gobierno del riesgo de cumplimiento - … · gobierno del riesgo de cumplimiento relación entre...
TRANSCRIPT
P R Á C T I C A S D E B U E N G O B I E R N O
LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Gobierno del Riesgo de Cumplimiento Relación entre Auditoría Interna y Cumplimiento Normativo
El INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.
El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el intercambio de conocimientos entre los socios.
AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO
MIEMBROS DE LA COMISIÓN TÉCNICA
COORDINACIÓN: José Enrique Díaz Menaya, CIA, COSO, CRMA, ROAC. BERGÉ Y CÍA.
Carlos Balmisa García-Serrano, CIA. COMISIÓN NACIONAL DE MERCADOS Y
COMPETENCIA (CNMC).
Mariano José Casado Carrillo de Albornoz, CFE. IBERDROLA.
José Antonio Castrillo Nuevo, CISA, CISM, CGEIT. MAZARS AUDITORES. Enric Domenech Rey, CRMA, ROAC. BDO.
Cristina Fabre Chicano, ROAC. CEPSA.
Eduardo García Rivas. EY.
Cristina González Barreda, CIA. GRUPO BBVA.
Blanca Lantarón Martín, , CIA. RED ELÉCTRICA DE ESPAÑA.
Eva López de Sebastián Miro. VIESGO INFRAESTRUCTURAS ENERGÉTICAS.
Caroline Marion, COSO. EVO BANCO.
Carlos Méndez-Trelles García. RED ELÉCTRICA DE ESPAÑA.
María Isabel Morte Gómez, CIA. AMEC FOSTER WHEELER ENERGÍA.
Eduardo Navarro Villaverde. CALIDAD PASCUAL - CUMPLEN.
María de la Sierra Pérez García, CIA. GRUPO MUTUA MADRILEÑA.
José Antonio Rosich Parte, CIA. LIBERBANK.
Caridad Saboya Mariscal. FINTONIC
P R Á C T I C A S D E B U E N G O B I E R N O
LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Junio 2018
Gobierno del Riesgo de Cumplimiento Relación entre Auditoría Interna y Cumplimiento Normativo
Instituto de Auditores Internos de España
Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es
Depósito Legal: M-20681-2018
ISBN: 978-84-948405-2-4
Diseño y maquetación: desdecero, estudio gráfico
Impresión: Grafilia
Propiedad del Instituto de Auditores Internos de España. Se permite la reproducción total o parcial y la comunicación
pública de la obra, siempre que no sea con finalidades comerciales, y siempre que se reconozca la autoría de la obra
original. No se permite la creación de obras derivadas.
3
PRÁCTICAS DE BUEN GOBIERNO
El contexto regulatorio en el que operan las empresas es exigente y complejoy las consecuencias de no gobernarlo adecuadamente puede tener enormesimpactos, que van desde la clausura temporal o total de la actividad de laempresa hasta pérdidas financieras derivadas de sanciones fijadas por un tri-bunal. A ellas se suma la pérdida de confianza por parte de clientes e inver-sores, entre otros grupos de interés.
Ante este contexto, el Gobierno del riesgo de Cumplimiento requiere que lasorganizaciones presten especial atención a la identificación, gestión y controlde este riesgo dentro sus modelos y sistemas de gestión de riesgos dado quepuede aparecer en cualquier proceso y actividad que lleve a cabo la empresa.
Al igual que todo el Sistema Integral de Gestión de Riesgos, corresponde alConsejo de Administración establecer y fomentar una cultura de cumplimien-to alineada con la voluntad de cumplir, además de fijar una estructura queasegure la adecuada cobertura de este riesgo.
No existe un modelo único de Gobierno del riesgo de Cumplimiento en lasorganizaciones (salvo en las de sectores regulados, banca y seguros), que es-tablezca cómo se debe desplegar en la estructura, organización interna y lí-neas de reporte; sino que deben considerarse el tamaño de la empresa, elgrado de madurez y complejidad del sistema de control, así como los recur-sos disponibles y la existencia de otras funciones de aseguramiento.
Felicito a los autores de esta guía, profesionales de la Auditoría Interna y delCumplimiento, por proponer un modelo abierto que asegure una adecuadarelación y colaboración entre las áreas de Cumplimiento y Auditoría Internaque sirva para proteger el valor de empresas y organizaciones, fin último quedebe guiar el Gobierno de este riesgo, complejo y transversal.
Instituto de Auditores Internos de España
5
PRÁCTICAS DE BUEN GOBIERNO
ÍndiceINTRODUCCIÓN
ROLES Y RESPONSABILIDADES
RELACIONES ENTRE CUMPLIMIENTO Y AUDITORÍA INTERNA
El mapa de aseguramiento ...................................................................................... 19
Riesgos con enfoque de Auditoría Interna .......................................................... 20
Evaluación del aseguramiento proporcionado por Cumplimiento ................ 22
Riesgos con enfoque de Cumplimiento ............................................................... 24
ESTRUCTURA DE CUMPLIMIENTO
Estructura orgánica ......................................................................................................25
Dependencia jerárquica ............................................................................................. 26
Reporte funcional ........................................................................................................ 27
CONSIDERACIONES FINALES
06
08
18
25
27
6
PRÁCTICAS DE BUEN GOBIERNO
La naturaleza del riesgode cumplimientorequiere mayoratención para suidentificación, gestión ycontrol, e integrarlo enlos sistemas de gestióny control de riesgos.
Con un entorno regulatorio y una sociedadcada vez más exigentes, es indispensable quelas entidades –más globales y complejas–identifiquen, gestionen y controlen los riesgosque puedan interferir en la consecución desus objetivos.
Entre estos riesgos están los denominados“de cumplimiento”, cuyo impacto puede pro-vocar desde la clausura temporal o total de lasociedad, la administración judicial, sancioneso pérdidas financieras fijadas por un tribunalpor incumplimientos legales, hasta incidenciasreputacionales por compromisos adquiridoscon terceros que podrían sacar a la sociedaddel mercado. La naturaleza y repercusión deestos riesgos, que pueden darse a lo largo detodos los procesos y actividades de una orga-nización hace que los órganos de administra-ción, dada su obligada diligencia y responsa-bilidad1, se muestren especialmente sensiblesa su gestión y control.
En este contexto, es importante integrar elriesgo de cumplimiento normativo en la ges-tión y control de riesgos. El Cumplimiento de
la entidad define una Cultura que contiene in-trínsecamente un modo de relacionarse en elmercado de una manera ética y responsablecon las obligaciones legales, regulatorias ysectoriales, contratos y, si cabe en mayor me-dida, satisfaciendo los compromisos autoim-puestos internamente.
Una regulación cada vez más clara y exigenteen este sentido, y la naturaleza de este tipode riesgos –que pueden aparecer a lo largode todos los procesos y actividades de una or-ganización– requieren que las organizacionespresten una mayor atención a la identifica-ción, gestión y control de los riesgos de cum-plimiento y a la necesidad de considerarlosdentro de sus modelos o sistemas de gestiónde riesgos, por lo que cada vez más entidadeshan implantado, o van a implantar, modelosde Corporate Compliance2 (CumplimientoCorporativo).
Así, por ejemplo, la reforma del Código Penalespañol de 2015 en lo relativo a la responsa-bilidad penal de las personas jurídicas (LeyOrgánica 1/2015 de 30 de marzo, que modifi-
Introducción
1. Artículo 225 de la ley 31/2014, de 3 de diciembre, por la que se modifica la Ley de Sociedades de Capital para la mejo-ra del gobierno corporativo.
2. UNE-ISO 19600:2015, Sistemas de Gestión de Compliance.
7
PRÁCTICAS DE BUEN GOBIERNO
ca la Ley Orgánica 10/19953) supuso un im-pulso importante en la implantación y defini-ción de modelos de Cumplimiento Corporati-vo estructurados y formalizados en las orga-nizaciones. Estos modelos, si cumplen lascondiciones previstas en las normativas quelos contemplan, pueden mitigar e incluso exi-mir de determinadas responsabilidades al serelementos que evidencian la debida diligenciay control con la que deben actuar directivos yadministradores.
La Alta Dirección de la Organización, comoresponsable de la gestión, control y supervi-sión de este tipo de riesgos4, debe definir elalcance de su compromiso y fomentar unacultura alineada con la voluntad de cumplir,siendo ejemplo de tal compromiso.
El gráfico a la derecha refleja una relación en-tre el grado de voluntad de la entidad con laCultura de Cumplimiento, según el alcance detrabajo que tenga la función de Cumplimien-to.
La pirámide parte de los requisitos básicospara operar en el mercado, pasando a losmodelos de prevención de delitos, riesgos le-gales de continuidad de negocio (aquellosdonde el impacto económico o reputacionaldificultaría la continuidad normal del nego-cio), llegando a un alcance de cumplimientonormativo (donde pretendemos asegurar to-dos los cumplimientos legales aunque seanmenores, códigos internos e instrucciones dela propia organización) hasta terminar en elCompliance (donde se amplía el alcance an-terior con los compromisos voluntarios acep-
tados por la organización con el conjunto delos grupos de interés).
No existe un modelo único que establezca có-mo debe ser el desarrollo de la estructura, or-ganización interna y líneas de reporte del áreade Cumplimiento. Aunque en las organizacio-nes a partir de un nivel estructural medio exis-te una clara tendencia prospectiva al nombra-miento de un Director de Cumplimiento(Compliance Officer), la solución práctica de-pende de diversos factores, como la existenciade regulación sectorial específica (caso delsector financiero), el tamaño de la empresa, elgrado de madurez y los roles de otras funcio-nes.
Por prescripción legal, el director de Cumpli-miento debe disponer de la máxima indepen-dencia y autonomía para evitar posibles inter-ferencias, conflictos de interés o represiones
3. Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
4. Recomendaciones 45 y 46 del Código de Buen Gobierno de las Sociedades Cotizadas.
CULT
URA
DE C
UMPL
IMIE
NTO
+
- OBLIGACIONES LEGALES OPERATIVAS
MODELO DE PREVENCIÓN DE DELITOS
RIESGOS DE CUMPLIMIENTO +CONTINUIDAD DE NEGOCIO
CUMPLIMIENTONORMATIVO
COMPLIANCE
IMPUESTOS SEGURIDADY SALUD
MEDIOAMBIENTE
ETC.
Fuente: Elaboración propia
8
en el desarrollo de sus funciones. Lo más ha-bitual es que dependa y/o tenga una línea di-recta de reporte por una parte, con la Alta Di-rección y por otra, con los órganos de gobier-no o alguna de sus comisiones delegadas queejerzan las funciones de supervisión y controlcomo, por ejemplo, la Comisión de Auditoríao la de Ética y Responsabilidad.
Cada organización debe evaluar –en base ala normativa que le resulta de aplicación, sugrado de madurez, disponibilidad de recursos,complejidad y otra serie de variables– la me-jor manera de definir e implantar la funciónde Cumplimiento para lograr los objetivos quepersigue. Los diferentes modelos de implanta-ción se tratan al detalle en el apartado Estruc-tura de Cumplimiento de este documento.
La creación de esta nueva función de Cumpli-miento y su consolidación en aquellas organi-zaciones en las que ya estaba presente, así
como una mayor sensibilización hacia los ries-
gos de Cumplimiento por parte de los stake-holders, afectan a la responsabilidad de Audi-
toría Interna sobre la evaluación de la eficacia
y a la contribución por mejorar los procesos
de gestión de riesgos, incluyendo en su ámbi-
to de actuación los riesgos de cumplimiento a
los que está expuesta su Organización.
Ahora, la cuestión que se plantea es cómo se
debe articular la relación entre las áreas de
Auditoría Interna y de Cumplimiento para que
ambas alcancen sus objetivos. Si bien la res-
puesta estará claramente influenciada por el
modelo establecido en la propia Organiza-
ción, una adecuada definición de sus respecti-
vos roles y responsabilidades, la existencia de
protocolos de coordinación entre ambas y la
comunicación de sus actividades al resto de la
Organización serán factores clave del éxito y
de la efectividad de las dos áreas.
PRÁCTICAS DE BUEN GOBIERNO
Cada organizacióndebe evaluar la mejorforma de definir eimplantar la función deCumplimiento paralograr los objetivos quepersigue.
Roles y responsabilidadesAntes de abordar el modelo de relación entre
las áreas de Cumplimiento y Auditoría Inter-
na conviene repasar los OBJETIVOS PRINCI-
PALES de ambas:
· Cumplimiento. Encargada de impulsar la
cultura de cumplimiento, asesorar y apoyar
a los órganos de Administración en la im-
plantación y supervisión de los mecanismos
necesarios para asegurar que se cumpla
con las disposiciones legales, reglamenta-
rias y administrativas que afecten a la enti-
dad, así como de su normativa interna y
compromisos autoimpuestos. Su función es
supervisar el diseño de procesos y controles
preventivos y detectivos para el asegura-
miento y vigilar su eficacia.
· Auditoría Interna. Actividad independiente
y objetiva de aseguramiento y consulta que
se encarga de agregar valor y mejorar las
operaciones de la organización para ayu-
darla a cumplir sus objetivos. Aporta un en-
foque sistemático y disciplinado para eva-
luar y mejorar la eficacia de los procesos de
gestión de riesgos, control y gobierno, in-
cluyendo por tanto los riesgos de cumpli-
miento. Estos riesgos deben ser considera-
dos por Auditoría Interna en la elaboración
de su Plan Anual.
9
El Modelo de las Tres Líneas de Defensa parauna efectiva gestión de riesgos y control5 asig-na las RESPONSABILIDADES en materia degestión y supervisión de riesgos en tres nive-les. Este modelo será la base para diferenciarlos roles y responsabilidades de ambas fun-ciones:
· La gerencia operativa, es decir, la PrimeraLínea de Defensa es realmente quien ges-tiona los riesgos.
· Cumplimiento se emplaza en la SegundaLínea de Defensa. Promueve y apoya a laorganización en la implantación y supervi-sión de mecanismos que le permitan cum-plir sus objetivos en materia de cumpli-miento, asegurando el control y mitigaciónde los riesgos de cumplimiento, la preven-ción de delitos y la cultura de cumplimento,e informando de manera autónoma a losórganos de gobierno corporativo de la si-
tuación del sistema de cumplimiento. En surelación con Auditoría Interna, alertará delos riesgos presentes y futuros de cumpli-miento para un correcto entorno de con-trol.
· Auditoría Interna se emplaza en la TerceraLínea de Defensa. Revisa que los diferentesmecanismos establecidos por las funcionesde la Primera y la Segunda Líneas de De-fensa operen de manera correcta y cubranlos objetivos pretendidos. Adicionalmentedeberá evaluar periódicamente el diseño yla efectividad de los diferentes modelos decumplimiento.
Por tanto, la RELACIÓN entre Cumplimiento yAuditoría Interna debe articularse como unarelación de Segunda y Tercera Línea de Defen-sa, con objetivos comunes de prevención ymitigación de riesgos, preservando ambas un
PRÁCTICAS DE BUEN GOBIERNO
Auditoría Interna yCumplimiento deben
preservar un grado deindependencia que
permita evaluarobjetivamente el
modelo de control y lagestión del riesgo de
cumplimiento.
1ª LÍNEA DE DEFENSA
La Dirección de cada departamento es responsable de instrumentalizar y poner en práctica la gestión de sus riesgos y controles internos. Incluye, principalmente, los departamentos de carácter operacional: producción o negocio comercial, financiera, contabilidad, tecnología e información, recursos humanos.
2ª LÍNEA DE DEFENSA
Las funciones de cumplimiento y gestión de riesgos coordinan el modelo de gestión de riesgos y aseguran el cumplimiento de las políticas y estándares de control definidos, en línea con el apetito de riesgo de la entidad.
3ª LÍNEA DE DEFENSA
Constituida por la función de Auditoría Interna, con responsabilidad de aportar un nivel de supervisión y aseguramiento objetivo, y asesorar en temas de buen gobierno y procesos de organización.
Fuente: Elaboración propia
5. ECIIA, Confederación Europea de Institutos de Auditores Internos, y FERMA (Federación Europea de Asociaciones de Gestiónde Riesgos). Modelo de las Tres Líneas de Defensa para una efectiva gestión de riesgos y control, diciembre 2011.
10
grado de independencia que permita la evaluación objetiva de la eficacia delmodelo de organización y control diseñado, y de la gestión de riesgos de cum-plimiento.
A continuación y, siguiendo un enfoque basado en el marco de control internopropuesto por COSO6 para cada uno de los cinco componentes de control in-terno, se recoge un resumen de los roles y responsabilidades clave de Cumpli-miento y Auditoría Interna en el Modelo de Cumplimiento de una organización.Refleja un modelo generalista sujeto a las particularidades que sean aplicablesen cada caso, especialmente cuando se responde a un requerimiento legal, yasea a nivel sectorial o previsto en una normativa para una temática específica:
PRÁCTICAS DE BUEN GOBIERNO
Operacio
nes
Información
Cumplimien
to
A niv
el de
Org
aniza
ción
Divis
iónUn
idad O
pera
tiva
Func
ión
Entorno de Control
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Supervisión
ot
nfoma ión
no de Contr
ci
Entor
mInformaci
ónac
Ope acne
Operacio
nesc
ónón
liCumplim
en
ónvaiva
ol
ciónno de Contr ión
ativaació
Cumplimien
tonn
ó
u
C
R
c
i
u
Supervisión
Información y Comunic
Actividades de Con
Evaluación de RiesgEvaluación de Riesgosga
n
FInformación y Comunicación
Fuol
óFu
nció
Actividades de Contró
ganiz
a
Unidnid
ad O
penid
aOp
era
Ope
A Di
visA
nvis
iónvis
A niv
el de
gan
dede O
r
6. COSO (Committee of Sponsoring Organizations of the Treadway Commission). Control Interno - Marco Integrado, mayo 2013.
ENTORNO DE CONTROL
ROLES Y RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
Relación con la gestión Independiente de las operaciones de Independiente de lasla organización y responsable de la operaciones de la organización. dirección/coordinación del riesgo decumplimiento.
Autoridad interna Acceso a toda la Organización. Acceso a toda la Organización.
Código ético Elabora y difunde, asegurando la Audita y revisa su cumplimiento.comprensión y cumplimiento de lasnormas de conducta.
Políticas y procedimientos Propone, lidera e implanta políticas Audita y verifica su implantación.y procedimientos propios del área deCumplimiento en función de las expectativas y objetivos de inversores y otros grupos de interés.
Promueve la integración de lasobligaciones de cumplimiento y de gestión de riesgos asociadas, en las políticas y procedimientos de la Organización.
Controles específicos Desarrolla actividades de control e Audita y revisa su cumplimiento. indicadores cuantificables yevaluables incorporados en los procesos de la organización en relación a los objetivos de cumplimiento.
Evaluación del Define indicadores de cumplimiento. Audita su cumplimiento.cumplimiento de lasnormas de conducta
Canal ético Define y asegura su adecuado Audita el procedimiento, el funcionamiento, además de funcionamiento y la gestión delgestionarlo. canal.
Conductas irregulares Previene, detecta e investiga. Detecta e informa.
Conocimientos Jurídicos y regulatorios, Control Marco Internacional para laespecializados relevantes Interno, gestión por procesos y Práctica Profesional de la
gestión de riesgos. Auditoría Interna, Control Interno, gestión de riesgos, fraude y otras materias específicas para cubrir los distintos riesgos de la Organización, regulación, gestión por procesos, Financieros.
Desviaciones de objetivos Mide valores esperados frente a Audita la gestión de lasvalores reales en el ámbito de los desviaciones. objetivos de la Organización respectoal riesgo de cumplimiento.
Estructura de Promueve la incorporación de Asegura la existencia deresponsabilidades de responsabilidades en materia de mecanismos de rendición decontrol interno Cumplimiento y control interno en cuentas, auditando su
las descripciones de puestos y en el existencia y elaborandosistema de evaluación de desempeño. recomendaciones.
Sistema de control Promueve, supervisa y define la Audita la adecuación yinterno estructura de Control Interno efectividad del sistema de
respecto al riesgo de cumplimiento, Control Interno de toda la incorporando a toda la Organización. Organización.
Cambios en el entorno Reaccionan de manera dinámica Actualiza el Análisis de Riesgos, de negocio. ante los cambios, estudiando pudiendo modificar su plan de
posibles impactos relacionados con auditoría para ser aprobadoel riesgo de cumplimiento en la por la Comisión de Auditoría.Organización e informando a laDirección y Consejo de Administración cuando proceda.
Régimen sancionador. Promueve y define, junto con otras Revisa la existencia del áreas de la Organización, la procedimiento y audita el definición de un régimen proceso de aplicación de sancionador adecuado frente sanciones disciplinarias.a incumplimientos.
11
PRÁCTICAS DE BUEN GOBIERNO
ENTORNO DE CONTROL
ROLES Y RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
12
PRÁCTICAS DE BUEN GOBIERNO
EVALUACIÓN DE RIESGOS
ROLES Y RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
Risk assessment Elabora junto con las unidades de Audita el proceso de la negocio. Organización y propone
recomendaciones de mejora.Elabora el plan de Auditoría Interna en base a un análisis de riesgos, con el input de la Alta Dirección y la Comisión de Auditoría.
Evaluación del entorno Constante. Aborda nuevas Periódica. Revisa el regulatorio implicaciones. Asegura el cumplimiento por parte de la
cumplimiento del negocio. Organización.
Respuestas a los riesgos Consensua con las unidades de Audita el sistema de respuesta a negocio respuestas adecuadas a los los riesgos de toda lariesgos de cumplimiento, siempre Organización incluyendo loscumpliendo con los objetivos de la riesgos de cumplimiento.Organización y el nivel de RiesgoAceptado por el Consejo de Administración.
Parámetros de Define junto con otras funciones de Audita, en función de su plan dedesempeño, incentivos la Organización y asegura su revisión auditoría, las estructuras dey recompensas periódica. recompensas y la medición de
los resultados de la Organización, asegurando que estos respaldan un Sistema de Control Interno efectivo sin presiones excesivas.
Apetito al riesgo Define, con la aprobación del Verifica la definición formal delConsejo de Administración, el apetito al riesgo validada por elapetito al riesgo de Cumplimiento Consejo de Administración. en la Organización, establece los Audita su Cumplimiento y quemecanismos apropiados de gestión la información que fluyey vigilancia para asegurar que el hacia el Consejo sea veraz.valor real esté dentro del apetitodefinido e informa al Consejo de lasituación de este con la frecuencia establecida y siempre que sea necesario.
13
PRÁCTICAS DE BUEN GOBIERNO
EVALUACIÓN DE RIESGOS
ROLES Y RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
Funciones de Proporciona asesoramiento en Proporciona asesoramiento enasesoramiento materia de cumplimiento al gobierno materia de gobierno, gestión de
y negocio de la Organización. riesgos y control.
Enfoque de trabajo Basado en Riesgos y procesos. Basado en riesgos a nivel Organización, incluidos los de Cumplimiento.
ACTIVIDADES DE CONTROLResponsabilidades Ostenta responsabilidades operativas Es responsable de realizar los
operativas relacionadas con el proceso de trabajos de auditoría interna.gestión del sistema de cumplimiento, No ostenta ningún tipo dey se encarga de supervisar su responsabilidad operativa. funcionamiento e integración con elresto de los procesos manteniendola debida autonomía con las unidades operativas.
Programas de Define, ejecuta y supervisa. Audita su suficiencia y correctacumplimiento ejecución.
Metodología de trabajo Basada en gestión de riesgos y Basada en gestión de riesgos.procesos. No existe una metodología Aporta un enfoque sistemático estandar generalmente aceptada y disciplinado siguiendo las para llevar a cabo las actividades Normas Internacionales para la de monitorización. Práctica Profesional de la
Auditoría Interna.
Gestión por procesos Incorpora en los procesos de la Audita los procesos y los organización las actividades controles existentes en base ade control necesarias y suficientes riesgos.para mitigar los riesgos de cumplimiento, que deben ser evaluables a través de indicadores específicos.
Integración con la Identifica y pone en marcha las Audita la evaluación de riesgos y evaluación de riesgos acciones necesarias para llevar a los controles establecidos para
cabo respuestas ante riesgos su mitigación.específicos de cumplimiento.
Integración con el resto Establece la dependencia y Revisa la efectividad del de los procesos de la vinculación entre los procesos resultado. organización de negocio, riesgos de cumplimiento,
actividades de control e indicadores de cumplimiento.
14
PRÁCTICAS DE BUEN GOBIERNO
ACTIVIDADES DE CONTROL
ROLES Y RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
Planes de acción de En los procesos con impacto en el Recomienda y realiza sumejora de control interno cumplimiento propone y coordina su seguimiento de implantación.
implantación junto con las unidades de negocio.
Seguimiento Define indicadores de desempeño Realiza el seguimiento de las claves en la ejecución de los planes recomendaciones realizadas de acción para la mejora del control para determinar si la direccióninterno en el ámbito del riesgo de ha implantado adecuadamentecumplimiento. sus compromisos.
Definición de controles Propone y promueve la implantación Recomienda la incorporación y/o de mecanismos de control, mejora de controles clave paraasegurando un equilibrio de dar cobertura a los riesgos, yenfoques y metodologías para asesora sobre la eficacia emitigar los riesgos de cumplimiento, implantación de estos.teniendo en cuenta tanto controlesmanuales como automatizados y controles preventivos y de detección.
Formación Define e identifica las necesidades Verifica conocimientos y de formación y coordina su cumplimiento del plan deimpartición junto con las unidades formación, detecta necesidades de negocio. Responsable de de formación. No tienecoordinar la formación a empleados responsabilidades específicas de alto riesgo sobre materias de formación. Provee formaciónespecíficas relacionadas con el profesional continua a loscumplimiento. auditores internos para
perfeccionar sus conocimientos, aptitudes y otras competencias.
INFORMACIÓN YCOMUNICACIÓN Contenido del reporting Informa sobre los riesgos de Informa periódicamente sobre la
cumplimiento, mecanismos de control, actividad en lo referido alresultado de las acciones mitigadoras, propósito, autoridad,riesgos residuales y eventuales responsabilidad y desempeño desituaciones de incumplimiento. su plan, y sobre el cumplimiento
del Código de Ética y las Normas.El informe también debe incluir cuestiones de control y riesgos significativos, incluyendo riesgos de fraude, cuestiones de gobierno.
Reporting interno en la Reporta a la Alta Dirección y al A la Alta Dirección y/o al organización Consejo de Administración. Consejo de Administración.
Reporting a supervisores Ejecuta. Audita para asegurar su calidad y oportunidad.
15
PRÁCTICAS DE BUEN GOBIERNO
SUPERVISIÓN
ROLES Y RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
Evaluación de la Lleva a cabo un control constante de Audita periódicamente efectividad de los los procesos relacionados con el determinados procesosprocesos y controles riesgo de cumplimiento para seleccionados en base a riesgos.definidos asegurar que están funcionando
según lo previsto.
Evaluación del Define indicadores y promueve su Audita y recomienda mejoras. desempeño incorporación en los mecanismos de
evaluación de desempeño.
Oportunidades de mejora Identifica, promueve y apoya su Recomienda.de control interno implantación.
Auditoría Puede llevar a cabo auditoría o Rol propio de Auditoría Interna. testing de operaciones de aquello Los proyectos de Auditoría sobre lo que no tiene Interna se llevan a cabo de responsabilidad. acuerdo con el Marco
Internacional para la Práctica Profesional de la Auditoría Interna. En base a un análisis de riesgos, audita la existencia y efectividad del sistema de gestión de cumplimiento.
Monitorización Rol propio de Cumplimiento. El área Debe cumplir su programa de de Cumplimiento es responsable de calidad y asegurar quellevar a cabo una monitorización periódicamente se revisacontinua del cumplimiento en la actividad de Auditoría Interna. general.
Fuente: Elaboración propia
Resumiendo, el área de Cumplimiento asumefundamentalmente responsabilidades relacio-nadas con el asesoramiento y la coordinacióndel sistema de gestión de cumplimiento, apli-ca una metodología basada en las mejoresprácticas y normativa vigente, y sigue un en-foque basado en riesgos. Asimismo, vela porel funcionamiento global del sistema o mode-lo de cumplimiento de la organización a tra-vés de su supervisión. En cuanto a las respon-sabilidades de Auditoría Interna, están másrelacionadas con la revisión de los resultados
del modelo/sistema de cumplimiento. Y lo ha-ce revisando la adecuación de su diseño y ve-rificando la efectividad de los controles.
Ambas áreas requieren una posición de inde-pendencia con respecto a la línea ejecutiva y,en gran medida, se complementan. Existenorganizaciones en las que Auditoría Internadesempeña roles propios de Cumplimiento.
En estas situaciones, hay que considerar laperspectiva de las Tres Líneas de Defensa, que
16
definen la estructura de responsabilidades enlos sistemas de control interno, especialmenteen lo relativo a la salvaguarda de aquellasresponsabilidades propias e indelegables dela línea ejecutiva. Y, además, hay que sentarlas bases para no comprometer la actuaciónde Auditoría Interna en cuanto a la indepen-dencia que debe mantener frente a las activi-dades y áreas que evalúa7.
La Norma 1000 del Marco Internacional parala Práctica Profesional de la Auditoría Interna(en adelante MIIP) establece que “el propósi-to, la autoridad y la responsabilidad de la ac-tividad de Auditoría Interna deben estar for-malmente definidos en un estatuto, en con-formidad con la Misión de Auditoría Interna ylos elementos de cumplimiento obligatoriodel MIIP”.
En el caso de las actividades propias del áreade Cumplimiento –que Auditoría Interna pue-
de realizar con las debidas salvaguardas– hayque considerar la Norma 1130.A2 del MIPPque establece que “los trabajos de asegura-miento para funciones por las cuales el Direc-tor de Auditoría Interna tiene responsabilida-des deben ser supervisadas por alguien fuerade la actividad de Auditoría Interna”8.
Además de las funciones de Auditoría Internay Cumplimiento, en muchas organizacionesexisten otras actividades de aseguramientoque podrían funcionar como socios estratégi-cos del área de Cumplimiento a la hora de lle-var a cabo la implantación y mejora continuade un modelo de cumplimiento. Asesoría Jurí-dica, Gestión de Riesgos, Comunicación Inter-na y Recursos Humanos, entre otras, han detener un papel fundamental como integrantesdel sistema de cumplimiento y con responsa-bilidades específicas relacionadas con la im-plantación y funcionamiento del programa decumplimiento en la organización.
PRÁCTICAS DE BUEN GOBIERNO
7. Instituto de Auditores Internos de España. La Fábrica del Pensamiento. Marco de Relaciones de Auditoría Interna conotras Funciones de Aseguramiento, 2013.
8. The Global IIA. Internal Audit and the Second Line of Defense Practice Guide, 2016.
MATRIZ DE RESPONSABILIDADES DE CUMPLIMIENTO DE LAS ÁREAS DE CUMPLIMIENTO, AUDITORÍAINTERNA Y OTRAS FUNCIONES DE ASEGURAMIENTO DE LA ORGANIZACIÓN
ENTORNO DE CONTROL NEG
OCI
O
ASES
ORÍ
A JU
RÍDI
CA
RECU
RSO
S HU
MAN
OS
1ª Línea
GES
TIÓ
N D
E RI
ESG
OS
RSC
Y CO
MU
NIC
ACIÓ
N
CUM
PLIM
IEN
TO
AUDI
TORÍ
A IN
TERN
A
2ª Línea 3ª Línea
Impulsa la creación y modificación continua de normatriva de la compañía relacionada con las actividades de Cumplimiento (Código ético, políticas anticorrupción, antifraude, etc.)
Establecimiento de una cultura ética y de cumplimiento en la organización y de su comunicación atodos los grupos de interés
Poner en marcha mecanismos de prevención y detección de conductas irregulares
Definir estructura de responsabilidades de Control Interno relacionada con el Cumplimiento
Realización de investigaciones de Cumplimiento
Aplicar regimen sancionador en caso de incumplimientos
Coordinación del funcionamiento del modelo de Cumplimiento
Responsabilidad global en el proceso de Cumplimiento Componente I de COSO: Entorno de Control.
Coordina y dirige ejecución
Interviene en la coordinación y dirección de ejecución en determinados aspectos que se encuentrandentro de su área de competenciaEjecuta en su área de responsabilidad atendiendo directrices de quien ostenta responsabilidad primaria
17
PRÁCTICAS DE BUEN GOBIERNO
MATRIZ DE RESPONSABILIDADES DE CUMPLIMIENTO DE LAS ÁREAS DE CUMPLIMIENTO, AUDITORÍAINTERNA Y OTRAS FUNCIONES DE ASEGURAMIENTO DE LA ORGANIZACIÓN
EVALUACIÓN DE RIESGOS
Análisis de riesgos de Cumplimiento
Establecimiento de procesos de formación, retribución y selección de personal en los que se incluyan parámetros de cumplimiento
Establecimiento de una metodología basada en la gestión de riesgos a través de la elaboración delMapa de Riesgos como elemento vertebrador
Responsabilidad global del proceso de Cumplimiento Componente II COSO: Evaluación de Riesgos
ACTIVIDADES DE CONTROL
Formación en normativa relacionada con las actividades de Cumplimiento
Asesoramiento jurídico en términos aplicados de manera continua
Elaboración del mapa de procesos
Propietarios de los riesgos y controles
Define y desarrolla actividades de control
Implantación de actividades de control
Definición del alcance del Programa de Cumplimiento
Definición y funcionamiento de la gestión por procesos
Defensa jurídica de la organización en casos de incumplimiento
Protocolos de investigación forense en relación a supuestas actividades delictivas
Monitorización de controles de cumplimiento
Revisión de efectividad de las actividades de control
Responsabilidad Global en el proceso de Cumplimiento Componente III COSO: Actividades de Control
Coordina y dirige ejecuciónInterviene en la coordinación y dirección de ejecución en determinados aspectos que se encuentrandentro de su área de competenciaEjecuta en su área de responsabilidad atendiendo directrices de quien ostenta responsabilidad primaria
INFORMACIÓN Y COMUNICACIÓN
Fiabilidad e integridad de la información
Comunicación de deficiencias de Control Interno
Garantiza el acceso a los registros en procesos penales, litigios civiles, inspecciones tributarias, revisiones reguladoras, revisiones de los contratos del gobierno y revisiones por parte de
organizaciones autorreguladas
Crea canales de comunicación con partes interesadas externas
Gestión de las comunicaciones sobre posibles incidencias del Código Ético de la compañía
Responsabilidad global en el proceso de Cumplimiento Componente IV COSO: Información y Comunicación
Fuente: Elaboración propia
NEG
OCI
O
ASES
ORÍ
A JU
RÍDI
CA
RECU
RSO
S HU
MAN
OS
1ª Línea
GES
TIÓ
N D
E RI
ESG
OS
RSC
Y CO
MU
NIC
ACIÓ
N
CUM
PLIM
IEN
TO
AUDI
TORÍ
A IN
TERN
A
2ª Línea 3ª Línea
18
PRÁCTICAS DE BUEN GOBIERNO
MATRIZ DE RESPONSABILIDADES DE CUMPLIMIENTO DE LAS ÁREAS DE CUMPLIMIENTO, AUDITORÍAINTERNA Y OTRAS FUNCIONES DE ASEGURAMIENTO DE LA ORGANIZACIÓN
SUPERVISIÓN
Emprende mejoras de Control Interno
Monitoriza de manera continua el Modelo de Cumplimiento. Estudia fallos de control
Realiza auditorías proactivas de Cumplimiento
Recomienda mejoras de Control Interno
Revisión del entorno de control y recomendación de mejoras
Revisión del modelo de Cumplimiento
Estudio de la gestión de riesgos clave de cumplimiento a través de la monitorización continua
Revisión de la gestión de riesgos clave de cumplimiento a través de la realización de auditorías
Evaluación del proceso de gestión de riesgos
Realiza seguimiento de las medidas correctivas
Responsabilidad global en el proceso de Cumplimiento Componente V COSO: Supervisión
Cumplimiento Componente I COSO III
Cumplimiento Componente II COSO III
Cumplimiento Componente III COSO III
Cumplimiento Componente IV COSO III
Cumplimiento Componente V COSO III
TOTAL TIPO DE RESPONSABILIDAD EN EL PROCESO DE CUMPLIMIENTO COSO III
Coordina y dirige ejecuciónInterviene en la coordinación y dirección de ejecución en determinados aspectos que se encuentrandentro de su área de competenciaEjecuta en su área de responsabilidad atendiendo directrices de quien ostenta responsabilidad primaria
Fuente: Elaboración propia
Si bien pueden existir diversas herramientas pa-ra establecer pautas en la relación entre las áre-as de Cumplimiento y Auditoría Interna, así co-mo con otras de la organización que tengan ro-
les relevantes en la gestión de riesgos de cum-plimiento, es necesario determinar y documen-tarla a través de un mapa de aseguramiento.
Relaciones entre Cumplimiento y Auditoría Interna
NEG
OCI
O
ASES
ORÍ
A JU
RÍDI
CA
RECU
RSO
S HU
MAN
OS
1ª Línea
GES
TIÓ
N D
E RI
ESG
OS
RSC
Y CO
MU
NIC
ACIÓ
N
CUM
PLIM
IEN
TO
AUDI
TORÍ
A IN
TERN
A
2ª Línea 3ª Línea
19
PRÁCTICAS DE BUEN GOBIERNO
EL MAPA DE ASEGURAMIENTOEs una herramienta de coordinación que permi-te identificar a los órganos de gobierno si existeuna cobertura adecuada de los riesgos relevan-tes de la organización y si la gestión de estos seencuentra dentro de los parámetros estableci-dos para alcanzar los objetivos del negocio. Eneste mapa figuran, los riesgos de mayor relevan-cia para la organización y se completa con fun-ciones específicas de aseguramiento (Cumpli-miento, Auditoría Interna, Gestión de Riesgos,etc.) que realizan controles sobre esos riesgos.
Aporta información tanto al órgano de adminis-tración como a la Alta Dirección en cuanto alaseguramiento global de los principales riesgosde la organización, y permite identificar si exis-ten riesgos críticos no adecuadamente gestiona-dos o que se encuentran “sobrecontrolados”.Eso implica una asignación ineficiente de recur-sos, con exceso de aseguramiento y/o duplici-dad de esfuerzos en la cobertura de alguno deellos (Norma 2050 - Coordinación y Confianzadel MIPP).
La existencia de un mapa de aseguramientoayuda a Auditoría Interna a coordinar sus activi-dades con otros proveedores de aseguramientoque existan en la compañía, cumpliendo así loestablecido en la Guía de Implementación 2050(Coordinación y confianza) del MIPP: “el Direc-tor de Auditoría Interna debería compartir infor-mación y coordinar las actividades con otrosproveedores internos y externos de servicios deaseguramiento y consultoría para asegurar unacobertura adecuada y minimizar la duplicaciónde esfuerzos”. Una buena coordinación entrelas distintas funciones de aseguramiento contri-buirá a una adecuada cobertura de los riesgosclave y a una mejor asignación de los recursosde una organización.
En la definición del mapa de aseguramiento hayque condiderar, entre otros, el riesgo de cumpli-miento. El mapa proporcionará información va-liosa sobre el aseguramiento de estos y las inte-rrelaciones que se producen entre Cumplimien-to, Auditoría Interna y otras funciones o áreasque puedan realizar labores de aseguramientoal respecto en la organización.
Con relación al riesgo de cumplimiento se de-ben considerar las siguientes fases al elaborar elmapa de aseguramiento:
1. Identificar los riesgos relevantes o críticosde cumplimiento que pueda tener la organi-zación (laboral, fiscal, contable, de prevencióndel blanqueo de capitales, etc).
En esta etapa podría incluirse la identificaciónde los procesos en los que están localizadoslos diferentes riesgos, teniendo en cuenta latransversalidad de estos y, que en un únicoproceso podemos encontrarnos varios riesgosy varias funciones de aseguramiento que ten-gan encomendadas su control.
2. Identificar las funciones de aseguramientoexistentes en la organización.
También pueden existir funciones externaliza-das que den cobertura a estos riesgos, eigualmente es necesario identificar y medir elgrado de aseguramiento que proporcionan.
3. Identificar y evaluar el grado de asegura-miento que proporcionan las distintas fun-ciones o áreas a cada uno de los riesgosidentificados.
Una vez evaluado el grado de aseguramientode las distintas funciones, habría que determi-nar el grado de aseguramiento global existen-te para cada uno de los riesgos considerados,y se podría llegar a concluir sobre el grado de
Riesgos derivados de la normativa laboral
Riesgos derivados de la normativa fiscal
Riesgos derivados de la normativa contable
Riesgos derivados de la normativa penal
Riesgos de gobierno corporativo
Riesgos derivados de la normativa medioambiental
Riesgos derivados de la normativa de prevención del blanqueo de capitales
Riesgos derivados de la normativa MiFID
Riesgos derivados de la ética
Otros riesgos legales
20
aseguramiento global del riesgo de cumpli-miento en general.
De esta manera, y a través del mapa, la orga-nización podría disponer de una visión másdesagregada de la cobertura del riesgo decumplimiento, lo que permitirá identificar las
posibles lagunas que se identifiquen en sugestión.
A su vez, este sub-mapa se integrará dentrode un mapa deaAseguramiento global de to-da la organización, que incorporará el restode los riesgos críticos.
PRÁCTICAS DE BUEN GOBIERNO
EJEMPLO RESUMIDO DE MAPA DE ASEGURAMIENTO DE LOS RIESGOS DE CUMPLIMIENTO
Tipo de riesgo Procesos CON
TRO
L IN
TERN
O
CUM
PLIM
IENT
O NO
RMAT
IVO
SEGU
RIDA
D DE
LA
INFO
RMAC
IÓN
DEPA
RTAM
ENTO
LAB
ORAL
DEPA
RTAM
ENTO
FIS
CAL
DEPA
RTAM
ENTO
LEG
AL
DEPA
RTAM
ENTO
FIN
ANCI
ERO
DEPA
RTAM
ENTO
DE
RSC
AUDI
TORÍ
A IN
TERN
A
EXTE
RNAL
IZAC
IÓN
GRA
DO D
E AS
EGU
RAM
IEN
TO
2ª L
ínea
3ª Lí
nea
Existe una cobertura insuficiente del riesgo
Se cubre parcialmente el riesgo
El riesgo está razonablemente cubierto
Existe un exceso de cobertura del riesgo
Fuente: Elaboración propia
Funcionesde
aseguramiento
Otras funciones que ejercen funciones de supervisión sobre el cumplimiento de las
normativas
El Plan de Auditoría Interna se prepara a partir
de una evaluación preliminar de los riesgos que
amenazan la consecución de los objetivos de la
organización. El riesgo de cumplimiento es un
factor más a considerar dentro del proceso más
amplio de identificación y evaluación de riesgos,
el que se realiza a partir del inventario de proce-
sos de la organización o a partir del universoauditable.
La información proporcionada por el mapa deaseguramiento podrá servir de base y punto departida para que Auditoría Interna planifique ypriorice sus trabajos, que también podrá utilizarla propia evaluación de riesgos realizada por
RIESGOS CON ENFOQUE DE AUDITORÍA INTERNA
MAPA DE ASEGURAMIENTO DE LOS RIESGOS DE CUMPLIMIENTO
Riesgos derivados de la normativa laboral
Riesgos derivados de la normativa fiscal
Riesgos derivados de la normativa contable
Riesgos derivados de la normativa penal
Riesgos de gobierno corporativo
Riesgos derivados de la normativa medioambiental
Riesgos derivados de la normativa de prevención del blanqueo de capitales
Riesgos derivados de la normativa MiFID
Riesgos derivados de la ética
Otros riesgos legales
Tipo de riesgo Procesos CON
TRO
L IN
TERN
O
CUM
PLIM
IENT
O NO
RMAT
IVO
SEGU
RIDA
D DE
LA
INFO
RMAC
IÓN
DEPA
RTAM
ENTO
LAB
ORAL
DEPA
RTAM
ENTO
FIS
CAL
DEPA
RTAM
ENTO
LEG
AL
DEPA
RTAM
ENTO
FIN
ANCI
ERO
DEPA
RTAM
ENTO
DE
RSC
AUDI
TORÍ
A IN
TERN
A
EXTE
RNAL
IZAC
IÓN
GRA
DO D
E AS
EGU
RAM
IEN
TO
2ª L
ínea
3ª Lí
nea
Existe una cobertura insuficiente del riesgo
Se cubre parcialmente el riesgo
El riesgo está razonablemente cubierto
Existe un exceso de cobertura del riesgo
Funcionesde
aseguramiento
Otras funciones que ejercen funciones de supervisión sobre el cumplimiento de las
normativas
21
PRÁCTICAS DE BUEN GOBIERNO
MAPA DE ASEGURAMIENTO GLOBAL DE LA ORGANIZACIÓN
Riesgo estratégico
Riesgo operacional
Riesgo de crédito
Riesgo de mercado
Riesgos de gobierno corporativo
Riesgo de cumplimiento
Riesgo reputacional
Tipo de riesgoProcesos AU
DITO
RÍA
INTE
RNA
GRA
DO D
E AS
EGU
RAM
IEN
TO
2ª L
ínea
3ª Lí
nea
Existe una cobertura insuficiente del riesgo
Se cubre parcialmente el riesgo
El riesgo está razonablemente cubierto
Existe un exceso de cobertura del riesgo
Fuente: Elaboración propia
Funciones de aseguramiento
CON
TRO
L IN
TERN
O
CUM
PLIM
IENT
O NO
RMAT
IVO
SEGU
RIDA
D DE
LA
INFO
RMAC
IÓN
SEGU
RIDA
D FI
SICA
DE
ACTI
VOS
CONT
ROL
DE R
IESG
OS
DEPA
RTAM
ENTO
DE
RSC
OTRA
S FU
NCIO
NES
DE A
SEGU
RAM
IENT
O
Cumplimiento (y documentada, por ejemplo, através de una herramienta como un mapa deriesgos normativo) y su programa anual de acti-vidades.
En este caso, Auditoría Interna realizará a lamisma los ajustes que considere necesarios enfunción de su experiencia y conocimiento de losprocesos y actividades afectados por estos ries-gos de cumplimiento, antes de incorporarlos asu propia evaluación.
Finalmente Auditoría Interna determinará unplan basado en riesgos a partir de su propiametodología, dando prioridad a aquellas áreas,
funciones o procesos de la empresa con riesgosde cumplimiento más relevantes o con un nivelde aseguramiento inadecuado o insuficiente. Enel plan puede incluir:
- Trabajos específicos de Auditoría Interna cuyoobjetivo sea evaluar la eficacia del a se -guramiento proporcionado por Cumplimiento.
- Revisiones detalladas de los requerimientosestablecidos en las distintas normas de apli-cación en la empresa (por ejemplo, RGPD,blanqueo de capitales, etc.).
- Revisiones de los requerimientos establecidosen la normativa que aplica a un proceso o ac-
22
tividad más amplio/global dentro de lacompañía.
Por otra parte, cualquier encargo de AuditoríaInterna, independientemente del tipo, debieraincorporar también una identificación y eva-
luación de los riesgos de cumplimiento inhe-
rentes al proceso o actividad auditada dentro
de la evaluación preliminar de riesgos que
realiza el auditor interno durante la planifica-
ción y preparación del programa de trabajo.
PRÁCTICAS DE BUEN GOBIERNO
Cualquier encargo deAuditoría Internadebería incorporar laidentificación de losriesgos decumplimientoinherentes al procesoauditado.
EVALUACIÓN DEL ASEGURAMIENTO PROPORCIONADO POR CUM-PLIMIENTO
En aquellos casos en los que la organización
disponga de una unidad propia de Cumpli-
miento, los principales aspectos a considerar
en una auditoría interna cuyo objetivo sea la
evaluación de la eficacia del aseguramiento
proporcionado por esta son:
1. Obtener un profundo conocimiento de la
regulación a aplicar a la organización, así
como de la normativa interna aplicable a
sus actividades. En general, los principales
riesgos que se encuentran bajo la respon-
sabilidad de una unidad de Cumplimiento
están relacionados, dependiendo del sector,
con legislación y normas cuyo origen es la
prevención del blanqueo de capitales y fi-
nanciación del terrorismo, la prestación de
servicios de inversión (MiFID), la protección
de datos de carácter personal, la preven-
ción de riesgos penales y el cumplimiento
de los códigos de ética, entre otros.
Además, la revisión de actas del Consejo de
Administración, Comisión de Auditoría y
Cumplimiento y Comité de Riesgos propor-
cionarán al auditor interno información
muy relevante y una visión general de las
estrategias, filosofía, metodología de ges-
tión de riesgos, apetito y aceptación de
riesgos de cumplimiento.
2. Verificar el cumplimiento de los requisitos
organizativos y principios sobre los que
debe asentarse el desempeño eficaz de la
actividad de cumplimiento normativo, entre
ellos:
- Verificar que los roles y responsabilida-
des del órgano de administración, de la
Alta Dirección y de Cumplimiento se han
definido y comunicado de forma clara y
precisa a toda la organización.
- Independencia del área de Cumplimien-
to, cuya posición y línea de reporte den-
tro de la organización le permita cumplir
con sus responsabilidades.
- Verificar que existen las condiciones ne-
cesarias para evitar posibles conflictos de
intereses por parte de los miembros del
área de Cumplimiento y que no existen
limitaciones o restricciones al acceso a la
información, al personal y a los bienes
necesarios que les permitan realizar su
trabajo con objetividad y libre de interfe-
rencias.
- Verificar que los recursos asignados a
Cumplimiento son suficientes y apropia-
dos y que los miembros de la unidad tie-
nen una competencia profesional ade-
cuada.
23
3. Verificar la existencia de políticas y proce-dimientos que regulen los procesos de ges-tión del riesgo de cumplimiento en la com-pañía y de la función de aseguramientoproporcionada por la unidad de Cumpli-miento Normativo, comprobando, además,que han sido aprobados formalmente y co-municados de forma efectiva a toda la or-ganización.
4. Verificar la integración de los procesos degestión de riesgos de cumplimiento den-tro de los procesos globales de gestión deriesgos de la organización.
5. Revisar y evaluar la eficacia de los proce-sos relacionados con la identificación, do-cumentación y evaluación de los riesgosde cumplimiento que afectan a la organi-zación, verificando, por ejemplo:
- que se ha establecido y definido un pro-grama de cumplimiento sobre la base delinventario de riesgos regulatorios.
- que se ha documentado un mapa deriesgos regulatorios.
6. Comprobar la eficacia y la efectividad delos controles internos existentes en la or-ganización que mitigan o reducen a nivelesóptimos los riesgos de cumplimiento identi-ficados.
7. Comprobar la existencia de un sistema decomunicación y reporte de los resultadosde los trabajos de aseguramiento propor-cionados por Cumplimiento, incluyendo laexistencia de planes de acción en caso decoberturas insuficientes o inadecuadas, asícomo el seguimiento de su efectiva implan-tación.
A la hora de llevar a cabo una evaluación dela eficacia del aseguramiento proporcionada
por Cumplimiento, hay que indicar que –co-mo se ha señalado en apartados anteriores–en muchas organizaciones no existe un de-partamento específico, unidad o responsablede cumplimiento, sino que las funciones y res-ponsabilidades relacionadas con el cumpli-miento pueden ser desempeñadas, de formadescentralizada, por las propias unidadesoperativas/de negocio.
En estos casos, los objetivos y aspectos a con-siderar en una auditoría interna para evaluarla eficacia del aseguramiento proporcionadopor esa función, no deberían variar de formasignificativa en comparación con el trabajo realizado cuando existe un área o departa-mento específico de Cumplimiento. Sin em-bargo, es necesario que Auditoría Interna, a lahora de planificar y preparar el programa detrabajo, disponga de un conocimiento generaldel ámbito de actuación, de los roles y res-ponsabilidades establecidos y del grado decobertura de las distintas unidades que ejer-cen funciones de cumplimiento normativodentro de la organización. La existencia de unMapa de Aseguramiento y la información pro-porcionada por esta herramienta sería deenorme ayuda.
Auditoría Interna no sólo comunicará el resul-tado de los trabajos específicos realizados so-bre el área de Cumplimiento a esta última, si-no que deberá dar a conocer también los ha-llazgos identificados en otros trabajos de au-ditoría de procesos y/o actividades que afec-ten al riesgo de cumplimiento.
Auditoría Interna realizará propuestas de me-jora que Cumplimiento podría incorporar ensu modelo o sistema de gestión del cumpli-miento normativo (por ejemplo, en el mapade riesgos, en su plan o programa de cumpli-miento).
PRÁCTICAS DE BUEN GOBIERNO
Para preparar el plan detrabajo, Auditoría
Interna debe conocer elámbito de actuación,
roles y cobertura de lasunidades que ejerzan
funciones decumplimiento en una
organización.
24
PRÁCTICAS DE BUEN GOBIERNO
Los directores deAuditoría Interna y deCumplimiento debenmantener comunicaciónfluida y compartirinformación sobrecambios normativos,nuevos riesgos decumplimiento, etc.
RIESGOS CON ENFOQUE DE CUMPLIMIENTO
El Mapa de Aseguramiento de la organizaciónproporcionará también información a Audito-ría Interna de aquellos riesgos de cumplimien-to de los cuales el área de Cumplimiento esdirectamente responsable o cuya responsabili-dad sea coordinar actividades de asegura-miento para ese riesgo.
De esta forma, se plantean dos escenarios po-sibles para Auditoría Interna con relación alos riesgos que deben ser cubiertos por Cum-plimiento Normativo:
- Decisión de no confiar en el aseguramien-to proporcionado por parte de Cumpli-miento con relación a los riesgos de loscuales es responsable. En este caso, se ten-drá en cuenta este hecho durante el proce-so de elaboración del Plan de Auditoría (yen la correspondiente evaluación del riesgode cumplimiento), pudiéndose incluir traba-jos en áreas con cobertura inadecuada o in-suficiente.
- Decisión de confiar en el aseguramientoproporcionado por Cumplimiento. Audito-ría Interna debería estar coordinada conCumplimiento para garantizar que los re-cursos son utilizados de la manera más efi-ciente y efectiva posible y proporcionar a laorganización un nivel de aseguramientoglobal de los riesgos de cumplimiento a losque está expuesta.
Esta decisión debe venir avalada por:
· Una evaluación previa (realizada por Au-ditoría Interna) del aseguramiento propor-cionado por parte de Cumplimiento. Estaevaluación podría ser el resultado de tra-bajos de auditoría interna realizados enaños anteriores, o determinada en función
de diversos factores como el grado demadurez de la unidad, su independencia,objetividad, competencias y cualificaciónde sus miembros, suficiencia en el alcancede los trabajos y adecuación de las prue-bas realizadas por Cumplimiento, existen-cia de procedimientos adecuados de se-guimiento de acciones correctivas parasolucionar las deficiencias, debilidades oincumplimientos identificados en el ase-guramiento proporcionado por Cumpli-miento Normativo.
· Los resultados proporcionados por partede Cumplimiento derivados de su propioproceso de monitorización continua sobreriesgos de cumplimiento y sus correspon-dientes controles internos, como SegundaLínea de Defensa.
En caso de confiar en el trabajo realizado porCumplimiento, Auditoría Interna podrá incor-porar los resultados de la revisión y asegura-miento realizados por la primera en sus infor-mes, haciendo referencia a esta circunstancia.
Independientemente de cualquier tipo de re-lación que se establezca entre ambas áreas, elDirector de Auditoría Interna y el director oresponsable de Cumplimiento deben mante-ner una comunicación fluida, promoviendoreuniones periódicas para compartir informa-ción relevante en relación con cambios nor-mativos que puedan afectar a la organiza-ción, a la identificación de nuevos riesgos decumplimiento, etc.
Además, Auditoria Interna puede asesorar enla definición y alcance de la cultura de cum-plimiento y en el contenido de las formacio-nes necesarias para la implantación de un
25
modelo de prevención de riesgos de cumpli-
miento.
Independientemente de cómo esté estructura-
da la organización, el área de Cumplimiento,
y de la decisión de confiar o no en el trabajo
realizado por esta, Auditoría Interna debería
verificar que todos los riesgos de cumplimien-
to cuya responsabilidad recae en Cumplimien-
to se encuentran gestionados conveniente-
mente, de forma que no queden riesgos sin la
debida cobertura, pudiendo emitir una opi-
nión sobre la efectividad de la función de ase-
guramiento desempeñada por Cumplimiento.
Por último, en su labor de supervisión y eva-
luación de los procesos de gestión de riesgos,
el trabajo de Auditoría Interna se convierte en
una fuente de información útil para enrique-
cer y completar los programas de cumplimien-
to y mejorar el entorno de control y de cum-
plimiento.
PRÁCTICAS DE BUEN GOBIERNO
El trabajo de AuditoríaInterna es útil para
enriquecer y completarlos programas de
cumplimiento y mejorarel entorno de control.
Estructura de Cumplimiento La estructura de cumplimiento es una de lascuestiones más complejas, ya sea porque en de-terminados sectores (financiero, seguros, etc.) eldiseño viene condicionado de forma taxativapor el derecho derivado de la Unión Europea osu trasposición al ordenamiento jurídico espa-ñol, o bien porque la propia fisonomía de laspersonas jurídicas (tamaño, número de emplea-dos, recursos, etc.) condiciona inexorablementela realidad orgánica de las áreas de Cumpli-miento, cuando puedan existir, o de las perso-nas que, finalmente, asuman tales cometidos.
En cualquier caso, la existencia de una persona fí-sica o un órgano que asuma las funciones deCompliance Officer (Director de Cumplimiento), deforma permanente y exclusiva, u ocasional y atiempo parcial, es muy recomendable en el esce-nario holístico ya descrito en la introducción.
A continuación, se detallan las particularidadesorgánicas y competenciales que entraña el cum-plimiento.
La naturaleza y fisonomía jurídica de las orga-nizaciones (sociedades cotizadas, entidadesfinancieras, pequeñas y medianas empresas,etc.) hace que haya divergencia de formas or-ganizativas. A continuación se describen dospotenciales modelos, pero la casuística permi-tirá tantas combinaciones como una adecua-
da implantación de la cultura de cumplimien-
to permita.
Modelos centralizados
Aquellos donde Cumplimiento dispone de re-
cursos (humanos y materiales) suficientes, con
ESTRUCTURA ORGÁNICA
El Consejo de Administración, en defensa de
los intereses propios y, principalmente, de los
accionistas de la empresa, debe mostrar el
compromiso con Cumplimiento asegurando
su existencia, una adecuada dotación de re-
cursos y su buen funcionamiento, promovien-
do una cultura de cumplimiento y buenas
prácticas.
En los sistemas centralizados Cumplimiento
dependería directamente del máximo órgano
societario.
De igual forma, el Consejo de Administracióndebe garantizar la autonomía íntegra del mo-delo mediante la dependencia directa dequien lidere el modelo y todas aquellas fun-ciones identificadas para participar en él. De-be asegurarse para ellos una correcta gestióndel conflicto de intereses que podría diferir enun momento dado entre el negocio y el cum-plimiento, garantizarles la inexistencia de re-presalias ante cualquier decisión de cumpli-miento y asegurarles la confidencialidad pre-cisa.
26
PRÁCTICAS DE BUEN GOBIERNO
El Consejo debemostrar compromisocon Cumplimientoasegurando suexistencia, recursosadecuados y su buenfuncionamiento.
personas con conocimiento de la gestión de
riesgos de cumplimiento (legales, fiscales,
contables, medioambientales, etc.) y llevan a
cabo las acciones documentales, formativas e
informativas necesarias al fin pretendido, vigi-
lan el cumplimiento, gestionan el Canal Ético
y verifican la idoneidad del modelo. Podrían
coordinar con Auditoría Interna la verificación
del modelo, llegando a un mapa de asegura-
miento que genere un entorno de control
confiable.
Las ventajas de este modelo residen en una
mayor autonomía y facilidad en la coordina-
ción. Las desventajas se centran en el coste
del modelo, la posible “no implicación” de to-
do el colectivo de la organización y la poten-
cial ineficiencia derivada de tal desconexión.
Modelos descentralizados
Aquellos donde el área de Cumplimiento
–muchas veces unipersonal– hace de núcleo
del modelo al que reportan indirectamente
aquellas funciones expertas con el conoci-miento técnico preciso para la gestión de ries-gos de cumplimiento (contable, fiscal, preven-ción de blanqueo de capitales, laborales, etc.)y con la que colaboran en el desarrollo de lasacciones formativas técnicas e investigaciónque procedan.
En este modelo, Cumplimiento debe facilitar aesas funciones expertas un modelo estándarde trabajo, una coordinación de planes de ac-ción y la “protección” precisa para el desem-peño de su trabajo con autonomía y sin con-flicto de intereses. Además, podría coordinarcon Auditoría Interna la verificación del mo-delo, llegando a un mapa de aseguramientoque genere un entorno de control fiable.
Las ventajas de este modelo residen en elcoste y velocidad con la que Cumplimiento seintegra en la cultura corporativa. A su vez, lasdesventajas residen inicialmente en las resis-tencias de los responsables directos de lasáreas identificadas para colaborar en el siste-ma y la coordinación.
DEPENDENCIA JERÁRQUICA
27
PRÁCTICAS DE BUEN GOBIERNO
Si bien la dependenciadebe ser del órgano deadministración, puederealizarse a través deuna comisión u otra
estructura de laorganización.
REPORTE FUNCIONAL Si bien la dependencia debe ser del órganode administración, esta podrá ejecutarse através de una comisión delegada o cualquierotra estructura que tenga la organización. En-tre la casuística posible, y para aquellas em-presas que presenten cuenta de pérdidas yganancias abreviada, el administrador puederealizar la función de Cumplimiento.
Para el día a día, el Consejo de Administra-ción, la comisión correspondiente o el admi-nistrador podrían encargar o apoyarse enCumplimiento para realizar la supervisión delmodelo.
Consideraciones finales Concluyendo, la organización deberá diseñaruna estructura que optimice la relación entreAuditoría Interna y Cumplimiento Normativo,de manera que la primera pueda cumplir sumisión y contribuir así a agregar valor a la or-ganización, incorporándose de la forma másapropiada posible a los distintos procesos de-finidos para garantizar el cumplimiento de lasresponsabilidades de la segunda.
Ambas áreas tienen varios aspectos comunesque se centran, básicamente, en ayudar a laorganización a lograr un gobierno corporativoresponsable y un sistema de control de losriesgos eficaz. La clave para alcanzar el éxitoen este objetivo pasará por identificar y defi-nir un ambivalente equilibrio de coordina-ción/colaboración en el que Auditoría Internay Cumplimiento puedan y deban interactuar,sin perder de vista el Modelo de las Tres Lí - neas de Defensa y sus especiales circunstan-cias que les obliga a ser libres respecto de loque dicen y piensan.
Auditoría Interna podrá aportar a Cumpli-miento su experiencia y la metodología pro-
pia de un área ya implantada para conseguirmejorar en aspectos como los siguientes:
· Focalizar los esfuerzos de la organizaciónen dar cobertura a los principales riesgosde cumplimiento a los que se enfrenta,previa evaluación de estos y de su critici-dad.
· Proponer procesos de mejora continua,mediante el análisis de los procesos, detec-ción de debilidades de carácter normativo eimplantación de los planes de acción dise-ñados al efecto.
· Dirigir a la organización hacia modelospreventivos avanzados de monitorizaciónde cumplimiento de leyes, regulaciones ypo líticas, anticipándose a los impactos quepueden derivarse de infracciones normati-vas.
· Participar en las estrategias y procesos detransformación del cambio, adaptando elmo delo de cumplimiento normativo a losnue vos desafíos de las organizaciones.
· Establecer modelos de reporting a los ór-ganos de dirección y de administración
28
que les permitan cumplir con sus responsa-bilidades de forma eficaz.
En definitiva, Auditoría Interna y Cumplimien-to comparten roles y responsabilidades simi-lares en diferentes espacios funcionales ytemporales, y –en la medida en que puedanconverger cuando sea necesario– podráncompartir recursos y conocimientos para de-sempeñar sus respectivas funciones sin perjui-cio de la independencia y objetividad de cadauna de ellas. Auditoría Interna tendrá oportu-nidades para ayudar a la organización a ga-rantizar que los riesgos derivados del cumpli-miento son gestionados de forma aceptable.
Puesto que los principales roles de AuditoríaInterna relacionados con la gestión de riesgosforman parte inherente de su misión de ase-guramiento, y considerando que durante losúltimos años a este rol de “asegurador9” seviene sumando un rol cada vez más deman-dado de “asesor de confianza”, se detallan acontinuación los roles legítimos de AuditoríaInterna:
1. Actuar como facilitador en la identifica-ción y evaluación de riesgos. Auditoría In-terna puede aportar valor, asumiendo unpapel proactivo en la identificación de ries-gos de cumplimiento. A tal efecto, podríaliderar el establecimiento de un sistema decomunicación efectivo con Cumplimiento.
2. Asesorar a Cumplimiento sobre cómoresponder a los riesgos. Si bien no puedeimponer procesos de gestión de riesgos otomar decisiones sobre la respuesta a losmismos, sí podría ejercer una labor de“asesor” o “consultor”, aportando su vi-sión global de los procesos de la entidad yalertando sobre posibles gaps en la cober-
tura de los riesgos de cumplimiento. En es-te marco, resultaría interesante que Audi-toría Interna participara –manteniendosiempre su independencia y dejando clarosu rol de asesor– en comités en materia decumplimiento, dando su opinión sobreaquellos aspectos en los que pueda haceraportaciones e impulsando acciones quemejoren la gestión de los riesgos de cum-plimiento.
3. Coordinar actividades de gestión de ries-gos de cumplimiento o liderar la implan-tación del sistema de gestión de riesgosde cumplimiento. En estructuras que portamaño, eficiencia, experiencia, capacita-ción o visión de los órganos de gobierno oen entornos menos maduros, Auditoría In-terna podría impulsar la implantación delsistema de gestión de riesgos de cumpli-miento. En estos casos, es necesario ase-gurar que existen las salvaguardas necesa-rias para mantener la independencia y ob-jetividad necesarias del área. En ocasiones,este modelo evoluciona hacia otro en elque las dos áreas se segregan, procesoque debe asegurar que se realiza mante-niendo la adecuada independencia de am-bas áreas con respecto a la línea ejecutiva.
4. Mantener y desarrollar el marco de ges-tión de riesgos empresarial. La elabora-ción o la coordinación de la elaboracióndel mapa de aseguramiento, en el que seincluyen los riesgos de cumplimiento, haceque Auditoría Interna pueda aportar un va-lor extra a esta área, estableciendo un len-guaje y un marco común de interrelaciónentre la Primera, la Segunda y la TerceraLínea de Defensa en materia de gestión deriesgos.
PRÁCTICAS DE BUEN GOBIERNO
9. Para ampliación, ver el documento del Instituto de Auditores Internos de España. La Fábrica del Pensamiento. Más alládel aseguramiento. El auditor interno como asesor de confianza, 2017.
MARCO DE RELACIONES DE AUDITORÍA INTERNA CON OTRAS FUNCIONES DE ASEGURAMIENTO
Es la primera guía en español que clarifica el papel de Auditoría
Interna como coordinadora de todas las funciones de aseguramiento.
Establece qué funciones de aseguramiento deben darse en una
empresa y qué puede y no hacer Auditoría Interna en su papel de
coordinación para asegurar que se cumplen y evitar duplicidades.
GUÍA DE SUPERVISIÓN PARA COMISIONES DE AUDITORÍA. CÓMO MAXIMIZAR EL VALOR DE AUDITORÍA INTERNA
Analiza el marco en el que se desarrolla la relación de supervisión de
las Comisiones de Auditoría con Auditoría Interna, y propone buenas
prácticas que aseguren el éxito de Auditoría Interna como soporte de
la Comisión y que evite o mitigue riesgos cuya materialización
impediría obtener el máximo valor de su actividad.
MÁS ALLÁ DEL ASEGURAMIENTO: EL AUDITOR INTERNO COMO ASESOR DE CONFIANZA
La labor de Auditoría Interna abarca mucho más que el
aseguramiento clásico: examina hechos, identifica mejoras, emite
recomendaciones... Este documento define los roles de aseso-
ramiento, identifica áreas y cualidades para llevarlos a cabo, y marca
los límites y riesgos cuando Auditoría Interna realiza estas tareas.
OTRAS PRODUCCIONES DE LA FÁBRICA DE PENSAMIENTO
LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
La complejidad y exigencia del entorno regulatorio requiere que las
organizaciones establezcan un Gobierno del riesgo de Cumplimiento en
el que se preste especial atención a la identificación, gestión y control
de este riesgo, que puede aparecer en cualquier proceso y actividad de
la empresa.
Este documento propone un modelo abierto del Gobierno del riesgo de
Cumplimiento que asegure una adecuada relación y colaboración entre
las áreas de Cumplimiento y Auditoría Interna que sirva para proteger el
valor de empresas y organizaciones, fin último que debe guiar el
Gobierno de este riesgo, complejo y transversal.