jueves, 26 de enero de 2017

Compliance en la persona jurídica y las tres líneas de defensa


Resumen: La función de Compliance  en las organizaciones no vive aislada de las áreas de negocio, como encerrada dentro de una burbuja, ni asume toda la responsabilidad de cumplimiento de la persona jurídica. Veremos en este artículo el modo de poner orden a estas ideas. Todo lo aquí indicado es aplicable a cualquier área de práctica, basada en el riesgo, como puede ser la seguridad de la información.


 
Autor del artículo
Colaboración
José Luis Colom Planas

Actualizado

26 de enero de 2017




Índice

1. ESTRUCTURA DE RIESGO Y CONTROL
2. EL MODELO DE LAS TRES LÍNEAS DE DEFENSA
2.1 Primera línea de defensa. Áreas de negocio
2.2 Segunda línea de defensa. Compliance
2.3 Tercera línea de defensa. Auditoría interna
2.4 Cuarta línea de defensa
3. RELACIONES O INTERFACES ENTRE LÍNEAS
4. PRÁCTICAS RECOMENDADAS
5. TABLA RESUMEN
6. BIBLIOGRAFÍA CONSULTADA
7. CONTROL DE CAMBIOS DEL ARTÍCULO
8. DERECHOS DE AUTOR



1. ESTRUCTURA DE RIESGO Y CONTROL

Como dice el Instituto de Auditores Internos (IIA -por sus siglas en inglés-) [1], en cualquier organización  hay diversos roles colaborando en la gestión del riesgo  y el control interno, en diferentes ámbitos empresariales. Cada uno de estos roles, en su especialidad, tiene una perspectiva única y habilidades específicas que pueden ser relevantes para la organización, pero las responsabilidades están cada vez más distribuidas en múltiples áreas funcionales y divisiones, lo que puede provocar solapamientos, o lo que es peor, zonas oscuras.

En consecuencia, deben coordinarse y distribuirse estos roles de manera  que se logre una cobertura homogénea, sin brechas ni solapamientos, en sus funciones y ámbitos de responsabilidad. Es importante disponer de una parcela de responsabilidad clara para que puedan encajar  los diferentes roles en la estructura general de gestión del riesgo y control de la organización.



2. EL MODELO DE LAS TRES LÍNEAS DE DEFENSA

Agrupando esta estructura de gestión del riesgo y control, en base al modelo de las tres líneas de defensa, se obtiene una manera simple y efectiva de mejorar el conjunto, al quedar explícitamente determinadas las funciones y responsabilidades esenciales de cada línea.



En base al principio de segregación de funciones, se define la incompatibilidad de que un mismo rol pueda pertenecer simultáneamente a más de una línea.

El modelo de las Tres Líneas de Defensa, como su nombre indica,  distingue tres líneas, o agrupaciones funcionales, de gestión del riesgo y control:
  • Línea 1: Las propias áreas de negocio, entendidas como la gestión operativa de la empresa. Es dónde se encuentran los propietarios de los riesgos.
  • Línea 2: La función de Compliance, y otras funciones de control, inspección y cumplimiento, que supervisan los riesgos.
  • Línea 3: La función de auditoría interna, que proporciona verificación y aseguramiento independiente.

 

2.1 Primera línea de defensa. Áreas de negocio

La primera línea de defensa está formada por las diferentes áreas operativas o de negocio. Son los Directores de éstas los encargados, directamente o delegando, de colaborar en la apreciación de los riesgos (identificación, análisis y evaluación –Vid. ISO 31000:2009- ). En consecuencia serán habitualmente propietarios de esos riesgos y se responsabilizarán de la correcta implantación de los controles o acciones de tratamiento que se hayan podido determinar.

Debe matizarse que su función no es identificar esos riesgos unilateralmente, sino en colaboración con la segunda línea de defensa, que dispone de mayores conocimientos técnicos respecto a los posibles riesgos que puedan afectar a la organización, aunque a menudo en abstracto, concretándolos en la realidad y determinando los controles adecuados de mitigación, caso de ser necesario, conjuntamente.

La dirección velará permanentemente para que se continúen aplicando  sin fisuras esos controles, o acciones de tratamiento, que se hayan podido determinar. A su vez, se responsabilizará de la implantación de posibles acciones correctivas, a partir de interacciones con las otras dos líneas de defensa, respecto a la modificación de los procedimientos operativos y controles existentes o la creación de nuevos.

En otras palabras, la dirección de las áreas operativas es responsable de mantener un control interno efectivo en su área de competencia,  velando  para que se ejecuten los procedimientos de control sobre los riesgos que puedan estar presentes en su día a día.

La dirección de área operativa y sus empleados, especialmente el Front-Office, serán el frente de guerra con el riesgo, las trincheras, la primera línea de defensa.

2.2 Segunda línea de defensa. Compliance

Se trata de la función de Compliance, que puede constituirse como un único órgano consolidado de todas las posibilidades de cumplimiento y control de la organización o repartirse áreas de especialización según los riesgos (penales, PRL, de calidad, ambientales, de PBCyFT para sujetos obligados, etc.).

Su función principal es supervisar los diferentes riesgos, ya sean éstos transversales a la organización o específicos de las áreas operativas, y el desempeño de los controles implantados, reportándolo a la Alta Dirección o a los órganos de Gobierno Corporativo.

También asiste a las áreas operativas, colaborando con ellas en la apreciación del riesgo, en la definición de la exposición tolerable al mismo (apetito de riesgo) y en la determinación de controles adecuados para mitigar esos riesgos. Evidentemente supervisará el desempeño de esos controles.   

Es importante recalcar la función de formación y concienciación a las áreas operativas respecto a los posibles riesgos identificados o coordinados desde la segunda línea y respecto a cumplimiento.

La segunda línea debe reportar al más alto nivel en la organización, para preservar su independencia. Debe tener un canal directo con los órganos de gobierno corporativo.

2.3 Tercera línea de defensa. Auditoría interna

La auditoría interna proporciona garantía sobre la eficacia y eficiencia de la gestión de riesgos y los controles internos, incluyendo la manera en que las dos primeras líneas de defensa logran sus objetivos.

No debe sorprender que la tercera línea de defensa audite a la función de Compliance de la segunda línea, ya que ésta no debe considerarse custodia del Santo Grial. Es necesario auditar de forma independiente al propio modelo de prevención implantado en la organización. Si se basa en la norma ISO 19600:2014, recordaré que en su apartado 9.2 “Auditoría interna” se señala: “La organización debería llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca de si el Sistema de Gestión de Compliance:
a) Cumple los requisitos propios de la organización para su Sistema de Gestión de Compliance y los requisitos de esta norma internacional.
b) Se implementa y mantiene eficazmente.
Se pueden realizar auditorías adicionales en caso de que sea necesario”.

Pongo de manifiesto que la tercera línea es la que tiene una menor capacidad de reacción, ya que habitualmente la función de auditoría interna audita una única vez al año, salvo que haya habido cambios sustanciales en la organización.

Al igual que la segunda línea, debe reportar a alto nivel para ser capaz de desempeñar sus funciones de manera independiente. Debe tener un canal directo con los órganos de gobierno corporativo.

2.4 Cuarta línea de defensa

Si bien no cabe hablar de una cuarta línea en el modelo de las tres líneas de defensa, sí que puede llegar a darse.

En última instancia, siempre están los Reguladores y las Autoridades de Control con capacidad de supervisión, y la propia Administración de Justicia, erigiéndose como cuarta línea de defensa, no de la propia organización en este caso, sino de la sociedad en general.


No obstante, debe tenerse en cuenta que existe la función de auditoría externa (o de tercera parte), que no está bajo el control de la organización y deberíamos considerarla cuarta línea de defensa. En el mundo de las normas ISO, interviene cuando se desea certificar el Sistema de Gestión por una entidad independiente acreditada para ello. En este sentido recordaré que no todas las normas ISO son certificables. Habitualmente lo son aquellas que terminan en “1”, por lo que, referido al Compliance,  la norma ISO 19600:2014 “Sistemas de Gestión de Compliance” no es certificable, pero la futura UNE 19601:2017 “Sistemas de Gestión de Compliance Penal”, sí que lo será.

3. RELACIONES O INTERFACES ENTRE LÍNEAS

Los que actuamos como Experto Externo para auditar sujetos obligados por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, conocemos las recomendaciones del SEPBLAC [2] sobre las medidas de control interno,  dónde se apunta a que la función de Compliance no debe aislarse de las áreas operativas aunque, en este caso, con alcance circunscrito a la PBCyFT.

En la página 5 del documento señala:  Es importante tener claro que la prevención, al igual que otras obligaciones relacionadas con la clientela, no es algo que sea tarea exclusiva de las unidades técnicas de prevención, sino que es una función consustancial a las unidades comerciales, a las redes de negocio (minorista, corporativa, banca privada, banca de negocios, etc.) o a las distintas líneas de actividad, porque son las áreas de negocio las que se relacionan con los clientes, y las que aplican las medidas de diligencia debida con ellos, por lo que deben implicarse muy activamente en la función de prevención. El primer filtro del sistema de prevención del sujeto obligado se sitúa en el establecimiento de la relación con los clientes y esa relación es responsabilidad de las unidades de negocio que actúan como primera línea de defensa ante el BC/FT”.

Tras esta ratificación de conceptos, sigue diciendo: Los sujetos obligados tendrán que establecer un cauce o procedimiento ágil de retroalimentación, comunicación o “feed-back” entre sus órganos de prevención y las unidades de negocio, en relación con aquellos riesgos en los que puedan estar incurriendo en función de la actividad desarrollada, estableciendo asimismo las medidas necesarias para mitigarlos”.

Con esto está abriendo una interfaz bidireccional entre la primera y la segunda líneas de defensa.

Entre la tercera u las otras dos, también está clara la relación, ya que la función de auditoría recibe información al auditarlas y luego les notifica los hallazgos mediante el correspondiente Informe de Auditoría. A su vez ambas líneas auditadas elaborarán un Plan de Acciones Correctivas (PAC) que facilitarán a la tercera línea.

4. PRÁCTICAS RECOMENDADAS

Basándonos en las apreciaciones del Instituto de Auditores Internos (IIA) [1], desde una perspectiva general deben considerarse las siguientes recomendaciones:
  • 3 líneas de defensa: Los procesos de riesgo y control deben ser estructurados de acuerdo con el Modelo de las Tres Líneas de Defensa.
  • Mantener la estructura: Las líneas de defensa, pese a existir interfaces entre ellas, no deberían mezclarse de forma que pueda verse comprometida su independencia.
  • Definición de políticas: Cada línea de defensa debería apoyarse en procedimientos y políticas específicas.
  • Roles: Deberán definirse claramente las funciones de los roles relevantes para cada línea.
  • Coordinación: Debe existir una adecuada coordinación entre las distintas líneas de defensa, compartiendo conocimiento, para fomentar la eficacia y la eficiencia y tender hacia un mejor cumplimiento.
  • Si se mezclan líneas: Aunque debe evitarse, en las situaciones en que las funciones de las diferentes líneas se mezclen, los Órganos de Gobierno deben ser informados de la débil estructura y su impacto. La Alta Dirección y/o los Órganos de Gobierno deberán explicar y dar a conocer a las partes interesadas porqué han considerado esa estructura como suficiente para el aseguramiento de la eficacia del gobierno de la organización y de la gestión del riesgo y control interno.

5. TABLA RESUMEN

Sin que pretenda ser una lista exhaustiva, se puede considerar las siguientes responsabilidades de cumplimiento para cada una de las tres líneas de defensa:

Responsabilidades de cumplimiento de cada línea de defensa
1ª Línea
2ª Línea
3ª Línea
§  Identificar y Evaluar los riesgos de las diferentes operaciones en su área de negocio.
§  Controlar y mitigar los riesgos de sus operaciones.
§  Implementar y adaptar los controles, manteniendo su eficacia en el tiempo.
§  Asegurar el cumplimiento de las normas internas y legislación aplicable a sus operaciones.
§  Ejecutar análisis y evaluaciones de los riesgos de los que son propietarios.
§  Implementar procedimientos que le permitan cumplir las normas de Compliance que le afecten.
§  Informar a la segunda línea las variaciones en el riesgo o en las circunstancias de control.
§  Elaborar el marco para la gestión del riesgo en la organización.
§   Promover y ayudar en la gestión del riesgo de toda la organización.
§  Verificar que las acciones para mitigar los riesgos se apliquen con eficacia.
§  Asesorar a los propietarios de los riesgos a definir el apetito de riesgo en las operaciones.
§  Ayudar a crear los controles de la primera línea de defensa.
§  Monitorizar los controles de gestión operativa.
§  Asegurar que la primera línea de defensa está bien diseñada e implantada, y que su desempeño es el adecuado.
§  Gestionar de manera especializada los riesgos transversales de la organización.
§  Monitorear la implementación de los controles para tratamiento de los riesgos transversales.
§  Otras funciones según el alcance definido (Compliance Penal, PRL, Privacidad…)
§  Colaborar a asegurar el gobierno corporativo, la gestión del riesgo y el control interno.
§  Evaluar la forma en que la primera y segunda línea de defensa operan.
§  Informar a la primera y segunda  líneas del resultado de las evaluaciones.
§  Asegurar que se estén cubriendo adecuadamente las responsabilidades de la primera y segunda línea de defensa.
§  Revisar la gestión de los riesgos más relevantes de la organización.
§  Asesorar a los órganos de gobierno de la organización respecto la gestión de los riesgos.
§  Revisar el Plan de Acciones Correctivas (PAC) aportado por los auditados.



6. BIBLIOGRAFÍA CONSULTADA

- [1] Instituto de Auditores Internos (IIA). “Las tres líneas de defensa para una efectiva gestión de riesgos y control”. Enero de 2013.


- [2] SEPBLAC. “Recomendaciones sobre las medidas de control interno para la prevención del blanqueo de capitales y de la financiación del terrorismo”. 4 de abril de 2013.




7. CONTROL DE CAMBIOS DEL ARTÍCULO

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
26/01/2017
Redacción inicial del artículo
Autor


















8. DERECHOS DE AUTOR

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog. Tablas creadas por el autor.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.

Convencido del valor que aportan las organizaciones profesionales, es vocal de la Junta Directiva - miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales y FT), socio de CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo), asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de ENATIC (Asociación de expertos nacionales de la abogacía TIC), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. Ha obtenido, junto a algunos miembros de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT), un premio compartido otorgado por la AEPD.





2 comentarios:

  1. Jose Luis, muy recomendable tu articulo. Solo comentar que sí hay normas certificables que acaban en "0". La clave para que una norma sea certificable es que incluya requisitos y no recomendaciones. Es decir que no sea una guía. Si acaba en cero o uno no es relevante.
    Un cordial saludo
    Almudena BOuza

    ResponderEliminar
    Respuestas
    1. Muchas gracias Almudena por tu aportación.
      Efectivamente a “stricto sensu” es lo que dices, por eso si nos fijamos en las normas más extendidas observamos que distinguen entre Requisitos (Requirements) o Directrices (Guidelines), existiendo también buenas prácticas, guías, técnicas…

      Como sea que la mayoría de normas se agrupan constituyendo series de normas, una convención que suelen emplear los comités es asignar la terminación “1” a los Requisitos – que son certificables – y otras terminaciones a las demás normas de la serie. Por ejemplo la norma ISO 27001:2013 es la de requisitos certificables y con otras terminaciones las 11 normas restantes de la misma serie.

      Hay excepciones, como la ISO 22000:2005 “sistemas de gestión de inocuidad alimentaria” (Requisitos) que es certificable y acaba en “0”, pero si atendemos a las más populares:

      ISO 37001:2016 “anticorrupción” (Requisitos) > Certificable
      ISO 9001:2015 “calidad” (Requisitos) > Certificable
      ISO 14001:2015 “ambiental” (Requisitos) >Certificable
      ISO 27001:2013 “seguridad Inf.” (Requisitos) > Certificable
      ISO 22301:2012 “Continuidad” (Requisitos) > Certificable

      ISO 19600:2014 “Compliance” (Directrices) > No certificable
      ISO 31000:2009 “Gestión del riesgo” (Pr. y directrices) > No certificable

      Repito, muchas gracias por tu aportación, a consecuencia de la cual matizo el párrafo.

      Saludos,
      José Luis

      Eliminar