lunes, 9 de noviembre de 2015

La función de compliance y la auditoría interna

 Por Jesús Aísa Díez

Hace unos pocos meses tuve la oportunidad de acudir a la presentación, en la sede del Instituto de Auditores Internos de España, del documento: Visión 2020. Desafíos de Auditoría Interna en el horizonte 2020, en el que se hacía una descripción de las expectativas de la función auditora interna en los próximos años, basándose para ello en la opinión de diversos especialistas consultados.

Entre la información empleada figuraba la correspondiente a las preocupaciones de las Comisiones de Auditoría, las cuales se ordenaban de la siguiente manera: 

1ª) Riesgo Operativo (21%)
2ª) Riesgo Estratégico (18%).
3ª) Cumplimiento (14%).
4º) Aseguramiento en la administración de riesgos (10%).

Por lo que se concluía en la necesidad de apoyar el desarrollo de la función de cumplimiento en aquellas organizaciones que aún no dispusiesen de ella, resaltando que aquellas organizaciones que actualmente cuentan con un sistema de control interno maduro han creado la dirección de cumplimiento, posibilitando así la implementación de “un modelo integrado de gobierno, control interno, gestión del riesgo y cumplimiento –conocido por sus siglas GRC–, que se desarrolla para cubrir la necesidad de ofrecer una respuesta coherente y consistente ante su complejidad y la creciente exigencia del entorno”.  

Debiendo señalar que por “cumplimiento”, de acuerdo con la definición que en su momento aplicó Basilea, debe entenderse aquella función que identifica, asesora, alerta y reporta los riesgos de cumplimiento en las organizaciones, es decir, el riesgo de recibir sanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras o pérdidas de reputación por fallas de cumplimiento con las leyes aplicables, las regulaciones, los códigos de conducta y los estándares de buenas prácticas.

Aspectos todos ellos que deben ser objeto de supervisión por parte de Auditoría Interna, atendiendo a lo señalado por las Normas  2120 A1 y 2130 A1. Al referirse al “cumplimiento de leyes, regulaciones políticas, procedimientos y contratos”. 

Ante esta evolución del gobierno corporativo de las organizaciones, podemos decir que es habitual el que las empresas estén implementando la función de cumplimiento, encontrándonos con alguna duda respecto de cuál debe ser su estructura, y básicamente si debe ser independiente de la de Auditoría interna o vinculada con ella.

En nuestra opinión, la creación de la Unidad de Cumplimiento es algo muy positivo para las organizaciones, la cual debe desarrollarse de forma independiente, como segunda línea de defensa, de la de Auditoría Interna, dependiendo de su correspondiente gestor y responsable, el Director de Cumplimiento (CCO por sus siglas en inglés).

Sin embargo, y como también sucede en la Gestión de Riesgos, resulta algo frecuente añadir esta función de Cumplimiento a la de Auditoría Interna. Surgiendo entonces una duda, ¿quién absorbe a quién?: la de Auditoría a la de Cumplimiento, o la de Cumplimiento a la de Auditoría. O dicho de otra manera, el DAI será el jefe del CCO, o CCO del DAI, pudiendo señalar que ambas situaciones las hemos visto aplicadas de forma práctica.

Si tuviésemos que decidir sobre esta situación, y considerando que no fuese posible la implantación de la función de Cumplimiento de forma desagregada a la de Auditoría Interna, que sería lo más adecuado, en nuestra opinión no hay duda, Auditoría debería coordinar la de Cumplimiento, pero dejando muy claro qué funciones son las que va a asumir, alejándose de todas aquellas que supongan decisiones gerenciales, pues al igual que ocurre con la gestión de riesgos, no debemos olvidar que la función de cumplimiento normativo, como segunda línea de defensa que es,  debe ser auditada, por lo que no debemos abrir posibles conflictos de intereses que interfieran en nuestra objetividad, imponiendo procesos de gestión o asumiendo responsabilidades de gestión, ya que ello afectaría a la independencia de la función auditora, debiendo limitar nuestra actividad en esta materia, como en cualesquiera otra en las que intervengamos, a la de asesoramiento.

La dependencia del DAI del CCO es una situación muy difícil de administrar desde la perspectiva de la independencia del auditor, ya que, de ser esta la situación, se podría estar interferido en la dependencia funcional directa del DAI con respecto de la Comisión de Auditoría, aspecto que esta debería valorar y actuar en consecuencia. 

Por todo ello, y para concluir con estas consideraciones, entendemos que la ubicación en el Organigrama de las empresas de una función de Cumplimiento es un objetivo muy deseable, pero que debe estar coordinada con la de Auditoría Interna, evitando duplicidades de actuaciones, y procurando evitar las dependencias jerárquicas entre una y otra, y que de no ser posible, que no sea de la de Auditoría respecto de la Cumplimiento, ya que empezaríamos mal, puesto que estaríamos incumpliendo una Norma básica del IIA, la 1100 relativa a nuestra independencia y objetividad.

Jesús Aísa Díez. Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting. Para mayor información visita el Blog de Don Jesús “Auditoría Interna del Siglo XXI”.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

1 comentario:

  1. Muy buen articulo, felicito a su autor; no obstante me hubiese gustado que entre las generalidades de la introducción se mencionase que no es lo mismo las responsabilidades del encargado de Compliance o Cumplimiento, con el que desempeña las responsabilidades de Oficialía de Cumplimiento para la prevención del Resgo de Lavado de Dinero, ya que los administradores o Juntas Directivas (o los CEO´s) suelen caer en el error de creer que son la misma cosa; sobre todo afecta cuando en algunos paises las regulaciones exigen a Oficialía de Cumplimiento desarrollar actividades exclusivas sobre la prevención del riesgo de lavado y las administraciones quieren asignar otras actividades relacionadas a Compliance.

    Me gustaria conocer planteamientos al respecto.

    Bendiciones miles

    ResponderEliminar