Las características de la función de compliance han llegado recientemente a replantear su ubicación, como segunda línea, en el ya famoso modelo de las “tres líneas” de gestión de riesgos.
Carolina Montaña Fajardo[1]
Las nuevas dinámicas corporativas y societarias, así como las actualizaciones normativas (legales y/o técnicas) han hecho necesario replantear el modelo de las “tres líneas” de gestión de riesgos para acercarlo a la realidad práctica empresarial. Por esto, es necesario evaluar la ubicación de la función de compliance y las consideraciones que debe tener en cuenta cada compañía en el diseño de la arquitectura de su sistema de gestión del riesgo.
Sumario:
- Introducción II. El “Modelo de las tres líneas” de defensa corporativa y su reciente actualización III. Compliance dentro del modelo de las “tres líneas” de gestión de riesgos corporativos IV. Reflexión final
I. Introducción
En la actualidad, la mayoría de las grandes compañías a nivel internacional gestiona sus riesgos a través del famoso “modelo de las tres líneas de defensa corporativa” que surgió hace más de veinte años en el sector financiero en el Reino Unido[2]. Este modelo, sugiere que cualquier compañía tiene tres líneas o capas de control que permiten la prevención o detección del riesgo de forma temprana.
Es así como este modelo tiene una estructura ─a nivel de gestión de riesgos─ de tres líneas claramente diferenciadas: la primera línea corresponde a aquellas divisiones operativas o misionales de la organización; la segunda, a aquellas áreas que controlan a la primera línea, entre las que se encuentran los departamentos de compliance; y la tercera es aquella que supervisa, independientemente, la operación de toda la organización y reporta, directamente, al órgano de administración[3]. Sobre este modelo y sus características, se ahondará más adelante.
Este modelo, normalmente, es adoptado por aquellas áreas de auditoría interna de las compañías, puesto que son estas quienes le dan una mayor aplicación en su propia organización. Por esta razón, en el 2013, The Institution of Internal Auditors[4] (en adelante, IIA) lanzó una Declaración de Posición[5] a nivel internacional, con la que difundió aún más este planteamiento.
Luego de esta declaración y la popularización internacional en diferentes sectores, además del financiero, se alzaron algunas críticas al instituto por parte de diferentes actores de la gestión de riesgos corporativos. Esto motivó una “evaluación” o revisión del modelo[6] por parte del instituto en el 2019, en la que solicitó comentarios y participación de todos los interesados. Entre estos actores, se encontraban los departamentos de compliance, quienes han manifestado, informalmente, incongruencias respecto a la ubicación de estos como segunda línea de defensa en la gestión de riesgos, frente a lo que indican las normas técnicas de compliance y/o las últimas novedades legislativas en algunos ámbitos regulatorios de esta función.
Es así como en octubre de 2020 se realizó una actualización del modelo por parte del IIA. Uno de los principales cambios que introdujo fue en su denominación, en la que eliminó el apellido de “defensa corporativa” y quedó, simplemente, como “Modelo de las tres líneas”[7]. Otro de los cambios que llama la atención es el esquema o estructura del modelo, según el cual la primera y segunda línea se encuentran en el mismo rango con reporte y control por parte del área de dirección, mientras que auditoria interna, como tercera línea, se muestra totalmente independiente, sin que tenga que rendir cuentas o tenga una delegación de la alta dirección; su papel es de una simple relación de comunicación y colaboración con ésta.
Por lo tanto, a continuación, se pretende hacer un análisis de las características del modelo y los resultados de la actualización realizada este año. Ello, con el fin de profundizar en aquellos comentarios y discusiones que, desde la academia, se han venido realizando en los últimos años, sobre la posibilidad de que los departamentos de compliance realmente no pertenezcan, en su totalidad, a la segunda línea de defensa corporativa, tal y como lo describe el tradicional “modelo de las tres líneas de defensa corporativa”. Para ello, a continuación, se presenta una recapitulación del modelo tradicional de las líneas de defensa corporativa con su respectiva actualización, se explica la ubicación sistemática que, mayoritariamente, se ha asignado al cumplimiento en este esquema y se analiza la viabilidad y coherencia de variar dicha ubicación en el esquema de defensa corporativa. Al final, se ofrecen algunas reflexiones en torno al estado actual de la discusión y retos que siguen por superarse en la materia.
II. El modelo de las “tres líneas” de defensa corporativa y su reciente actualización
El “modelo de las tres líneas de defensa corporativa”, tal como su nombre lo indica, es un modelo explicativo que divide la gestión del riesgo en tres grandes capas o líneas, cada una con unas características particulares y con una cobertura frente al riesgo aún mayor que la anterior[8].
De acuerdo con el IIA en su declaración de 2013, este modelo se presenta en un esquema simple y con un lenguaje sencillo, lo que facilita comprender y organizar las diversas actividades y responsabilidades que conforman la gestión de riesgos, y determinar su ámbito de control y a quién deben reportar sobre su gestión.
A continuación, se explicará el detalle de cada una de estas líneas y sus principales características[9]:
- Primera Línea: conformada por las áreas misionales u operativas de la compañía (unidades de negocio); son aquellas áreas o funciones que son poseedoras de los riesgos y los gestionan directamente. Es decir, esta línea cumple la doble función como propietaria y gestora del riesgo.
- Segunda Línea: formada por las áreas que controlan los riesgos que ocurren en sede de primera línea; esto, pues no es garantía de seguridad absoluta que el mismo propietario del riesgo sea quien lo controle. Para ello, esta línea es la encargada de gestionar el riesgo y monitorizar controles de esa primera capa, brindando la información necesaria desde un punto de vista independiente a la operación, pero con visual de 360º de la compañía. Estas áreas son transversales a toda la organización y lo ideal es que trabajen de manera coordinada con las otras líneas. Funcionan bajo la coordinación y control de la alta dirección. En esta segunda línea, suelen encontrarse las áreas de control financiero, seguridad, control interno, asesoría jurídica, gestión de riesgos, calidad y compliance (esta última, objeto de análisis más adelante).
- Tercera Línea: está conformada por auditoría interna que tiene la función de proporcionar aseguramiento independiente. Esta es la encargada de verificar y validar ex post el cumplimiento de todos los procedimientos internos, que permita garantizar que las cosas se están haciendo como deberían hacerse, y se encuentra bajo la coordinación y control del órgano de gobierno directamente, lo que marca, en la práctica, su independencia o autonomía. En la actualización del modelo, se muestra que auditoría interna se encuentra en el mismo nivel de la alta dirección con una simple relación de comunicación.
Por fuera de estas líneas, se encuentra la labor de las auditorías externas (que en muchos ámbitos son de obligatorio cumplimiento por ley) y la de los organismos de control, que, también, ejercen labores de gestión o supervisión de riesgos. Es más, en el sector financiero se presentó, en el 2015, una propuesta[10] de formar con estas áreas una “cuarta línea de defensa”, la cual no ha tenido mayor repercusión en el mundo corporativo.
En la cabeza del modelo, y no como líneas de defensa, se encuentra la Alta Gerencia (CEO y/o Presidencia) y el Órgano de gobierno (Consejo de Administración). Esto, por un tema de coherencia del modelo: la primera línea no puede ser sujeto de control, por ser el objeto de control por excelencia, y la segunda no puede efectuar control, por ser el máximo interesado en que se gestionen correctamente los riesgos por temas de seguridad patrimonial y reputacional[11].
Una vez identificada la división de áreas, es importante enmarcar el flujo de reporting que deberían ejecutar dichas áreas. Según la versión actual del modelo, la primera y segunda línea deberán reportar directamente a la alta dirección, en tanto que la tercera línea (auditoría interna) realiza un reporte directo al órgano de gobierno, casi siempre a una comisión de auditoría interna. De la misma forma, el órgano de gobierno realiza un feed back estratégico a las tres líneas, a través de la delimitación de objetivos y planes de acción, con base en la información ya aportada por estas. Dicha retroalimentación se realiza a través del área de dirección para la primera y segunda líneas, y de forma independiente a la tercera línea.
Como se ha podido analizar, el modelo presenta una estructura sencilla y simple de entender a nivel corporativo, ya que se buscaba, precisamente, tener una imagen clara para evitar confusiones, solapamientos y omisiones, dado que la responsabilidad, generalmente, es compartida entre varias funciones[12].
Con el transcurrir de los años y como se indicaba en la parte introductoria, este modelo ha sufrido una serie de críticas enfocadas a que la “teoría”, en ocasiones, dista mucho de la “práctica”, lo cual hace difícil la implementación del modelo en diferentes sectores o entornos corporativos. Por esta razón, en el 2019, el IIA convocó a diferentes sectores a dar sus opiniones sobre el modelo con el fin de efectuar una evaluación al mismo, porque, además de lo descrito, consideraban que se enfoca, únicamente, en la defensa y la protección del valor, sin tener en cuenta el contexto más amplio de la gobernanza, es decir, el éxito organizacional y la creación de valor,[13] temas de vital importancia en el mundo corporativo actual.
Como resultado de esta evaluación, el IIA expidió, en octubre de 2020, una actualización del modelo[14] en el que recogió los hallazgos obtenidos de las respuestas de expertos e interesados sobre el modelo. A manera de conclusión, el modelo se enfoca más a recomendar directrices de gobernanza sobre la gestión del riesgo, y dejaba atrás ese carácter “defensivo” que lo caracterizaba.
Cabe resaltar que, además del área de auditoría interna, como se plasma en el modelo, ninguna otra área fue valorada a profundidad[15]. En vista de ello, se considera oportuno, una vez caracterizado el modelo, entrar a valorar la función de compliance en esta estructura y las dificultades con las que se está enfrentando hoy en día, a nivel corporativo y de cumplimiento normativo.
III. Compliance dentro del modelo de las “tres líneas” de gestión de riesgos corporativos
Compliance hace parte de la segunda línea de gestión de riesgos y esto le implica ciertas características (control a la primera línea y reporte a la alta dirección) que no siempre son compatibles con la esencia de la función de compliance, tal y como analizaremos a continuación. Es por esto que, cada vez, es más frecuente el discurso de que compliance puede tener un rango de acción entre una línea imaginaria entre la primera y segunda línea, y una intermedia entre la segunda y la tercera. Para ahondar en este discurso, se va a valorar cada una de las características que le implica a compliance ser segunda línea, y cuál es la ‘inconformidad’ que ésta presenta frente a la realidad corporativa.
En primer lugar y lo que más llama la atención, se hace referencia a la supuesta autonomía de la función. Como ya se dijo, la segunda línea, según el modelo, reporta solamente a la alta dirección, lo que es totalmente incompatible con la esencia de compliance como asegurador autónomo del cumplimiento normativo al interior de la organización para el órgano de gobierno. Al respecto, indica la Asociación Española de Compliance – Ascom: “La función de Compliance estará dotada de autonomía suficiente para desarrollar sus cometidos esenciales sin precisar mandatos específicos para ello. A tales efectos, el órgano de administración de la organización le delegará facultades y competencias suficientes para desarrollar sus cometidos esenciales de manera continuada y sin precisar autorización, siempre con objetividad, imparcialidad e independencia”[16].
Tal y como describe Ascom, la función de compliance debe ser autónoma dentro de la organización, esto para poder controlar a la alta dirección y reportar directamente al órgano de gobierno como encargados de la toma de decisiones sobre cultura corporativa. Por esta razón, no correspondería con una ubicación de segunda línea, sino que sería más cercana a la tercera línea de defensa corporativa que cumple con esta característica.
A nivel legislativo y judicial, la Fiscalía General del Estado de España en la Circular 1/2016 recalcó la importancia y necesidad de esta misma característica, refiriéndose a los modelos de prevención de delitos que hacen parte de los sistemas de cumplimiento penal de las empresas, al ampliar el alcance del artículo del Código Penal español que fundamenta la responsabilidad penal de las personas jurídicas. A juicio de esta autoridad:
Precisamente por ello, pese a que se pretende que el oficial de cumplimiento sea lo más independiente posible, al ser un órgano de la persona jurídica designado por el órgano de administración, al que asimismo debe vigilar, difícilmente gozará de plena autonomía en su función. Para conseguir los máximos niveles de autonomía, los modelos deben prever los mecanismos para la adecuada gestión de cualquier conflicto de interés que pudiera ocasionar el desarrollo de las funciones del oficial de cumplimiento, garantizando que haya una separación operacional entre el órgano de administración y los integrantes del órgano de control que preferentemente no deben ser administradores, o no en su totalidad.[17]
Sin embargo, y tal vez en un tono conciliador, el IIA, en la actualización realizada recientemente, habla sobre esta incongruencia que presentaba el modelo frente a algunas legislaciones y presenta la posibilidad de cumplir con lo exigido por la regulación y por la naturaleza del modelo. Al respecto indica: “Las organizaciones tal vez deseen, y sus reguladores pueden exigir, que los líderes de segunda línea, como un director de riesgos (CRO) y un director de cumplimiento (CCO), tengan una línea de información directa al órgano de gobierno. Esto es totalmente coherente con los principios del modelo de las tres líneas.”[18]
En este mismo sentido, como segunda cuestión a analizar, se debe tener en cuenta que compliance se encarga de la prevención, detección y gestión de riesgos de cumplimiento normativo[19] y, en algunos casos (dependiendo de la dinámica del sector de la compañía), esta gestión de riesgos implica una opinión crítica de compliance frente a las decisiones de negocio, como se explica a continuación.
Un ejemplo se da en los procesos KYC – Know Your Client (Conoce a tu cliente)[20], que corresponden a una actividad de análisis e investigación de aquellos terceros con los cuales se van a establecer relaciones comerciales con el fin de identificar aquellas alertas a nivel de cumplimiento normativo que puedan afectar a una organización. Por lo tanto, esta actividad, comúnmente realizada por los departamentos de compliance, puede frenar o dar luz verde a una decisión del negocio; por lo que, en este caso, la actividad de compliance no se limitaría, solamente, a la supervisión y control de las decisiones de la primera línea, sino que en estos casos, se involucra en este primer nivel teniendo la potestad de paralizar una potencial relación comercial, dejando de lado su papel de “supervisor”.
Esta situación puede ver comprometida la independencia de la función de compliance o, en algunas ocasiones, configurar un conflicto de intereses[21] si todas las tareas de compliance se encuentran centralizadas en una misma persona, como suele ocurrir en medianas empresas o en compañías con áreas de cumplimiento en desarrollo. Al respecto, en la actualización del modelo, el IIA reconoce que, en algunas ocasiones, la primera y segunda líneas se pueden ver mezcladas. Es así como indica que, algunas veces, los roles de la segunda línea pueden ver ampliada su gestión de riesgo, sin que ello indique que se desnaturalice la calidad de gestor del riesgo de la primera línea[22].
Así mismo, y como tercera característica a analizar, se presenta el rol de gestor de programas de cumplimiento normativo, que, como segunda línea, deberá verificar y validar controles ejecutados por áreas que hacen parte de esta segunda línea de defensa, como la financiera, la jurídica o la de calidad, y que, a su vez, son ya supervisores de la primera línea. Esto convertiría a compliance en “supervisor del supervisor” y lo ubicaría al mismo nivel del objeto de control, es decir, un área de segunda línea supervisando a otra área que también se ubica en la misma segunda línea. Por eso, en ocasiones, se podría ubicar intuitivamente esta área en una línea superior intermedia entre la segunda y tercera línea.
Ahora bien, lo anterior podría llevar a pensar que lo correcto sería considerar a compliance como tercera línea junto a auditoría interna; pero también se deberá tener en cuenta que la función de cumplimiento será objeto de revisión y auditoría por la alta dirección y el órgano de gobierno[23], a través de una auditoría interna y/o externa, para garantizar el correcto diseño e implementación del sistema de gestión. Es decir, en el caso de que la función de compliance sea auditada internamente por la compañía, no podría compartir espacio en la misma línea de control con auditoría interna.
IV. Reflexión final
Es claro que compliance deberá aportar valor al negocio y, a su vez, gestionar riesgos mediante el control operativo. Qué tanto valor e importancia se le dé a cada una de estas acciones va a depender de la configuración de la empresa y del compromiso del órgano de gobierno (tone from the top) frente a la cultura corporativa.
En este sentido, la respuesta de muchas compañías frente a estas problemáticas ha sido adoptar el modelo en la medida de las posibilidades del negocio. Esto se puede dar a través de la subdivisión de Función de Cumplimiento en líneas imaginarias por roles especializados, con el fin de evitar posibles conflictos de interés y de manera que no implique sacrificar la autonomía de la función. De igual forma, otras compañías han unificado las áreas de auditoría interna y de compliance en una sola área de dirección, de modo que la ubican en el rango de tercera línea. Así, se pretende solucionar el tema de autonomía y reporting al órgano de gobierno, y se generarían líneas imaginarias hacia abajo en el área; esto permite que los roles que se involucran con las decisiones del negocio puedan ser objeto de control por otras líneas imaginarias superiores.
Con todo esto, se pretende resaltar que el modelo de gestión de riesgos adoptado por cada compañía deberá ser ajustado de acuerdo con sus necesidades y estructura. No se puede pretender cambiar una compañía por un modelo; pero, tampoco, ignorarlo por completo, excusándose en la antigüedad de una dinámica corporativa impuesta. Se deberá encontrar un punto medio que permita controlar los riesgos, no hacer grandes variaciones estructurales y no desconocer los mínimos esenciales de cada función.
Bibliografía
ASOCIACIÓN ESPAÑOLA DE COMPLIANCE. Libro blanco sobre la función de compliance. Madrid: ASCOM, 2017.
ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN – AENOR, Norma Internacional ISO 19600:2014. Sistema de gestión de compliance. Madrid: AENOR, 2014.
ARNDORFER, Isabella y MINTO, Andrea. The “four lines of defense model” for financial institutions [en línea], 2015. [Consultado el 20 de noviembre de 2020]. Disponible en: https://www.bis.org/fsi/fsipapers11.pdf
EUROPEAN SECURITIES AND MARKETS AUTHORITY – ESMA. Consultation Paper Guidelines on certain aspects of the MiFID II compliance function requirements [en línea], 2019. [Consultado el 20 de noviembre de 2020]. Disponible en: https://www.esma.europa.eu/sites/default/files/library/cp_on_compliance_function_guidelines_for_publication.pdf
FISCALÍA GENERAL DEL ESTADO. Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica 1/2015. Madrid, 2016.
THE INSTITUTE OF INTERNAL AUDITORS, ANDERSON, Douglas y EUBANKS, Gina. Aprovechar el COSO en las Tres líneas de defensa [en línea], 2015. [Consultado el 20 de noviembre de 2020]. Disponible en: https://laflai.org/wp-content/uploads/2018/09/COSO_2015-3LOD-Thought-Paper-FULL_r3_ES.pdf.
THE INSTITUTE OF INTERNAL AUDITORS. IIA Declaración de Posición: Las tres líneas de defensa para una efectiva gestión de riesgos y control. Florida, EEUU: The Institute of Internal Auditors [en línea], 2013. [Consultado el 20 de noviembre de 2020]. Disponible en: https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control%20Spanish.pdf
THE INSTITUTE OF INTERNAL AUDITORS. IIA Exposure Document: Three Lines of Defense. The Institute of Internal Auditors [en línea], 2019. [Consultado el 20 de noviembre de 2020]. Disponible en: https://global.theiia.org/about/about-internal-auditing/Public%20Documents/3LOD-IIA-Exposure-Document.pdf
THE INSTITUTE OF INTERNAL AUDITORS. The IIA’S Three Lines Model: An update of the Three Lines of Defense. The Institute of Internal Auditors [en línea], 2020. [Consultado el 20 de noviembre de 2020]. Disponible en: https://global.theiia.org/about/about-internal-auditing/Public%20Documents/Three-Lines-Model-Updated.pdf
NICHOLSON, F. Three Lines of Defense. Report on the public exposure findings [en línea], 2019. [Consultado el 20 de noviembre de 2020]. Disponible en: https://global.theiia.org/about/about-internal-auditing/Public%20Documents/Public-Exposure-Report-General-Release.pdf
THE INSTITUTE OF INTERNAL AUDITORS. Proyecto de exposición de las Tres líneas de Defensa: Preguntas frecuentes [en línea], 2019. [Consultado el 20 de noviembre de 2020]. Disponible en: https://na.theiia.org/translations/PublicDocuments/3LOD-IIA-Exposure-Document-FAQ-Spanish.pdf
[1] Abogada de la Universidad Militar Nueva Granada, con especialización en ciencias penales y criminológicas de la Universidad Externado de Colombia. Máster en Compliance Officer de la Universidad Complutense de Madrid y certificada en Compliance por International Federations of Compliance Associations y la Asociación Española de Compliance. Cuenta, además, con estudios tecnológicos en criminalística y ciencias forenses. Se desempeñó, durante varios años, como investigadora del Cuerpo Técnico de Investigación (CTI), como abogada de la firma MPa Derecho Penal Corporativo y columnista de MPa Diálogos Punitivos. Actualmente, gestiona los sistemas de compliance penal de Sener Grupo de Ingeniería, S.A.
[2] THE INSTITUTE OF INTERNAL AUDITORS. Proyecto de exposición de las Tres Líneas de Defensa: Preguntas frecuentes [en línea], 2019. p. 1. [Consultado el 20 de noviembre de 2020] Disponible en: https://na.theiia.org/translations/PublicDocuments/3LOD-IIA-Exposure-Document-FAQ-Spanish.pdf
[3] THE INSTITUTE OF INTERNAL AUDITORS, ANDERSON, Douglas y EUBANKS, Gina. Aprovechar el COSO en las Tres líneas de defensa [en línea], 2015. p. 5-7. [Consultado el 20 de noviembre de 2020]. Disponible en: https://laflai.org/wp-content/uploads/2018/09/COSO_2015-3LOD-Thought-Paper-FULL_r3_ES.pdf.
[4] Establecido en 1941, el Instituto de Auditores Internos (IIA) es una asociación profesional internacional con sede mundial en Lake Mary, Florida, EE. UU. El IIA es la voz global de la profesión de auditoría interna, autoridad reconocida, líder reconocido, abogado principal y educador principal. Los miembros trabajan en auditoría interna, gestión de riesgos, gobierno, control interno, auditoría de tecnología de la información, educación y seguridad.
[5] THE INSTITUTE OF INTERNAL AUDITORS. IIA Declaración de Posición: Las tres líneas de defensa para una efectiva gestión de riesgos y control [en línea]. Florida, EE. UU.: The Institute of Internal Auditors, 2013. p. 2. [Consultado el 20 de noviembre de 2020]. Disponible en: https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control%20Spanish.pdf
[6] THE INSTITUTE OF INTERNAL AUDITORS. IIA Exposure Document: Three Lines of Defense. The Institute of Internal Auditors [en línea], 2019. [Consultado el 20 de noviembre de 2020]. Disponible en: https://global.theiia.org/about/about-internal-auditing/Public%20Documents/3LOD-IIA-Exposure-Document.pdf
[7] THE INSTITUTE OF INTERNAL AUDITORS. The IIA’S Three Lines Model: An update of the Three Lines of Defense [en línea]. The Institute of Internal Auditors, 2020. [Consultado el 20 de noviembre de 2020]. Disponible en: https://global.theiia.org/about/about-internal-auditing/Public%20Documents/Three-Lines-Model-Updated.pdf
[8] THE INSTITUTE OF INTERNAL AUDITORS. IIA Declaración de Posición: Las tres líneas de defensa para una efectiva gestión de riesgos y control [en línea]. Florida, EEUU: The Institute of Internal Auditors, 2013. p. 2. [Consultado el 20 de noviembre de 2020]. Disponible en: https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control%20Spanish.pdf
[9] THE INSTITUTE OF INTERNAL AUDITORS, ANDERSON, Douglas y EUBANKS, Gina. Aprovechar el COSO… Óp. Cit., p. 5-7.
[10] ARNDORFER, Isabella y MINTO, Andrea. The “four lines of defence model” for financial institutions [en línea], 2015. [Consultado el 20 de noviembre de 2020]. Disponible en: https://www.bis.org/fsi/fsipapers11.pdf
[11] THE INSTITUTE OF INTERNAL AUDITORS. IIA Declaración de Posición… Óp. cit., p. 2.
[12] THE INSTITUTE OF INTERNAL AUDITORS. Proyecto de exposición… Óp. cit. p. 1.
[13] THE INSTITUTE OF INTERNAL AUDITORS. IIA Exposure Document… Óp. cit. p. 4.
[14] NICHOLSON, F. Three Lines of Defense. Report on the public exposure findings, 2019. [Consultado el 20 de noviembre de 2020]. Disponible en: https://global.theiia.org/about/about-internal-auditing/Public%20Documents/Public-Exposure-Report-General-Release.pdf
[15] Claramente entendible al ser un análisis convocado directamente por una organización de auditores internos con un enfoque internacional y de regulación.
[16] ASOCIACIÓN ESPAÑOLA DE COMPLIANCE. Libro blanco sobre la función de compliance. Madrid: ASCOM, 2017. p. 13.
[17] FISCALÍA GENERAL DEL ESTADO. Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica 1/2015. Madrid, 2016. p.49.
[18] THE INSTITUTE OF INTERNAL AUDITORS. The IIA’S Three Lines Model… Óp. cit. p. 7.
[19] ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN – AENOR. Norma Internacional ISO 19600:2014. Óp. cit. p. 18.
[20] Conozca a su cliente es el proceso de una empresa que identifica y verifica la identidad de sus clientes. El término también se utiliza para referirse a las regulaciones bancarias y antilavado de activos que rigen estas actividades.
[21] EUROPEAN SECURITIES AND MARKETS AUTHORITY – ESMA. Consultation Paper Guidelines on certain aspects of the MiFID II compliance function requirements [en línea], 2019. [Consultado el 20 de noviembre de 2020]. Disponible en: https://www.esma.europa.eu/sites/default/files/library/cp_on_compliance_function_guidelines_for_publication.pdf
[22] THE INSTITUTE OF INTERNAL AUDITORS. The IIA’S Three Lines Model… Óp. Cit. p. 3.
[23] ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN – AENOR. Norma Internacional ISO 19600:2014. Óp. cit. p. 32.