By: Ernesto Gómez Gallardo A.
Continuing with the idea of previous posts, trying to paint a clearer picture of the Compliance notion for organizations, I believe it is important to refer to the concept of the “Three Lines of Defence” that is widely used when talking about internal controls, risk mitigation, etc. Essential elements in the purpose of a Compliance program.
The three lines of defence are a risk management model that organizations use, above all to understand the role that each participant must play in addressing vulnerabilities and materializing risks. This model has been increasingly adopted by many companies to understand how to function more safely.
When I hear this “three lines of defence ” I immediately think of a football (soccer) context and imagine a manager explaining to the team what needs to be done to prevent the opponent from converting a goal against us. I don’t know if it’s because of my love of sport, but I think the analogy works pretty well to explain it.
- The first line of defence is the attack. The first ones who by their role face the opponent (the risks or problems in this analogy) are the, the forwards. By them I mean those who score to profit in their essential function, i.e. those in charge of “the business”. People who are directly involved with generating revenue or managing the purpose of the organization are the first to have contact with customers, suppliers, and other third parties and therefore those who, in addition to their core functions, must assume the activities of trying not to incur in unnecessary risks.
- The second line of defence is the mid-field. Those who carry out support functions in the team, specialists in their field and those who must know well of all the positions to be able to support what is needed. This line identifies emerging risks. In the organization, these activities are carried out by business partners, sometimes referred to as functional areas. As examples: the legal department, finance, human resources, risk management, etc. If there is a Compliance department in the organization or otherwise compliance’s functions belong to this second line.
- The third line has the specific function of defending. They are specialists and -worth the redundancy- they would be the defenders. The third line must provide assurance for the organization and dedicate themselves to annulling the risks it faces, both preventively and reactively. This role within the organization is played by the internal audit area. They should review the first and second line and ensure that they are effective in their processes. They are the ones who must assure the manager (in this analogy the Board of Directors and/or the audit committee) of any lack of control or failures in the management of the business.
Understanding where we are located, by the nature of our role, helps us in our daily activities, to be aware of the risk that the organization is taking and how I can help identify those and prevent a problem from materializing.
As far as Compliance is concerned, as mentioned earlier, this function belongs in the second line. It should support the business on the go, listen to the business partners’ concerns and on that basis advise on developing the right policies and review that these are being fulfilled by everyone on the team.
We should consider who the most active Compliance partners should be in the performance of its role. From the start we might think that our peers on the second line… Legal is certainly important for the interpretation of laws and regulations. It could also be said that it would be internal audit as they rely on policies and monitoring to review that things had actually been carried out in the order that was planned. But the way I see it, the most important partner for the Compliance function is the business. If the business does not own the culture of complying with internal and external regulation, the other lines will be of very little use.
At Miranda Compliance, our way of understanding this is not to have a police-like Compliance, but a culture of compliance being impregnated in the spirit of the organization. We’ll be happy to help you do it in your company.
*The word “Defence” is spelled this way in British English, ”Defense” in American English.
C O N T A C T
Miranda – Compliance
Karla Valdés Posada Partner karla.valdes@miranda-partners.com
| Ernesto Gómez Gallardo Partner ernesto.gomez@miranda-partners.com
|
Por: Ernesto Gómez Gallardo A.
Siguiendo con la idea de textos anteriores, intentando pintar una imagen más clara de la percepción de Compliance para las organizaciones, me parece que es importante hacer referencia al concepto de las “Tres Líneas de Defensa” que se utiliza mucho al hablar de controles internos, mitigación de riesgos, etc. Elementos esenciales en la finalidad de un programa de Compliance.
Las tres líneas de defensa son un modelo de gestión de riesgo que corren las organizaciones, y sobre todo, entender el papel que cada participante debe jugar en torno a afrontar las vulnerabilidades y materialización de los riesgos. Este ha sido adoptado cada vez más por muchas empresas para entender cómo funcionar de manera más segura.
Cuando escucho esto de “tres líneas de defensa” inmediatamente pienso en un contexto futbolero y me imagino a un director técnico explicando al equipo lo que hay que hacer para evitar que el contrario nos haga un gol. No se si sea por mi afición al deporte, pero me parece que la analogía funciona bastante bien para explicarlo.
- La primera línea de defensa es el ataque. Los primeros que por su función se enfrentan con el rival (los riesgos o los problemas en esta analogía) son el, los delanteros. Por ellos me refiero a quienes anotan para ganar en su función esencial, es decir los encargados “del negocio”. La gente que está directamente involucrada con generar ingresos o gestionar el giro de la organización, son los primeros que tienen contacto con clientes, proveedores, y otros terceros y por lo tanto quienes en adición a sus funciones “core”, deben llevar a cobo las actividades de cuidar no incurrir en riesgos innecesarios.
- La segunda línea de defensa es la media cancha. Los que llevan a cabo funciones de soporte en el equipo, especialistas en su ramo y quienes deben conocer bien de todas las posiciones para poder apoyar en lo que haga falta. Esta línea identifica los riesgos emergentes. En la organización, estas actividades las realizan los socios al negocio, a veces referidas como áreas funcionales. Como ejemplos: el departamento legal, finanzas, recursos humanos, administración de riesgos, etc. En caso de haberlo en la organización o de lo contrario las funciones propias de Compliance pertenecen a esta segunda línea.
- La tercera línea tiene la función específica de defender. Son especialistas y en el campo serían -valga la redundancia- los defensas. La tercera línea deber asegurar a la organización y dedicarse a parar los riesgos que esta afronta, tanto de forma preventiva como reactiva. Este rol dentro de la organización lo juega el área de auditoría interna. Quienes deben revisar los a la primer y segunda línea y asegurar que sean efectivos en sus procesos. Son quienes deben asegurar al director técnico (en esta analogía el consejo de administración y/o el comité de auditoría) de cualquier falta de control o fallas en la conducción del negocio.
Entender dónde estamos situados, por la naturaleza de nuestra función, nos ayuda a dentro de nuestras actividades diarias, tener conciencia del riesgo que corre la organización y como puedo ayudar a identificarlos y evitar que se materialice un problema.
Por lo que respecta a Compliance, como lo mencionaba antes, esta función pertenece a la segunda línea. Debe apoyar al negocio sobre la marcha, escuchar al negocio en sus inquietudes y en base a eso asesorarlo en elaborar las políticas adecuadas y revisar que estas se vayan cumpliendo por todos en el equipo.
Hay que considerar quienes deben ser los socios más activos de Compliance en el desarrollo de su rol. En principio podríamos pensar que sus pares en la segunda línea… jurídico sin duda es importante para la interpretación de las leyes y regulaciones. Se podría decir que sería auditoría interna ya que ellos se basaran en las políticas y los monitoreos para revisar que efectivamente se hayan llevado a cabo las cosas en el orden que fue planeado. Pero a mi forma de verlo, el socio más importante para la función de Compliance, es el negocio. Si el negocio no adquiere la cultura de cumplir con la regulación interna y externa, de muy poco servirán las otras líneas.
En Miranda Compliance, nuestra forma de entenderlo es no tener un Compliance policial, sino una cultura de cumplir impregnada en propio espíritu de la organización. Estaremos felices de ayudarte a hacerlo en tu compañía.
C O N T A C T O
Miranda – Compliance
Karla Valdés Posada Socia karla.valdes@miranda-partners.com
| Ernesto Gómez Gallardo Socio ernesto.gomez@miranda-partners.com
|