Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gobierno Del Riesgo de Cumplimiento: Relación Entre Auditoría Interna y Cumplimiento Normativo
Gobierno Del Riesgo de Cumplimiento: Relación Entre Auditoría Interna y Cumplimiento Normativo
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión
de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.
AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO
El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen
gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el
intercambio de conocimientos entre los socios.
PRÁCTICAS DE BUEN GOBIERNO
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Impresión: Grafilia
Propiedad del Instituto de Auditores Internos de España. Se permite la reproducción total o parcial y la comunicación
pública de la obra, siempre que no sea con finalidades comerciales, y siempre que se reconozca la autoría de la obra
original. No se permite la creación de obras derivadas.
PRÁCTICAS DE BUEN GOBIERNO
Ante este contexto, el Gobierno del riesgo de Cumplimiento requiere que las
organizaciones presten especial atención a la identificación, gestión y control
de este riesgo dentro sus modelos y sistemas de gestión de riesgos dado que
puede aparecer en cualquier proceso y actividad que lleve a cabo la empresa.
3
PRÁCTICAS DE BUEN GOBIERNO
Índice
INTRODUCCIÓN 06
ROLES Y RESPONSABILIDADES 08
ESTRUCTURA DE CUMPLIMIENTO 25
Estructura orgánica ......................................................................................................25
CONSIDERACIONES FINALES 27
5
PRÁCTICAS DE BUEN GOBIERNO
Introducción
Con un entorno regulatorio y una sociedad la entidad define una Cultura que contiene in-
La naturaleza del riesgo cada vez más exigentes, es indispensable que trínsecamente un modo de relacionarse en el
de cumplimiento las entidades –más globales y complejas– mercado de una manera ética y responsable
requiere mayor identifiquen, gestionen y controlen los riesgos con las obligaciones legales, regulatorias y
atención para su que puedan interferir en la consecución de sectoriales, contratos y, si cabe en mayor me-
identificación, gestión y sus objetivos. dida, satisfaciendo los compromisos autoim-
control, e integrarlo en puestos internamente.
Entre estos riesgos están los denominados
los sistemas de gestión
“de cumplimiento”, cuyo impacto puede pro- Una regulación cada vez más clara y exigente
y control de riesgos.
vocar desde la clausura temporal o total de la en este sentido, y la naturaleza de este tipo
sociedad, la administración judicial, sanciones de riesgos –que pueden aparecer a lo largo
o pérdidas financieras fijadas por un tribunal de todos los procesos y actividades de una or-
por incumplimientos legales, hasta incidencias ganización– requieren que las organizaciones
reputacionales por compromisos adquiridos presten una mayor atención a la identifica-
con terceros que podrían sacar a la sociedad ción, gestión y control de los riesgos de cum-
del mercado. La naturaleza y repercusión de plimiento y a la necesidad de considerarlos
estos riesgos, que pueden darse a lo largo de dentro de sus modelos o sistemas de gestión
todos los procesos y actividades de una orga- de riesgos, por lo que cada vez más entidades
nización hace que los órganos de administra- han implantado, o van a implantar, modelos
ción, dada su obligada diligencia y responsa- de Corporate Compliance 2 (Cumplimiento
bilidad1, se muestren especialmente sensibles Corporativo).
a su gestión y control.
Así, por ejemplo, la reforma del Código Penal
En este contexto, es importante integrar el español de 2015 en lo relativo a la responsa-
riesgo de cumplimiento normativo en la ges- bilidad penal de las personas jurídicas (Ley
tión y control de riesgos. El Cumplimiento de Orgánica 1/2015 de 30 de marzo, que modifi-
1. Artículo 225 de la ley 31/2014, de 3 de diciembre, por la que se modifica la Ley de Sociedades de Capital para la mejo-
ra del gobierno corporativo.
6
PRÁCTICAS DE BUEN GOBIERNO
CULTURA DE CUMPLIMIENTO
nizaciones. Estos modelos, si cumplen las
RIESGOS DE CUMPLIMIENTO +
condiciones previstas en las normativas que CONTINUIDAD DE NEGOCIO
los contemplan, pueden mitigar e incluso exi-
MODELO DE PREVENCIÓN DE DELITOS
mir de determinadas responsabilidades al ser
elementos que evidencian la debida diligencia
y control con la que deben actuar directivos y
IMPUESTOS SEGURIDAD MEDIO ETC.
administradores. Y SALUD AMBIENTE
7
PRÁCTICAS DE BUEN GOBIERNO
en el desarrollo de sus funciones. Lo más ha- como una mayor sensibilización hacia los ries-
bitual es que dependa y/o tenga una línea di- gos de Cumplimiento por parte de los stake-
recta de reporte por una parte, con la Alta Di- holders, afectan a la responsabilidad de Audi-
rección y por otra, con los órganos de gobier- toría Interna sobre la evaluación de la eficacia
Cada organización no o alguna de sus comisiones delegadas que y a la contribución por mejorar los procesos
debe evaluar la mejor
ejerzan las funciones de supervisión y control de gestión de riesgos, incluyendo en su ámbi-
forma de definir e
como, por ejemplo, la Comisión de Auditoría to de actuación los riesgos de cumplimiento a
implantar la función de
o la de Ética y Responsabilidad. los que está expuesta su Organización.
Cumplimiento para
lograr los objetivos que Cada organización debe evaluar –en base a Ahora, la cuestión que se plantea es cómo se
persigue. la normativa que le resulta de aplicación, su debe articular la relación entre las áreas de
grado de madurez, disponibilidad de recursos, Auditoría Interna y de Cumplimiento para que
complejidad y otra serie de variables– la me- ambas alcancen sus objetivos. Si bien la res-
jor manera de definir e implantar la función
puesta estará claramente influenciada por el
de Cumplimiento para lograr los objetivos que
modelo establecido en la propia Organiza-
persigue. Los diferentes modelos de implanta-
ción, una adecuada definición de sus respecti-
ción se tratan al detalle en el apartado Estruc-
vos roles y responsabilidades, la existencia de
tura de Cumplimiento de este documento.
protocolos de coordinación entre ambas y la
La creación de esta nueva función de Cumpli- comunicación de sus actividades al resto de la
miento y su consolidación en aquellas organi- Organización serán factores clave del éxito y
zaciones en las que ya estaba presente, así de la efectividad de las dos áreas.
Roles y responsabilidades
Antes de abordar el modelo de relación entre preventivos y detectivos para el asegura-
las áreas de Cumplimiento y Auditoría Inter- miento y vigilar su eficacia.
na conviene repasar los OBJETIVOS PRINCI- · Auditoría Interna. Actividad independiente
PALES de ambas: y objetiva de aseguramiento y consulta que
· Cumplimiento. Encargada de impulsar la se encarga de agregar valor y mejorar las
cultura de cumplimiento, asesorar y apoyar operaciones de la organización para ayu-
a los órganos de Administración en la im- darla a cumplir sus objetivos. Aporta un en-
plantación y supervisión de los mecanismos foque sistemático y disciplinado para eva-
necesarios para asegurar que se cumpla luar y mejorar la eficacia de los procesos de
con las disposiciones legales, reglamenta- gestión de riesgos, control y gobierno, in-
rias y administrativas que afecten a la enti- cluyendo por tanto los riesgos de cumpli-
dad, así como de su normativa interna y miento. Estos riesgos deben ser considera-
compromisos autoimpuestos. Su función es dos por Auditoría Interna en la elaboración
supervisar el diseño de procesos y controles de su Plan Anual.
8
PRÁCTICAS DE BUEN GOBIERNO
El Modelo de las Tres Líneas de Defensa para tuación del sistema de cumplimiento. En su
una efectiva gestión de riesgos y control5 asig- relación con Auditoría Interna, alertará de
na las RESPONSABILIDADES en materia de los riesgos presentes y futuros de cumpli-
gestión y supervisión de riesgos en tres nive- miento para un correcto entorno de con-
les. Este modelo será la base para diferenciar trol.
los roles y responsabilidades de ambas fun-
ciones: · Auditoría Interna se emplaza en la Tercera
Línea de Defensa. Revisa que los diferentes
· La gerencia operativa, es decir, la Primera
mecanismos establecidos por las funciones Auditoría Interna y
Línea de Defensa es realmente quien ges-
de la Primera y la Segunda Líneas de De- Cumplimiento deben
tiona los riesgos.
fensa operen de manera correcta y cubran preservar un grado de
· Cumplimiento se emplaza en la Segunda los objetivos pretendidos. Adicionalmente independencia que
Línea de Defensa. Promueve y apoya a la deberá evaluar periódicamente el diseño y permita evaluar
organización en la implantación y supervi- la efectividad de los diferentes modelos de objetivamente el
sión de mecanismos que le permitan cum- cumplimiento. modelo de control y la
plir sus objetivos en materia de cumpli- gestión del riesgo de
miento, asegurando el control y mitigación Por tanto, la RELACIÓN entre Cumplimiento y cumplimiento.
de los riesgos de cumplimiento, la preven- Auditoría Interna debe articularse como una
ción de delitos y la cultura de cumplimento, relación de Segunda y Tercera Línea de Defen-
e informando de manera autónoma a los sa, con objetivos comunes de prevención y
órganos de gobierno corporativo de la si- mitigación de riesgos, preservando ambas un
5. ECIIA, Confederación Europea de Institutos de Auditores Internos, y FERMA (Federación Europea de Asociaciones de Gestión
de Riesgos). Modelo de las Tres Líneas de Defensa para una efectiva gestión de riesgos y control, diciembre 2011.
9
PRÁCTICAS DE BUEN GOBIERNO
ión
ción
de Organización
va
iva
ativa
nidad Operativa
ació
A continuación y, siguiendo un enfoque basado en el marco de control interno
ón
Función
ganiza
Opera
ó
Funció
Evaluación
u de Riesgos
Riesg
R propuesto por COSO6 para cada uno de los cinco componentes de control in-
Ope
Organ
visión
División
Fu
terno, se recoge un resumen de los roles y responsabilidades clave de Cumpli-
F
vis
Divis
Unidad
nida
Actividades
i de Contr
Con
C ol
Control
Unid miento y Auditoría Interna en el Modelo de Cumplimiento de una organización.
A nivel
Información
c y Comunicación
Comunic
u Refleja un modelo generalista sujeto a las particularidades que sean aplicables
n
ROLES Y
RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
ENTORNO
DE CONTROL Relación con la gestión Independiente de las operaciones de Independiente de las
la organización y responsable de la operaciones de la organización.
dirección/coordinación del riesgo de
cumplimiento.
Autoridad interna Acceso a toda la Organización. Acceso a toda la Organización.
Código ético Elabora y difunde, asegurando la Audita y revisa su cumplimiento.
comprensión y cumplimiento de las
normas de conducta.
Políticas y procedimientos Propone, lidera e implanta políticas Audita y verifica su implantación.
y procedimientos propios del área de
Cumplimiento en función de las
expectativas y objetivos de inversores
y otros grupos de interés.
Promueve la integración de las
obligaciones de cumplimiento y de
gestión de riesgos asociadas, en las
políticas y procedimientos de la
Organización.
Controles específicos Desarrolla actividades de control e Audita y revisa su cumplimiento.
indicadores cuantificables y
evaluables incorporados en los
procesos de la organización en
relación a los objetivos de
cumplimiento.
Evaluación del Define indicadores de cumplimiento. Audita su cumplimiento.
cumplimiento de las
normas de conducta
6. COSO (Committee of Sponsoring Organizations of the Treadway Commission). Control Interno - Marco Integrado, mayo 2013.
10
PRÁCTICAS DE BUEN GOBIERNO
ROLES Y
RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
ENTORNO
Canal ético Define y asegura su adecuado Audita el procedimiento, el DE CONTROL
funcionamiento, además de funcionamiento y la gestión del
gestionarlo. canal.
Conductas irregulares Previene, detecta e investiga. Detecta e informa.
Conocimientos Jurídicos y regulatorios, Control Marco Internacional para la
especializados relevantes Interno, gestión por procesos y Práctica Profesional de la
gestión de riesgos. Auditoría Interna, Control
Interno, gestión de riesgos,
fraude y otras materias
específicas para cubrir los
distintos riesgos de la
Organización, regulación,
gestión por procesos,
Financieros.
Desviaciones de objetivos Mide valores esperados frente a Audita la gestión de las
valores reales en el ámbito de los desviaciones.
objetivos de la Organización respecto
al riesgo de cumplimiento.
Estructura de Promueve la incorporación de Asegura la existencia de
responsabilidades de responsabilidades en materia de mecanismos de rendición de
control interno Cumplimiento y control interno en cuentas, auditando su
las descripciones de puestos y en el existencia y elaborando
sistema de evaluación de desempeño. recomendaciones.
Sistema de control Promueve, supervisa y define la Audita la adecuación y
interno estructura de Control Interno efectividad del sistema de
respecto al riesgo de cumplimiento, Control Interno de toda la
incorporando a toda la Organización. Organización.
Cambios en el entorno Reaccionan de manera dinámica Actualiza el Análisis de Riesgos,
de negocio. ante los cambios, estudiando pudiendo modificar su plan de
posibles impactos relacionados con auditoría para ser aprobado
el riesgo de cumplimiento en la por la Comisión de Auditoría.
Organización e informando a la
Dirección y Consejo de
Administración cuando proceda.
Régimen sancionador. Promueve y define, junto con otras Revisa la existencia del
áreas de la Organización, la procedimiento y audita el
definición de un régimen proceso de aplicación de
sancionador adecuado frente sanciones disciplinarias.
a incumplimientos.
11
PRÁCTICAS DE BUEN GOBIERNO
ROLES Y
RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
EVALUACIÓN
DE RIESGOS Risk assessment Elabora junto con las unidades de Audita el proceso de la
negocio. Organización y propone
recomendaciones de mejora.
Elabora el plan de Auditoría
Interna en base a un análisis de
riesgos, con el input de la Alta
Dirección y la Comisión de
Auditoría.
Respuestas a los riesgos Consensua con las unidades de Audita el sistema de respuesta a
negocio respuestas adecuadas a los los riesgos de toda la
riesgos de cumplimiento, siempre Organización incluyendo los
cumpliendo con los objetivos de la riesgos de cumplimiento.
Organización y el nivel de Riesgo
Aceptado por el Consejo de
Administración.
Apetito al riesgo Define, con la aprobación del Verifica la definición formal del
Consejo de Administración, el apetito al riesgo validada por el
apetito al riesgo de Cumplimiento Consejo de Administración.
en la Organización, establece los Audita su Cumplimiento y que
mecanismos apropiados de gestión la información que fluye
y vigilancia para asegurar que el hacia el Consejo sea veraz.
valor real esté dentro del apetito
definido e informa al Consejo de la
situación de este con la frecuencia
establecida y siempre que sea
necesario.
12
PRÁCTICAS DE BUEN GOBIERNO
ROLES Y
RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
EVALUACIÓN
Funciones de Proporciona asesoramiento en Proporciona asesoramiento en DE RIESGOS
asesoramiento materia de cumplimiento al gobierno materia de gobierno, gestión de
y negocio de la Organización. riesgos y control.
ACTIVIDADES
Responsabilidades Ostenta responsabilidades operativas Es responsable de realizar los DE CONTROL
operativas relacionadas con el proceso de trabajos de auditoría interna.
gestión del sistema de cumplimiento, No ostenta ningún tipo de
y se encarga de supervisar su responsabilidad operativa.
funcionamiento e integración con el
resto de los procesos manteniendo
la debida autonomía con las
unidades operativas.
Gestión por procesos Incorpora en los procesos de la Audita los procesos y los
organización las actividades controles existentes en base a
de control necesarias y suficientes riesgos.
para mitigar los riesgos de
cumplimiento, que deben ser
evaluables a través de indicadores
específicos.
13
PRÁCTICAS DE BUEN GOBIERNO
ROLES Y
RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
ACTIVIDADES
DE CONTROL Planes de acción de En los procesos con impacto en el Recomienda y realiza su
mejora de control interno cumplimiento propone y coordina su seguimiento de implantación.
implantación junto con las unidades
de negocio.
Seguimiento Define indicadores de desempeño Realiza el seguimiento de las
claves en la ejecución de los planes recomendaciones realizadas
de acción para la mejora del control para determinar si la dirección
interno en el ámbito del riesgo de ha implantado adecuadamente
cumplimiento. sus compromisos.
Definición de controles Propone y promueve la implantación Recomienda la incorporación y/o
de mecanismos de control, mejora de controles clave para
asegurando un equilibrio de dar cobertura a los riesgos, y
enfoques y metodologías para asesora sobre la eficacia e
mitigar los riesgos de cumplimiento, implantación de estos.
teniendo en cuenta tanto controles
manuales como automatizados y
controles preventivos y de detección.
Formación Define e identifica las necesidades Verifica conocimientos y
de formación y coordina su cumplimiento del plan de
impartición junto con las unidades formación, detecta necesidades
de negocio. Responsable de de formación. No tiene
coordinar la formación a empleados responsabilidades específicas
de alto riesgo sobre materias de formación. Provee formación
específicas relacionadas con el profesional continua a los
cumplimiento. auditores internos para
perfeccionar sus conocimientos,
aptitudes y otras competencias.
INFORMACIÓN Y
COMUNICACIÓN Contenido del reporting Informa sobre los riesgos de Informa periódicamente sobre la
cumplimiento, mecanismos de control, actividad en lo referido al
resultado de las acciones mitigadoras, propósito, autoridad,
riesgos residuales y eventuales responsabilidad y desempeño de
situaciones de incumplimiento. su plan, y sobre el cumplimiento
del Código de Ética y las Normas.
El informe también debe incluir
cuestiones de control y riesgos
significativos, incluyendo riesgos
de fraude, cuestiones de gobierno.
14
PRÁCTICAS DE BUEN GOBIERNO
ROLES Y
RESPONSABILIDADES CLAVE CUMPLIMIENTO AUDITORÍA INTERNA
15
PRÁCTICAS DE BUEN GOBIERNO
MATRIZ DE RESPONSABILIDADES DE CUMPLIMIENTO DE LAS ÁREAS DE CUMPLIMIENTO, AUDITORÍA 1ª Línea 2ª Línea 3ª Línea
INTERNA Y OTRAS FUNCIONES DE ASEGURAMIENTO DE LA ORGANIZACIÓN
RSC Y COMUNICACIÓN
RECURSOS HUMANOS
GESTIÓN DE RIESGOS
AUDITORÍA INTERNA
ASESORÍA JURÍDICA
Coordina y dirige ejecución
Interviene en la coordinación y dirección de ejecución en determinados aspectos que se encuentran
CUMPLIMIENTO
dentro de su área de competencia
NEGOCIO
ENTORNO DE CONTROL
Impulsa la creación y modificación continua de normatriva de la compañía relacionada con las
actividades de Cumplimiento (Código ético, políticas anticorrupción, antifraude, etc.)
Establecimiento de una cultura ética y de cumplimiento en la organización y de su comunicación a
todos los grupos de interés
Poner en marcha mecanismos de prevención y detección de conductas irregulares
Definir estructura de responsabilidades de Control Interno relacionada con el Cumplimiento
Realización de investigaciones de Cumplimiento
Aplicar regimen sancionador en caso de incumplimientos
Coordinación del funcionamiento del modelo de Cumplimiento
Responsabilidad global en el proceso de Cumplimiento Componente I de COSO: Entorno de Control.
7. Instituto de Auditores Internos de España. La Fábrica del Pensamiento. Marco de Relaciones de Auditoría Interna con
otras Funciones de Aseguramiento, 2013.
8. The Global IIA. Internal Audit and the Second Line of Defense Practice Guide, 2016.
16
PRÁCTICAS DE BUEN GOBIERNO
MATRIZ DE RESPONSABILIDADES DE CUMPLIMIENTO DE LAS ÁREAS DE CUMPLIMIENTO, AUDITORÍA 1ª Línea 2ª Línea 3ª Línea
INTERNA Y OTRAS FUNCIONES DE ASEGURAMIENTO DE LA ORGANIZACIÓN
RSC Y COMUNICACIÓN
RECURSOS HUMANOS
GESTIÓN DE RIESGOS
AUDITORÍA INTERNA
ASESORÍA JURÍDICA
Coordina y dirige ejecución
CUMPLIMIENTO
Interviene en la coordinación y dirección de ejecución en determinados aspectos que se encuentran
dentro de su área de competencia
NEGOCIO
Ejecuta en su área de responsabilidad atendiendo directrices de quien ostenta responsabilidad primaria
EVALUACIÓN DE RIESGOS
Análisis de riesgos de Cumplimiento
Establecimiento de procesos de formación, retribución y selección de personal en los que se
incluyan parámetros de cumplimiento
Establecimiento de una metodología basada en la gestión de riesgos a través de la elaboración del
Mapa de Riesgos como elemento vertebrador
Responsabilidad global del proceso de Cumplimiento Componente II COSO: Evaluación
de Riesgos
ACTIVIDADES DE CONTROL
Formación en normativa relacionada con las actividades de Cumplimiento
Asesoramiento jurídico en términos aplicados de manera continua
Elaboración del mapa de procesos
Propietarios de los riesgos y controles
Define y desarrolla actividades de control
Implantación de actividades de control
Definición del alcance del Programa de Cumplimiento
Definición y funcionamiento de la gestión por procesos
Defensa jurídica de la organización en casos de incumplimiento
Protocolos de investigación forense en relación a supuestas actividades delictivas
Monitorización de controles de cumplimiento
Revisión de efectividad de las actividades de control
Responsabilidad Global en el proceso de Cumplimiento Componente III COSO: Actividades
de Control
INFORMACIÓN Y COMUNICACIÓN
Fiabilidad e integridad de la información
Comunicación de deficiencias de Control Interno
Garantiza el acceso a los registros en procesos penales, litigios civiles, inspecciones tributarias,
revisiones reguladoras, revisiones de los contratos del gobierno y revisiones por parte de
organizaciones autorreguladas
Crea canales de comunicación con partes interesadas externas
Gestión de las comunicaciones sobre posibles incidencias del Código Ético de la compañía
Responsabilidad global en el proceso de Cumplimiento Componente IV COSO: Información
y Comunicación
17
PRÁCTICAS DE BUEN GOBIERNO
MATRIZ DE RESPONSABILIDADES DE CUMPLIMIENTO DE LAS ÁREAS DE CUMPLIMIENTO, AUDITORÍA 1ª Línea 2ª Línea 3ª Línea
INTERNA Y OTRAS FUNCIONES DE ASEGURAMIENTO DE LA ORGANIZACIÓN
RSC Y COMUNICACIÓN
RECURSOS HUMANOS
GESTIÓN DE RIESGOS
AUDITORÍA INTERNA
ASESORÍA JURÍDICA
Coordina y dirige ejecución
Interviene en la coordinación y dirección de ejecución en determinados aspectos que se encuentran
CUMPLIMIENTO
dentro de su área de competencia
NEGOCIO
Ejecuta en su área de responsabilidad atendiendo directrices de quien ostenta responsabilidad primaria
SUPERVISIÓN
Emprende mejoras de Control Interno
Monitoriza de manera continua el Modelo de Cumplimiento. Estudia fallos de control
Realiza auditorías proactivas de Cumplimiento
Recomienda mejoras de Control Interno
Revisión del entorno de control y recomendación de mejoras
Revisión del modelo de Cumplimiento
Estudio de la gestión de riesgos clave de cumplimiento a través de la monitorización continua
Revisión de la gestión de riesgos clave de cumplimiento a través de la realización de auditorías
Evaluación del proceso de gestión de riesgos
Realiza seguimiento de las medidas correctivas
Responsabilidad global en el proceso de Cumplimiento Componente V COSO: Supervisión
18
PRÁCTICAS DE BUEN GOBIERNO
EL MAPA DE ASEGURAMIENTO
Es una herramienta de coordinación que permi- En la definición del mapa de aseguramiento hay
te identificar a los órganos de gobierno si existe que condiderar, entre otros, el riesgo de cumpli-
una cobertura adecuada de los riesgos relevan- miento. El mapa proporcionará información va-
tes de la organización y si la gestión de estos se liosa sobre el aseguramiento de estos y las inte-
encuentra dentro de los parámetros estableci- rrelaciones que se producen entre Cumplimien-
dos para alcanzar los objetivos del negocio. En to, Auditoría Interna y otras funciones o áreas
este mapa figuran, los riesgos de mayor relevan- que puedan realizar labores de aseguramiento
cia para la organización y se completa con fun- al respecto en la organización.
ciones específicas de aseguramiento (Cumpli-
Con relación al riesgo de cumplimiento se de-
miento, Auditoría Interna, Gestión de Riesgos,
ben considerar las siguientes fases al elaborar el
etc.) que realizan controles sobre esos riesgos.
mapa de aseguramiento:
Aporta información tanto al órgano de adminis-
1. Identificar los riesgos relevantes o críticos
tración como a la Alta Dirección en cuanto al de cumplimiento que pueda tener la organi-
aseguramiento global de los principales riesgos zación (laboral, fiscal, contable, de prevención
de la organización, y permite identificar si exis- del blanqueo de capitales, etc).
ten riesgos críticos no adecuadamente gestiona-
En esta etapa podría incluirse la identificación
dos o que se encuentran “sobrecontrolados”.
de los procesos en los que están localizados
Eso implica una asignación ineficiente de recur-
los diferentes riesgos, teniendo en cuenta la
sos, con exceso de aseguramiento y/o duplici-
transversalidad de estos y, que en un único
dad de esfuerzos en la cobertura de alguno de
proceso podemos encontrarnos varios riesgos
ellos (Norma 2050 - Coordinación y Confianza
y varias funciones de aseguramiento que ten-
del MIPP). gan encomendadas su control.
La existencia de un mapa de aseguramiento 2. Identificar las funciones de aseguramiento
ayuda a Auditoría Interna a coordinar sus activi- existentes en la organización.
dades con otros proveedores de aseguramiento
También pueden existir funciones externaliza-
que existan en la compañía, cumpliendo así lo
das que den cobertura a estos riesgos, e
establecido en la Guía de Implementación 2050
igualmente es necesario identificar y medir el
(Coordinación y confianza) del MIPP: “el Direc-
grado de aseguramiento que proporcionan.
tor de Auditoría Interna debería compartir infor-
mación y coordinar las actividades con otros 3. Identificar y evaluar el grado de asegura-
proveedores internos y externos de servicios de miento que proporcionan las distintas fun-
aseguramiento y consultoría para asegurar una ciones o áreas a cada uno de los riesgos
cobertura adecuada y minimizar la duplicación identificados.
de esfuerzos”. Una buena coordinación entre Una vez evaluado el grado de aseguramiento
las distintas funciones de aseguramiento contri- de las distintas funciones, habría que determi-
buirá a una adecuada cobertura de los riesgos nar el grado de aseguramiento global existen-
clave y a una mejor asignación de los recursos te para cada uno de los riesgos considerados,
de una organización. y se podría llegar a concluir sobre el grado de
19
PRÁCTICAS DE BUEN GOBIERNO
De esta manera, y a través del mapa, la orga- A su vez, este sub-mapa se integrará dentro
nización podría disponer de una visión más de un mapa deaAseguramiento global de to-
desagregada de la cobertura del riesgo de da la organización, que incorporará el resto
cumplimiento, lo que permitirá identificar las de los riesgos críticos.
2ª Línea
3ª Línea
Funciones Otras funciones que
DE CUMPLIMIENTO de ejercen funciones de
aseguramiento supervisión sobre el
cumplimiento de las
normativas
SEGURIDAD DE LA INFORMACIÓN
GRADO DE ASEGURAMIENTO
DEPARTAMENTO FINANCIERO
CUMPLIMIENTO NORMATIVO
Existe una cobertura insuficiente del riesgo
DEPARTAMENTO LABORAL
DEPARTAMENTO DE RSC
DEPARTAMENTO FISCAL
DEPARTAMENTO LEGAL
Se cubre parcialmente el riesgo
AUDITORÍA INTERNA
CONTROL INTERNO
EXTERNALIZACIÓN
El riesgo está razonablemente cubierto
Existe un exceso de cobertura del riesgo
20
PRÁCTICAS DE BUEN GOBIERNO
3ª Línea
2ª Línea
Otras funciones que
MAPA DE ASEGURAMIENTO DE LOS RIESGOS Funciones
ejercen funciones de
de
DE CUMPLIMIENTO aseguramiento supervisión sobre el
cumplimiento de las
normativas
SEGURIDAD DE LA INFORMACIÓN
GRADO DE ASEGURAMIENTO
DEPARTAMENTO FINANCIERO
CUMPLIMIENTO NORMATIVO
Existe una cobertura insuficiente del riesgo
DEPARTAMENTO LABORAL
DEPARTAMENTO DE RSC
DEPARTAMENTO FISCAL
DEPARTAMENTO LEGAL
Se cubre parcialmente el riesgo
AUDITORÍA INTERNA
CONTROL INTERNO
EXTERNALIZACIÓN
El riesgo está razonablemente cubierto
Existe un exceso de cobertura del riesgo
2ª Línea
3ª Línea
MAPA DE ASEGURAMIENTO GLOBAL Riesgos derivados de la normativa contable
DE LA ORGANIZACIÓN
SEGURIDAD DE LA INFORMACIÓN
Riesgos derivados de la normativa de prevención del blanqueo de capitales
GRADO DE ASEGURAMIENTO
Riesgos derivados de la normativa MiFID
CUMPLIMIENTO NORMATIVO
Existe una cobertura insuficiente del riesgo Riesgos derivados de la ética
Otros riesgos legales
DEPARTAMENTO DE RSC
Se cubre parcialmente el riesgo
CONTROL DE RIESGOS
AUDITORÍA INTERNA
CONTROL INTERNO
Procesos
Tipo de riesgo
Riesgo estratégico
Riesgo operacional
Riesgo de crédito
Riesgo de mercado
Riesgos de gobierno corporativo
Riesgo de cumplimiento
Riesgo reputacional
En este caso, Auditoría Interna realizará a la - Trabajos específicos de Auditoría Interna cuyo
misma los ajustes que considere necesarios en objetivo sea evaluar la eficacia del a se -
función de su experiencia y conocimiento de los guramiento proporcionado por Cumplimiento.
procesos y actividades afectados por estos ries- - Revisiones detalladas de los requerimientos
gos de cumplimiento, antes de incorporarlos a establecidos en las distintas normas de apli-
su propia evaluación. cación en la empresa (por ejemplo, RGPD,
Finalmente Auditoría Interna determinará un blanqueo de capitales, etc.).
plan basado en riesgos a partir de su propia - Revisiones de los requerimientos establecidos
metodología, dando prioridad a aquellas áreas, en la normativa que aplica a un proceso o ac-
21
PRÁCTICAS DE BUEN GOBIERNO
Por otra parte, cualquier encargo de Auditoría de la evaluación preliminar de riesgos que
Interna, independientemente del tipo, debiera realiza el auditor interno durante la planifica-
incorporar también una identificación y eva- ción y preparación del programa de trabajo.
22
PRÁCTICAS DE BUEN GOBIERNO
3. Verificar la existencia de políticas y proce- por Cumplimiento, hay que indicar que –co-
dimientos que regulen los procesos de ges- mo se ha señalado en apartados anteriores–
tión del riesgo de cumplimiento en la com- en muchas organizaciones no existe un de-
pañía y de la función de aseguramiento partamento específico, unidad o responsable
proporcionada por la unidad de Cumpli- de cumplimiento, sino que las funciones y res-
miento Normativo, comprobando, además, ponsabilidades relacionadas con el cumpli-
que han sido aprobados formalmente y co- miento pueden ser desempeñadas, de forma
municados de forma efectiva a toda la or- descentralizada, por las propias unidades
ganización. operativas/de negocio.
4. Verificar la integración de los procesos de En estos casos, los objetivos y aspectos a con-
gestión de riesgos de cumplimiento den- siderar en una auditoría interna para evaluar
tro de los procesos globales de gestión de la eficacia del aseguramiento proporcionado
por esa función, no deberían variar de forma
riesgos de la organización.
significativa en comparación con el trabajo
5. Revisar y evaluar la eficacia de los proce- realizado cuando existe un área o departa-
sos relacionados con la identificación, do- mento específico de Cumplimiento. Sin em-
cumentación y evaluación de los riesgos bargo, es necesario que Auditoría Interna, a la
de cumplimiento que afectan a la organi- hora de planificar y preparar el programa de
zación, verificando, por ejemplo: trabajo, disponga de un conocimiento general
- que se ha establecido y definido un pro- del ámbito de actuación, de los roles y res-
grama de cumplimiento sobre la base del ponsabilidades establecidos y del grado de
inventario de riesgos regulatorios. cobertura de las distintas unidades que ejer-
cen funciones de cumplimiento normativo
- que se ha documentado un mapa de Para preparar el plan de
dentro de la organización. La existencia de un
riesgos regulatorios. trabajo, Auditoría
Mapa de Aseguramiento y la información pro-
Interna debe conocer el
6. Comprobar la eficacia y la efectividad de porcionada por esta herramienta sería de
ámbito de actuación,
los controles internos existentes en la or- enorme ayuda.
roles y cobertura de las
ganización que mitigan o reducen a niveles
Auditoría Interna no sólo comunicará el resul- unidades que ejerzan
óptimos los riesgos de cumplimiento identi-
tado de los trabajos específicos realizados so- funciones de
ficados.
bre el área de Cumplimiento a esta última, si- cumplimiento en una
7. Comprobar la existencia de un sistema de no que deberá dar a conocer también los ha- organización.
comunicación y reporte de los resultados llazgos identificados en otros trabajos de au-
de los trabajos de aseguramiento propor- ditoría de procesos y/o actividades que afec-
cionados por Cumplimiento, incluyendo la ten al riesgo de cumplimiento.
existencia de planes de acción en caso de
Auditoría Interna realizará propuestas de me-
coberturas insuficientes o inadecuadas, así
jora que Cumplimiento podría incorporar en
como el seguimiento de su efectiva implan-
su modelo o sistema de gestión del cumpli-
tación.
miento normativo (por ejemplo, en el mapa
A la hora de llevar a cabo una evaluación de de riesgos, en su plan o programa de cumpli-
la eficacia del aseguramiento proporcionada miento).
23
PRÁCTICAS DE BUEN GOBIERNO
24
PRÁCTICAS DE BUEN GOBIERNO
modelo de prevención de riesgos de cumpli- debida cobertura, pudiendo emitir una opi-
miento. nión sobre la efectividad de la función de ase-
guramiento desempeñada por Cumplimiento.
Independientemente de cómo esté estructura-
da la organización, el área de Cumplimiento, Por último, en su labor de supervisión y eva- El trabajo de Auditoría
y de la decisión de confiar o no en el trabajo luación de los procesos de gestión de riesgos, Interna es útil para
realizado por esta, Auditoría Interna debería el trabajo de Auditoría Interna se convierte en enriquecer y completar
verificar que todos los riesgos de cumplimien- una fuente de información útil para enrique- los programas de
to cuya responsabilidad recae en Cumplimien- cer y completar los programas de cumplimien- cumplimiento y mejorar
to se encuentran gestionados conveniente- to y mejorar el entorno de control y de cum- el entorno de control.
mente, de forma que no queden riesgos sin la plimiento.
Estructura de Cumplimiento
La estructura de cumplimiento es una de las En cualquier caso, la existencia de una persona fí-
cuestiones más complejas, ya sea porque en de- sica o un órgano que asuma las funciones de
terminados sectores (financiero, seguros, etc.) el Compliance Officer (Director de Cumplimiento), de
diseño viene condicionado de forma taxativa forma permanente y exclusiva, u ocasional y a
por el derecho derivado de la Unión Europea o tiempo parcial, es muy recomendable en el esce-
su trasposición al ordenamiento jurídico espa- nario holístico ya descrito en la introducción.
ñol, o bien porque la propia fisonomía de las
personas jurídicas (tamaño, número de emplea- A continuación, se detallan las particularidades
dos, recursos, etc.) condiciona inexorablemente orgánicas y competenciales que entraña el cum-
la realidad orgánica de las áreas de Cumpli- plimiento.
miento, cuando puedan existir, o de las perso-
nas que, finalmente, asuman tales cometidos.
ESTRUCTURA ORGÁNICA
La naturaleza y fisonomía jurídica de las orga- da implantación de la cultura de cumplimien-
nizaciones (sociedades cotizadas, entidades to permita.
financieras, pequeñas y medianas empresas,
etc.) hace que haya divergencia de formas or- Modelos centralizados
ganizativas. A continuación se describen dos
potenciales modelos, pero la casuística permi- Aquellos donde Cumplimiento dispone de re-
tirá tantas combinaciones como una adecua- cursos (humanos y materiales) suficientes, con
25
PRÁCTICAS DE BUEN GOBIERNO
26
PRÁCTICAS DE BUEN GOBIERNO
REPORTE FUNCIONAL
Si bien la dependencia debe ser del órgano Para el día a día, el Consejo de Administra-
de administración, esta podrá ejecutarse a ción, la comisión correspondiente o el admi-
través de una comisión delegada o cualquier nistrador podrían encargar o apoyarse en Si bien la dependencia
otra estructura que tenga la organización. En- Cumplimiento para realizar la supervisión del debe ser del órgano de
tre la casuística posible, y para aquellas em- modelo. administración, puede
presas que presenten cuenta de pérdidas y realizarse a través de
ganancias abreviada, el administrador puede una comisión u otra
realizar la función de Cumplimiento. estructura de la
organización.
Consideraciones finales
Concluyendo, la organización deberá diseñar pia de un área ya implantada para conseguir
una estructura que optimice la relación entre mejorar en aspectos como los siguientes:
Auditoría Interna y Cumplimiento Normativo, · Focalizar los esfuerzos de la organización
de manera que la primera pueda cumplir su en dar cobertura a los principales riesgos
misión y contribuir así a agregar valor a la or- de cumplimiento a los que se enfrenta,
ganización, incorporándose de la forma más previa evaluación de estos y de su critici-
apropiada posible a los distintos procesos de- dad.
finidos para garantizar el cumplimiento de las
· Proponer procesos de mejora continua,
responsabilidades de la segunda.
mediante el análisis de los procesos, detec-
Ambas áreas tienen varios aspectos comunes ción de debilidades de carácter normativo e
que se centran, básicamente, en ayudar a la implantación de los planes de acción dise-
organización a lograr un gobierno corporativo ñados al efecto.
responsable y un sistema de control de los · Dirigir a la organización hacia modelos
riesgos eficaz. La clave para alcanzar el éxito preventivos avanzados de monitorización
en este objetivo pasará por identificar y defi- de cumplimiento de leyes, regulaciones y
nir un ambivalente equilibrio de coordina- políticas, anticipándose a los impactos que
ción/colaboración en el que Auditoría Interna pueden derivarse de infracciones normati-
y Cumplimiento puedan y deban interactuar, vas.
sin perder de vista el Modelo de las Tres Lí-
· Participar en las estrategias y procesos de
neas de Defensa y sus especiales circunstan- transformación del cambio, adaptando el
cias que les obliga a ser libres respecto de lo modelo de cumplimiento normativo a los
que dicen y piensan. nuevos desafíos de las organizaciones.
Auditoría Interna podrá aportar a Cumpli- · Establecer modelos de reporting a los ór-
miento su experiencia y la metodología pro- ganos de dirección y de administración
27
PRÁCTICAS DE BUEN GOBIERNO
que les permitan cumplir con sus responsa- tura de los riesgos de cumplimiento. En es-
bilidades de forma eficaz. te marco, resultaría interesante que Audi-
toría Interna participara –manteniendo
En definitiva, Auditoría Interna y Cumplimien-
siempre su independencia y dejando claro
to comparten roles y responsabilidades simi-
su rol de asesor– en comités en materia de
lares en diferentes espacios funcionales y
cumplimiento, dando su opinión sobre
temporales, y –en la medida en que puedan
aquellos aspectos en los que pueda hacer
converger cuando sea necesario– podrán
aportaciones e impulsando acciones que
compartir recursos y conocimientos para de-
mejoren la gestión de los riesgos de cum-
sempeñar sus respectivas funciones sin perjui-
plimiento.
cio de la independencia y objetividad de cada
una de ellas. Auditoría Interna tendrá oportu- 3. Coordinar actividades de gestión de ries-
nidades para ayudar a la organización a ga- gos de cumplimiento o liderar la implan-
rantizar que los riesgos derivados del cumpli- tación del sistema de gestión de riesgos
miento son gestionados de forma aceptable. de cumplimiento. En estructuras que por
tamaño, eficiencia, experiencia, capacita-
Puesto que los principales roles de Auditoría ción o visión de los órganos de gobierno o
Interna relacionados con la gestión de riesgos en entornos menos maduros, Auditoría In-
forman parte inherente de su misión de ase- terna podría impulsar la implantación del
guramiento, y considerando que durante los sistema de gestión de riesgos de cumpli-
últimos años a este rol de “asegurador9” se miento. En estos casos, es necesario ase-
viene sumando un rol cada vez más deman- gurar que existen las salvaguardas necesa-
dado de “asesor de confianza”, se detallan a rias para mantener la independencia y ob-
continuación los roles legítimos de Auditoría jetividad necesarias del área. En ocasiones,
Interna: este modelo evoluciona hacia otro en el
1. Actuar como facilitador en la identifica- que las dos áreas se segregan, proceso
ción y evaluación de riesgos. Auditoría In- que debe asegurar que se realiza mante-
terna puede aportar valor, asumiendo un niendo la adecuada independencia de am-
papel proactivo en la identificación de ries- bas áreas con respecto a la línea ejecutiva.
gos de cumplimiento. A tal efecto, podría
4. Mantener y desarrollar el marco de ges-
liderar el establecimiento de un sistema de
tión de riesgos empresarial. La elabora-
comunicación efectivo con Cumplimiento.
ción o la coordinación de la elaboración
2. Asesorar a Cumplimiento sobre cómo del mapa de aseguramiento, en el que se
responder a los riesgos. Si bien no puede incluyen los riesgos de cumplimiento, hace
imponer procesos de gestión de riesgos o que Auditoría Interna pueda aportar un va-
tomar decisiones sobre la respuesta a los lor extra a esta área, estableciendo un len-
mismos, sí podría ejercer una labor de guaje y un marco común de interrelación
“asesor” o “consultor”, aportando su vi- entre la Primera, la Segunda y la Tercera
sión global de los procesos de la entidad y Línea de Defensa en materia de gestión de
alertando sobre posibles gaps en la cober- riesgos.
9. Para ampliación, ver el documento del Instituto de Auditores Internos de España. La Fábrica del Pensamiento. Más allá
del aseguramiento. El auditor interno como asesor de confianza, 2017.
28
OTRAS PRODUCCIONES DE LA FÁBRICA DE PENSAMIENTO