Estableciendo límites: el modelo de las tres líneas de defensa

Uno de los temas que queríamos tratar, es el rol que tiene la auditoría en relación a Compliance, es decir, ¿cuáles son los límites de las funciones del oficial de cumplimiento y las auditorías internas? Mi experiencia es que en muchas empresas el área de Compliance surge de auditoría, y en otros casos surge de jurídico. Y hay múltiple casuística. Pero no en todas las compañías existen puestos distintos para la oficina de Compliance y de auditoría interna. De hecho sucede en las más pequeñas, y en algunos casos me he encontrado con empresas en Centroamérica muy grandes que no pueden permitírselo. 

‍

América Móvil es una multinacional y además cotiza en bolsa. ¿Cómo se ha planteado el caso de la estructura y la misión de cada una de estas dos funciones? Ahora bien, el plan de trabajo anual, los objetivos y la división de tareas, ¿se plantea conjuntamente, o precisamente para no pre-condicionar la conducta de otros, operan a través de las llamadas Chinese Wall?, ¿cuál es la dinámica que se ha implementado, sin dar demasiados detalles, en América Móvil?, y ¿cuál es tu visión en este punto?

‍

Es bien interesante la forma en que se aborda Compliance en una multinacional. En América Móvil, el tema de crear precisamente la oficina de cumplimiento es reciente, estamos hablando de que este esfuerzo no tiene más de tres años. Ello no significa que no se hicieran labores de Compliance en las distintas sociedades o filiales de América Móvil, en los distintos países, sino que cada Compliance o a veces esbozos de Compliance, se hacían de manera un poco intuitiva por cada una de las subsidiarias. Y entonces, a veces era mandatoria de alguna disposición regulatoria o normativa. A veces era por buenos oficios de las personas que preferían iniciar con este tipo de conductas, un poco para darle ética y razón de ser moral, acorde con ciertos principios que tiene la empresa. 

‍

Cuando llegamos vimos que cada subsidiaria de cada país lo hizo de manera diferente, y entonces tenemos puntos bien interesantes, por eso se me hace muy importante esta pregunta: ¿Hasta dónde son los límites de una auditoría interna, y hasta dónde son los límites de Compliance? Porque en algunos lados, el auditor interno justamente tomó estas funciones y ahorita estamos platicando con estas direcciones, con estas partes de las empresas, precisamente para entender cómo es que ellos establecieron estos controles normativos, y hasta dónde son ellos y hasta dónde somos nosotros. En ese sentido, lo que te puedo decir es que nuestra principal visión para poder ver dónde están las facultades o dónde están las responsabilidades de cada uno de ellos, se establece en un diagrama que a lo mejor ya todo el mundo conoce, que es el tema de las líneas de defensa.

‍

Entendemos que existen tres líneas de defensa. La primera es precisamente las áreas operativas, que son los que día a día están en contacto con los riesgos, con la operación, con lo que hace o con lo que puede generar algún tipo de riesgo para las empresas. Luego viene la segunda línea de defensa, que la asume precisamente el oficial de cumplimiento y que tiene una función un tanto estratégica, y una visión a largo plazo. Tiene que estar mucho en contacto con los de los socios, con los dueños de las empresas, precisamente para entender cuáles son los grados de riesgo que puede soportar, y a partir de ahí generar un código de ética y unas políticas, que son como los lineamientos que se van a derivar de este Código de Ética. Lo que le va a dar, lo que los abogados llamamos positividad a ese código de ética, es decir, va a estructurarse, va a generarse el aspecto obligatorio derivado de esta norma fundante interna que es este Código de ética, y luego ya vendrán los demás procesos y procedimientos.

‍

Y luego viene una tercera línea de defensa, que es precisamente la auditoría interna. Si tenemos claro qué es lo que hace cada una de las líneas de defensa, vamos a ver que son complementarios y por lo tanto, hablar de Chinese Wall, me parece que en ocasiones podría ser un poco arriesgado en temas de la implantación de un debido Compliance, porque el Compliance fundamentalmente se basa en un cambio cultural o una estructura cultural de cómo se hacen las cosas en una empresa. 

‍

Es decir, las acciones que hace Bimbo, las acciones que hace América Móvil, las que hace Coca-Cola, las que hacen las empresas más pequeñas; están provistas de una “huella”, independientemente de la marca. Y esa huella es cómo hacer las cosas. Y ese cómo hacer las cosas es lo que te da Compliance. Es “nosotros hacemos esto a la manera de América Móvil” y entonces esa manera de América móvil es la que tiene que fundamentarse en el Código de Ética y tiene que permear de manera horizontal en todas las subsidiarias. Entonces, a partir de eso es donde creamos nosotros precisamente una estructura, que puede generarse por políticas y luego esas políticas por algún tipo de auditoría, para poder entender cómo se está haciendo. O la finalidad de la auditoría es ver cómo se está aplicando y cómo se está entendiendo esa política. Pero lo que hace la auditoría interna es precisamente observar si lo que se está haciendo, si la estructuración de esas políticas son eficaces y si son eficientes, y si se están haciendo de manera correcta. Es decir, lo que hace la tercera línea de defensa o lo que es la auditoría interna, es precisamente corroborar que lo que se esté haciendo está siendo, se está haciendo de manera correcta y se está haciendo de manera eficaz. Pero nunca dice que es lo que tiene que hacer. Esa parte del diseño le corresponde precisamente al Oficial de Cumplimiento. 

‍

Y sacando el tema de las diferentes líneas de defensa, teniendo en cuenta el rol de Compliance y la auditoría, hay un dicho que dice que el auditor se debe al board y que el Compliance Officer se debe a los accionistas. ¿Qué tan correcta es esta afirmación en tu visión?

‍

Desde un punto de vista más amplio, el Compliance en cualquier empresa no se establece como una receta de cocina. Cada Compliance tiene su propia manera de hacerse, porque todas las empresas son diferentes, en tamaño, en objetivos, en materia. Entonces el Compliance tiene que ser a la medida. Es decir, por más que tú uses lentes y yo use lentes, tus lentes no me van a quedar a mí, tienen que estar graduados a mi medida, porque si no, no me va a servir. Tengo que hacer un Compliance de acuerdo a mi forma de entender la realidad, de entender los riesgos y de darle solución a esos riesgos. 

‍

Entonces, ¿a quién le da la información el Compliance? ¿A quién le da la información el auditor interno? Está mucho en función de cómo estructuras este Compliance. Lo que sí te puedo decir, es que los accionistas tienen como su mano derecha el sentido de consulta lo que hace el Compliance, es decir, Compliance le asegura a los accionistas que lo que se está haciendo es correcto y de alguna manera es eficiente. Porque eso a la larga lo que va a ocasionar es que tengas una empresa que tenga un horizonte de largo plazo, si tú haces las cosas bien, entonces lo más seguro es que te vaya bien, independientemente de las estrategias comerciales y ese tipo de cuestiones operativas que también son importantes y trascendentes. 

‍

Lo que sí es importante es que, además de la labor que hace el auditor interno, lo que hace Compliance es asegurar la viabilidad de esa empresa a lo largo del tiempo. Entonces, más que preocuparnos por responder a quién se le da la importancia a uno o a otro, lo que hay que tener claro es que ambos, la Oficina de Cumplimiento y la Auditoría Interna, tienen como finalidad primordial el establecer mecanismos para controlar riesgos, que en alguna medida pueden poner en riesgo la viabilidad de la empresa a mediano y largo plazo.

‍

Entonces, tomando en cuenta eso y tomando en cuenta cuáles son las relaciones de responsabilidades entre uno y otro, puedes establecer fronteras que van a depender de tus procesos y de lo que tú haces. Y entonces lo que sucede o lo que toca, es tener conversaciones entre auditoría interna y entre oficial de cumplimiento, y en ocasiones otras áreas que también están incluidas en estos procesos, en estas conversaciones, para delimitar responsabilidades y entre todos ofrecer precisamente estos planes o procesos que generan continuidad a mediano y largo plazo.