Para que el sistema de cumplimiento o Compliance de una organización sea realmente eficaz, debe haberse realizado una adecuada distribución de tareas y funciones entre sus miembros.
Por ello, es de extendida aplicación el modelo de control basado en las tres líneas de defensa, en aras de prevenir que se produzcan solapamientos o, por el contrario, lagunas respecto a la función de control dentro de la organización y así realizar una gestión más eficiente.
Es importante definir bien los roles y funciones de cara a que cada miembro entienda cuáles son los límites y responsabilidades de su actividad y cómo encajan e interactúan con las de otras personas o áreas dentro del sistema global de control.
El modelo de control quedaría planteado del siguiente modo:
- Una 1ª línea de defensa constituida por las áreas de negocio o áreas operativas, que son las encargadas de llevar a cabo las actividades propias de la empresa. Son las funciones a las que pertenecen los riesgos y que por lo tanto deberán gestionarlos en su día a día.
- Una 2ª línea de defensa formada por las funciones de control de la empresa, en concreto, en un sistema de Compliance corresponderá a la función de cumplimiento, al Compliance Officer o al comité de cumplimiento. Es su responsabilidad supervisar el correcto funcionamiento de los controles y la efectiva aplicación en cada área, comprobando que no se sobrepasan los niveles de riesgo establecidos.
- Una 3ª línea de defensa constituida por la auditoría. Lo más usual, en pequeñas empresas es que se trate de un servicio externalizado, no obstante, en las grandes empresas cuentan también con auditores internos. Teniendo en cuenta lo mencionado en este párrafo, aquí se produciría una bifurcación de las labores de control de auditoría y podría hablarse de una subdivisión en dos de esta línea, por simplificar 3ª línea A y 3ª línea B, pues las funciones de auditoría interna y externa no son plenamente coincidentes y su papel respecto al control tampoco. Esta posición de defensa, en líneas generales, tendrá la función de supervisar la labor realizada por las dos anteriores con el objetivo de verificar la eficacia del Plan.
- Como 4º línea será un aspecto relevante a tener en cuenta el papel que a la dirección le corresponde asumir respecto a la supervisión general del buen funcionamiento del modelo de control, debiendo querer y logrando estar informada periódicamente de las acciones realizadas al respecto.
Se podría concluir, por tanto, que el modelo de control presentado daría cabida a 4, o si se prefiere 3 + 1, elementos o estadios de defensa.
El reparto de responsabilidades para cada de los elementos con funciones de control en un sistema de cumplimiento podría determinarse como se indica en la siguiente tabla:
| TITULAR | POSICIÓN DE DEFENSA | FUNCIONES/RESPONSABILIDADES DE FUNCIÓN |
| DIRECCIÓN | 4ª |
– Supervisar el sistema – Asegurar la aplicación de los medios para una correcta gestión de la función de control de riesgos |
| AUDITORÍA | 3ª | – Aportar garantía sobre el sistema de gestión de riesgos y de control interno |
| FUNCIÓN DE CUMPLIMIENTO | 2ª |
– Construir los controles a aplicar – Supervisar la aplicación de los controles |
| ÁREAS DE NEGOCIO | 1ª |
– Ejecutar los procedimientos de control de riesgos – Identificar, evaluar, controlar y mitigar riesgos – Aplicar los controles establecidos en el plan para cada proceso |
