La ya conocida Circular 6/2009, de la CNMV, sobre Control Interno en Sociedades Gestoras de Instituciones de Inversión Colectiva (SGIIC) y Sociedades de Inversión (sicav) estableció requisitos estructurales y formales para estas entidades, plasmándose en la obligación de crear tres funciones de control interno; cumplimiento normativo, gestión de riesgos y auditoría interna, esta última obligatoriamente independiente de las anteriores.
Recientemente, a través del “Proyecto de Circular sobre los Requisitos de Organización Interna Relativos a las Funciones de Control”, la CNMV, refuerza los planteamientos establecidos en la Circular 6/2009 y los entiende a las Empresas de Asesoramiento Financiero (EAFI), con la salvedad de que estas podrán acogerse al principio de proporcionalidad, y unificar las funciones de cumplimiento normativo y gestión de riesgos y prescindir, en algunos casos, de la función de auditoría interna, cuyas actividades se entienden ejecutadas por las funciones anteriores.
Por este planteamiento, en muchas entidades, quizás se han preguntado por la posible duplicidad de funciones, especialmente entre cumplimiento y auditoría interna, pero en realidad, aunque las tres funciones son lo que se conoce como “Assurance Providers”, cada uno tiene una misión y acometido diferente. Es muy habitual ver como diversos equipos de auditores internos, especialistas en gestión de riesgos, responsables de cumplimiento normativo, técnicos de control interno, inspectores de calidad, investigadores de fraude y otros profesionales de control y riesgo, colaboran para ayudar a sus organizaciones a gestionar el riesgo.
Para aclarar la diferencia, y sobre todo la requerida independencia de Auditoría Interna respecto a las demás funciones de aseguramiento, podemos referenciarnos al Modelo de las Tres Líneas de Defensa, un modelo creado por el European Confederation of Institutes of Internal Auditing, el ECIIA.
El modelo de las Tres Líneas de Defensa distingue tres grupos (o líneas) que participan en la gestión de riesgos:
- Áreas propietarias y gestoras de riesgos
- Áreas que monitorizan riesgos
- Áreas que proporcionan aseguramiento independiente
El Modelo de las Tres Líneas de Defensa en una ESI
Primera Línea de Defensa:
La dirección y la gestión operativa son responsables del mantenimiento de controles internos eficientes y de la ejecución de los procedimientos de control y de gestión de riesgos como parte de su actividad diaria. También identifican, evalúan, controlan y mitigan los riesgos y fomentan el desarrollo y la implantación de políticas y procedimientos para asegurar que las actividades se encuentran alineadas con las metas y objetivos. En el caso de una ESI, estas tareas típicamente caerían en front Office, dirección comercial y finanzas y administración.
Segunda Línea de Defensa:
La dirección establece en la organización varias funciones para gestionar riesgos y reforzar el cumplimiento normativo, creando controles, documentando los sistemas de control interno, supervisando, y asesorando a la primera línea.
Sin embargo, y para el caso que nos compete, esta segunda línea, también es ejecutora de dichos controles.
La naturaleza exacta de las funciones variará de una organización a otra y de una industria a otra, pero típicamente la segunda línea de defensa tendrá; gestión de riesgos, cumplimiento normativo, atención al cliente y asesoría jurídica.
Tercera Línea de Defensa:
Cómo tercera línea de defensa, la función de auditoría de forma COMPLETAMENTE INDEPENDIENTE de la primer y segunda línea, dará aseguramiento sobre el sistema de control interno a los órganos de gobierno, y la alta dirección, y esto ha de incluir un evaluación sobre la eficacia de las funciones de cumplimiento normativo y riesgos.
Resumen:
Estructurar un sistema de control interno eficiente, basado en la constitución de las tres funciones de gestión (cumplimiento normativo, gestión de riesgos y auditoría interna), requiere que cada una de dichas funciones, desempeñe sus acciones concomitantes, dentro del escalón que le corresponda, consiguiendo así identificar, detener, subsanar y comunicar a la más alta instancia, los riesgos a los cuales está sujeta la organización.
Este filtro, de función en función, hasta su reporte final al Órgano de Gobierno, en la esencia sobre la cual se fundamente el Modelo de las Tres Líneas de Defensa”
Si podemos responder, afirmativamente, a los siguientes enunciados, podremos afirmar que nuestra organizaciones han implantado un sistema de control interna eficiente sobre la base del “Modelo de Las Tres Líneas de Defensa”.
1) Utiliza el modelo de las tres líneas de defensa para evaluar si sus órganos de control interno están adecuadamente estructurados.
2) Evalúa si su departamento de auditoría interna ostenta la suficiente independencia para proporcionar al Órgano de Gobierno. El confort requerido.
3) Evalúa las líneas de reporte y las competencias de cada una de las funciones de control para verificar que el Órgano de Gobierno tiene el aseguramiento adecuado sobre todos y cada uno de los riesgos a los que se enfrenta la organización.
4) Considera la elaboración de un mapa de aseguramiento para tal fin y para evitar duplicidades y huecos en las labores de control.