda línea debe reportar al más alto nivel en la organización, para preservar su independencia. Debe tener un canal directo con los órganos de gobierno corporativo.
2.3 Tercera línea de defensa. Auditoría interna
No debe sorprender que la tercera línea de defensa audite a la función de Compliance de la segunda línea, ya que ésta no debe considerarse custodia del Santo Grial. Es necesario auditar de forma independiente al propio modelo de prevención implantado en la organización. Si se basa en la norma ISO 19600:2014, recordaré que en su apartado 9.2 “Auditoría interna” se señala: “La organización debería llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca de si el Sistema de Gestión de Compliance: a) Cumple los requisitos propios de la organización para su Sistema de Gestión de Compliance y los requisitos de esta norma internacional.
b) Se implementa y mantiene eficazmente.
Se pueden realizar auditorías adicionales en caso de que sea necesario”.
Pongo de manifiesto que la tercera línea es la que tiene una menor capacidad de reacción, ya que habitualmente la función de auditoría interna audita una única vez al año, salvo que haya habido cambios sustanciales en la organización.
Al igual que la segunda línea, debe reportar a alto nivel para ser capaz de desempeñar sus funciones de manera independiente. Debe tener un canal directo con los órganos de gobierno corporativo.
2.4 Cuarta línea de defensa
Si bien no cabe hablar de una cuarta línea en el modelo de las tres líneas de defensa, sí que puede llegar a darse.
En última instancia, siempre están los Reguladores y las Autoridades de Control con capacidad de supervisión, y la propia Administración de Justicia, erigiéndose como cuarta línea de defensa, no de la propia organización en este caso, sino de la sociedad en general.
No obstante, debe tenerse en cuenta que existe la función de auditoría externa, que no está bajo el control de la organización y deberíamos considerarla cuarta línea de defensa. En el mundo de las normas ISO, interviene cuando se desea certificar el Sistema de Gestión. En este sentido recordaré que la norma ISO 19600:2014 no es certificable, únicamente lo son las normas que acaban en “1”, por lo que la futura UNE 19601:2017 “Sistemas de Gestión de Compliance Penal”, sí que lo será.
3. RELACIONES O INTERFACES ENTRE LÍNEAS
En la página 5 del documento señala: “Es importante tener claro que la prevención, al igual que otras obligaciones relacionadas con la clientela, no es algo que sea tarea exclusiva de las unidades técnicas de prevención, sino que es una función consustancial a las unidades comerciales, a las redes de negocio (minorista, corporativa, banca privada, banca de negocios, etc.) o a las distintas líneas de actividad, porque son las áreas de negocio las que se relacionan con los clientes, y las que aplican las medidas de diligencia debida con ellos, por lo que deben implicarse muy activamente en la función de prevención. El primer filtro del sistema de prevención del sujeto obligado se sitúa en el establecimiento de la relación con los clientes y esa relación es responsabilidad de las unidades de negocio que actúan como primera línea de defensa ante el BC/FT”.
Tras esta ratificación de conceptos, sigue diciendo: “Los sujetos obligados tendrán que establecer un cauce o procedimiento ágil de retroalimentación, comunicación o “feed-back” entre sus órganos de prevención y las unidades de negocio, en relación con aquellos riesgos en los que puedan estar incurriendo en función de la actividad desarrollada, estableciendo asimismo las medidas necesarias para mitigarlos”.
Con esto está abriendo una interfaz bidireccional entre la primera y la segunda líneas de defensa.
Entre la tercera u las otras dos, también está clara la relación, ya que la función de auditoría recibe información al auditarlas y luego les notifica los hallazgos mediante el correspondiente Informe de Auditoría. A su vez ambas líneas auditadas elaborarán un Plan de Acciones Correctivas (PAC) que facilitarán a la tercera línea.
4. PRÁCTICAS RECOMENDADAS
Basándonos en las apreciaciones del Instituto de Auditores Internos (IIA) [1], desde una perspectiva general deben considerarse las siguientes recomendaciones:
- 3 líneas de defensa: Los procesos de riesgo y control deben ser estructurados de acuerdo con el Modelo de las Tres Líneas de Defensa.
- Mantener la estructura: Las líneas de defensa, pese a existir interfaces entre ellas, no deberían mezclarse de forma que pueda verse comprometida su independencia.
- Definición de políticas: Cada línea de defensa debería apoyarse en procedimientos y políticas específicas.
- Roles: Deberán definirse claramente las funciones de los roles relevantes para cada línea.
- Coordinación: Debe existir una adecuada coordinación entre las distintas líneas de defensa, compartiendo conocimiento, para fomentar la eficacia y la eficiencia y tender hacia un mejor cumplimiento.
- Si se mezclan líneas: Aunque debe evitarse, en las situaciones en que las funciones de las diferentes líneas se mezclen, los Órganos de Gobierno deben ser informados de la débil estructura y su impacto. La Alta Dirección y/o los Órganos de Gobierno deberán explicar y dar a conocer a las partes interesadas porqué han considerado esa estructura como suficiente para el aseguramiento de la eficacia del gobierno de la organización y de la gestión del riesgo y control interno.
5. TABLA RESUMEN
Sin que pretenda ser una lista exhaustiva, se puede considerar las siguientes responsabilidades de cumplimiento para cada una de las tres líneas de defensa:
Responsabilidades de cumplimiento de cada línea de defensa
1ª Línea 2ª Línea 3ª Línea
§Identificar y Evaluar los riesgos de las diferentes operaciones en su área de negocio. §Controlar y mitigar los riesgos de sus operaciones. §Implementar y adaptar los controles, manteniendo su eficacia en el tiempo. §Asegurar el cumplimiento de las normas internas y legislación aplicable a sus operaciones. §Ejecutar análisis y evaluaciones de los riesgos de los que son propietarios. §Implementar procedimientos que le permitan cumplir las normas de Compliance que le afecten. §Informar a la segunda línea las variaciones en el riesgo o en las circunstancias de control. §Elaborar el marco para la gestión del riesgo en la organización. §Promover y ayudar en la gestión del riesgo de toda la organización. §Verificar que las acciones para mitigar los riesgos se apliquen con eficacia. §Asesorar a los propietarios de los riesgos a definir el apetito de riesgo en las operaciones. §Ayudar a crear los controles de la primera línea de defensa. §Monitorizar los controles de gestión operativa. §Asegurar que la primera línea de defensa está bien diseñada e implantada, y que su desempeño es el adecuado. §Gestionar de manera especializada los riesgos transversales de la organización. §Monitorear la implementación de los controles para tratamiento de los riesgos transversales. §Otras funciones según el alcance definido (Compliance Penal, PTL, Privacidad…) §Colaborar a asegurar el gobierno corporativo, la gestión del riesgo y el control interno. §Evaluar la forma en que la primera y segunda línea de defensa operan. §Informar a la primera y segunda líneas del resultado de las evaluaciones. §Asegurar que se estén cubriendo adecuadamente las responsabilidades de la primera y segunda línea de defensa. §Revisar la gestión de los riesgos más relevantes de la organización. §Asesorar a los órganos de gobierno de la organización respecto la gestión de los riesgos. §Revisar el Plan de Acciones Correctivas (PAC) aportado por los auditados.
6. BIBLIOGRAFÍA CONSULTADA
IIA 3 líneas de defensa
- [2] SEPBLAC. “Recomendaciones sobre las medidas de control interno para la prevención del blanqueo de capitales y de la financiación del terrorismo”. 4 de abril de 2013.
Recomendaciones SEPBLAC
7. CONTROL DE CAMBIOS DEL ARTÍCULO
Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.
Fecha Cambio Responsable
26/01/2017 Redacción inicial del artículo Autor
8. DERECHOS DE AUTOR
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre el autor:
A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificaciónCDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).
A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es vocal de la Junta Directiva - miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales y FT), socio de CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo), asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de ENATIC (Asociación de expertos nacionales de la abogacía TIC), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. Ha obtenido, junto a algunos miembros de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT), un premio compartido otorgado por la AEPD.