Riesgos, auditoria y compliance: ¿juntos o separados y dónde ubicarlos?

Aunque la función de auditoria (interna) y la gestión de riesgos (corporativos) han estado presentes por un tiempo en las organizaciones de cierto tamaño, esta pregunta ha tomado relevancia cuando se decide incorporar la función de compliance al espectro organizacional, y la razón radica en la disyuntiva que se presenta por la posible creación de un cargo directivo (usualmente en el C-Level) para que lidere esta nueva función, y el principio de independencia requerido para ella (y también para auditoria). Las decisiones que se tomen al respecto pueden entrar en conflicto por lo cual es necesario buscar un balance y garantizar el objetivo superior: mejorar el ambiente de control en la organización por medio de una gestión (integral) de los riesgos corporativos (incluidos los de compliance).

Para contextualizar un poco abordemos los antecedentes y características más generales de cada función, vistas de forma individual (stand-alone).

  • Auditoría interna: es tal vez el área más consolidada (junto con la gestión de riesgos) en las organizaciones. Su rol fue fortalecido por las disposiciones del Sarbanes-Oxley Act – SOX en 2002 (Estados Unidos) que paulatinamente fueron expandiéndose en LATAM. En su concepto más básico, la auditoría interna se encarga de auditar los procesos internos de una organización, permitiendo la identificación de riesgos, el planteamiento de planes de mejora y el aseguramiento empresarial.

Normalmente esta función se ubica en las estructuras organizacionales en dos esquemas: uno con reporte único al gerente general o CEO (practica no recomendada pues resta independencia a su rol), y otro con un reporte directo funcional a la junta directiva o el comité de junta que para este tema se establezca y un reporte administrativo al gerente general (mejor practica y asegura independencia a su rol).

  • Gestión de riesgos corporativos: esta función también ha coexistido en el ámbito organizacional por algún tiempo y su principal foco es identificar, valorar y gestionar los riesgos en la organización.

Usualmente las empresas han asignado esta función al área de finanzas, entre otros aspectos, por su conocimiento de metodologías numéricas de priorización y cuantificación, pero también por una razón estratégica y que tiene que ver con la definición de riesgos corporativos que brinda el Institute of Internal Auditors – IIA: “La posibilidad de que ocurra un evento que pueda afectar el logro de los objetivos de la organización…” En este sentido es importante anotar que un porcentaje importante de los objetivos de una organización son de carácter financiero, además que al materializarse un riesgo su efecto puede impactar los indicadores financieros de la organización (ingresos, EBITDA, utilidad neta, flujo de caja, etc.)

  • Compliance: aunque más reciente en los organigramas corporativos, ha tomado tal relevancia que es extraño encontrar organizaciones de cierto tamaño sin esta área en su estructura organizacional. Su expansión en LATAM se ha dado como resultado de las disposiciones que originaron en los años 70s como el Foreign Corrupt Practices Act – FCPA (Estados Unidos) y las disposiciones que a nivel nacional fueron surgiendo en la región.

Al igual que la auditoría (interna), la mejor practica es ubicarlo con un reporte directo funcional a la junta directiva o el comité de junta que para este tema se establezca y un reporte administrativo al gerente general (mejor practica y asegura independencia a su rol). De hecho este esquema facilita y brinda mejores herramientas a los oficiales de cumplimiento (CO) y se relaciona con el nivel de stress que puede generar en ellos (Half of Compliance Officers Have Anxiety; Their Org Chart Might Be the Culprit – 2025, Corporate Compliance Insights).

Con esto presente, en la siguiente tabla se resumen los escenarios (combinaciones) más comunes en cuanto a la decisión de fusionar o no estas funciones (naranja) en un diseño organizacional para una organización de tamaño mediano-grande, partiendo de los cargos del C-Level normalmente establecidos en casi todas las organizaciones: áreas de finanzas y Jurídica (azul).

Esc.OrganigramaNuevos cargos C-LevelIndependencia o foco (función de compliance)
1NoAfectación a independencia
2Si (CCO)Afectación a foco
3Si (CCO)Alta independencia y foco (recomendado)
4NoAlta afectación a independencia (no recomendado)

NOTAS:

  1. BoD: Board of Directors, CEO: Chief Executive Officer, CAE: Chief Audit Executive, CFO: Chief Financial Officer, CLO: Chief Legal Officer, CCO: Chief Compliance Officer, Risk: Risk function (not Officer), Compliance: Compliance function (not Officer).
  2. Sólo se hace referencia a las características más acordes al tema en discusión y no incluye otras que también deberán considerarse en el diseño organizacional en cada caso entre ellas: tamaño de la organización, nivel de exposición al riesgo de compliance, jurisdicción donde se ubican las operaciones, requerimientos normativos particulares.

Como se puede observar el “Escenario 3” aunque crea una dependencia (CCO) con reporte al CEO asegura que la función de compliance se desarrolle con mayor independencia y foco, sin afectar la función de auditoría. Es altamente recomendado que el diseño organizacional incluya la creación de un comité que permita a estas funciones su coordinación y articulación.

Es importante anotar que el hecho de ubicar esta función (CCO) con reporte al CEO no necesariamente implica que el cargo tenga que ser igual al C-Level ya que puede inicialmente constituirse como un cargo de nivel jerárquico más bajo y con el paso del tiempo realizar el ajuste en función de la madurez de la función y otros criterios como tamaño de la organización o crecimiento de las operaciones, nivel de exposición al riesgo de compliance, jurisdicción(es) donde se ubican las operaciones, requerimientos normativos particulares.

Otro aspecto a considerar es que estas funciones no pueden ser vistas como costos sino como “seguros” para la organización ya que al momento de fortalecer el aseguramiento empresarial esta “triada” en muchos casos evita la materialización de riesgos y cuando no lo logra, evita que el impacto sea mayor por medio del blindaje y la mitigación los efectos que usualmente se evidencian en lo financiero y con cifras que exceden por mucho las inversiones que se hagan para fortalecer su quehacer organizacional.

¿Cómo te podemos apoyar?

Nuestros expertos en gestión de riesgos y diseño organizacional te pueden apoyar en el diagnostico de tu estructura organizacional y recomendar implementaciones que aseguren el cumplimiento de la estrategia y los objetivos organizacionales, garanticen un ambiente de control acorde con las necesidades de la organización y al mismo tiempo, mantengan un balance económico al momento de realizar sus implementaciones. Nuestras asesorías incluyen:

  1. Entendimiento de la necesidad
  2. Referenciamiento con otras organizaciones de la misma industria
  3. Diseño conceptual y detallado de la solución
  4. Revisión y ajuste de procesos o políticas conexos
  5. Otras actividades según la necesidad puntual de cada uno de nuestros clientes.
Juan Carlos Echeverri
Juan Carlos Echeverri

Related Articles

Leadership & People

March 10, 2025 No Comments
Read More →

Compliance & Risk Management

March 10, 2025 No Comments
Read More →

Strategy & Organization

March 10, 2025 No Comments
Read More →

CEO Succession

March 10, 2025 No Comments
Read More →

Directores independientes: ¿qué perciben de su propio rol?

March 10, 2025 No Comments
Read More →

CORPORATE GOVERNANCE & BOARD OF DIRECTORS

March 10, 2025 No Comments
Read More →

Leave a Comment

Your email address will not be published. Required fields are marked *

Contact Us
Follow us on social
Youtube
Copyright @ 2023 Savvy Boards una marca de Accioner Inversiones S.A.
Webpage by CWEB
Scroll to Top