El modelo de las cuatro líneas de defensa

La función de auditoría interna compone, junto con las funciones de cumplimiento y control del riesgo, el modelo conocido como de las “tres líneas de defensa”. Estas tres funciones de control constituyen la respuesta regulatoria ante el descontrol en el gobierno de muchas entidades de crédito que condujo a la crisis financiera.

A pesar de la relevancia de las tres funciones, el supervisor parece sentir una especial predilección por la función de auditoría interna, con su prolongación a través de la auditoría externa.

La presidenta del Mecanismo Único de Supervisión (Nouy, 2015) ha reconocido el rol vital y prominente de la función de auditoría interna, en el marco de una regulación europea (la Directiva 2013/36/UE, sobre todo, de la que trae origen nuestra Ley 10/2014) que se basa en la robusta gobernanza y en la identificación, seguimiento y reporte de todos los riesgos incurridos por cada entidad, y en la existencia de mecanismos de control interno adecuados. 

El modelo de las “cuatro líneas de defensa” procuraría una interacción de la auditoría interna (“tercera línea de defensa”) con el auditor externo y con el supervisor (“cuarta línea”) (Arndorfer y Minto, 2015).

La auditoría (interna y externa) y el supervisor usan métodos de aproximación al riesgo para determinar sus planes de trabajo y de acción. Aunque cada uno de ellos procura satisfacer un distinto mandato y son responsables de sus propios juicios y declaraciones, pueden identificar los mismos o similares riesgos.

Esta idea de comunicación fluida entre la auditoría interna, la externa y el supervisor se recoge en los principios 6 y 7 del documento del Banco de Pagos Internacionales (2014) sobre auditoría externa de bancos: “El supervisor y el auditor externo deberán mantener una relación eficaz que incluya el establecimiento de vías de comunicación adecuadas que permitan el intercambio de información pertinente para desempeñar sus respectivas responsabilidades legales”; “El supervisor deberá exigir al auditor externo que le informe directamente sobre los asuntos que surjan de la auditoría y que probablemente sean relevantes de cara a las funciones del supervisor”.

La Guía Técnica de la CNMV 3/2017, sobre comisiones de auditoría de entidades de interés público, de 27 de junio de 2017, confirma la preeminencia no solo de la función de auditoría sino de su engarce natural con el órgano de administración (la comisión de auditoría) y con el auditor legal.

El Banco Central Europeo (Mecanismo de Supervisión) ha publicado su respuesta (fechada a 1 de septiembre de 2017) a la pregunta del miembro del Parlamento Europeo Miguel Urbán Crespo sobre el oligopolio en el sector de la auditoría (otra situación sin resolver del todo, como la de las agencias de calificación crediticia, que también viven en situación de oligopolio, a pesar de todo lo acontecido).

La respuesta de la presidenta del Mecanismo Único de Supervisión es interesante, pues parece prevalecer la función que las grandes auditoras mundiales desempeñan (una función cuasi pública) antes que la restricción a la competencia en este mercado o el adecuado tratamiento de ciertos conflictos de intereses que podrían surgir:

“En primer lugar, permítame señalar que hacer cumplir las normas contables, así como supervisar a los auditores legales y a las sociedades de auditoría, no entra en el ámbito de las competencias de la Supervisión Bancaria del BCE y sigue siendo responsabilidad de las autoridades nacionales. No obstante, existen motivos importantes que justifican un enfoque más armonizado a nivel europeo en el futuro y el BCE está dispuesto a colaborar con otras autoridades de la UE a este respecto.

El BCE atribuye gran importancia al papel de los auditores, que son fundamentales para asegurar la integridad de las entidades y los mercados financieros. En este contexto, desearía reiterar el firme apoyo del BCE a las iniciativas internacionales encaminadas a reforzar los estándares de auditoría. El BCE acogió favorablemente la reforma de los servicios de auditoría aprobada por la UE en 2014 [origen de la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas] que, entre otras cosas, estableció nuevos requisitos para los comités de auditoría (u órganos con función equivalente) en relación con su supervisión de la ejecución de las auditorías, e introdujo restricciones adicionales para la prestación por los auditores legales de servicios que no sean de auditoría a entidades auditadas que sean de interés  público (categoría que incluye a las entidades de crédito). Estas medidas tienen por objeto mejorar la calidad de las auditorías legales y reducir el riesgo de conflictos de intereses. Debería darse prioridad a promover y hacer cumplir dichas medidas a fin de mejorar la calidad de las auditorías y la independencia de los auditores.

Además, en sus tareas de supervisión diarias, el BCE mantiene contactos muy estrechos con los auditores. Por ejemplo, los equipos conjuntos de supervisión se reúnen regularmente con los auditores de los bancos bajo su supervisión. El BCE también mantiene reuniones, al menos semestralmente, con las principales sociedades de auditoría para tratar cuestiones de interés común. Asimismo, la Supervisión Bancaria del BCE está trabajando actualmente en la implementación de las directrices publicadas por la Autoridad Bancaria Europea (ABE) sobre una comunicación fluida entre las autoridades competentes y los auditores legales con el fin de reforzar el intercambio de información entre los supervisores prudenciales y los auditores. Esta línea de trabajo debería contribuir a mejorar la calidad de las auditorías. Nuestra intención es cumplir las directrices de la ABE antes de que finalice 2017. Por otro lado, la Supervisión Bancaria del BCE lleva a cabo sus tareas en un marco jurídico muy fragmentado, que incluye legislación de la UE directamente aplicable, legislación nacional que transpone directivas de la UE y legislación nacional que no emana de las directivas de la UE. Por tanto, estas directrices son solo un primer paso hacia la armonización de las relaciones entre auditores y supervisores y deberían complementarse con esfuerzos adicionales encaminados a promover prácticas comunes en la materia. 

Para concluir, permítame subrayar que la independencia es crucial para asegurar la credibilidad de las evaluaciones que realizan los auditores. Independientemente de si el auditor es público o privado, se ha de asegurar su independencia mediante estructura de gobernanzas sólidas que ayuden a evitar cualquier conflicto de intereses y garantice la neutralidad necesaria”.

Por lo tanto, se confirma la confluencia entre la auditoría interna, la externa y la supervisión bancaria. Esta relación tripartita, con todo, aunque puede ser beneficiosa para la estabilidad financiera, no es ajena al surgimiento de posibles conflictos de intereses, como recalca el BCE, tanto en las relaciones del supervisor con la función de auditoría interna —que no deja de ser una estructura interna de la entidad supervisada— como de dicho supervisor con el auditor externo —que cobra de la entidad auditada—.

Referencias bibliográficas

Arndorfer, I. & Minto, A. (2015): «The “four lines of defence model” for financial institutions. Taking the three-lines-of-defence model further to reflect specific governance features of regulated financial institutions», Ocassional Paper No 11, Bank for International Settlements, December.

Banco de Pagos Internacionales (2014): “Auditoría externa de bancos”, Comité de Basilea de Supervisión Bancaria, marzo.

CNMV (2017): Guía Técnica 3/2017, sobre comisiones de auditoría de entidades de interés público, 27 de junio.

Nouy, D. (2015): “The role of internal control and internal audit”, speech by Danièle Nouy, Chair of the Supervisory Board of the Single Supervisory Mechanism, at the European Confederation of Institutes of Internal Auditing (ECIIA) conference, Paris, 22 September.