Extracto del artículo «La función de auditoría interna de las entidades de crédito: misión actual», Estrategia Financiera, nº 342, octubre de 2016, accesible por suscripción.
«El Banco de Pagos Internacionales (2015) dedica el principio 10 de sus “Principios de gobierno corporativo para bancos” a la auditoría interna. Esta se concibe, en el marco del conocido como “modelo de las tres líneas de defensa”, como la tercera línea de defensa. La primera línea de defensa es el negocio, y las funciones de control del riesgo y de cumplimiento normativo son la segunda línea.
Según el Banco de Pagos Internacionales, a la tercera línea de defensa (auditoría interna) le corresponde ofrecer al órgano de administración y a la dirección un criterio independiente sobre la calidad y efectividad del control interno del banco, la gestión del riesgo y los procesos y sistemas de gobernanza, ayudándoles, igualmente, a proteger la organización y su reputación. La función de auditoría interna debería tener un mandato claro, responder ante el consejo de administración y ser independiente de las actividades auditadas. Debería tener el suficiente nivel, capacidades, recursos y autoridad para permitir el desarrollo de sus tareas efectiva y objetivamente. Aunque la responsabilidad de la función sería ante el consejo de administración, según lo indicado, la dependencia orgánica y funcional de auditoría interna sería más bien respecto de la comisión de auditoría creada en el seno del mismo consejo, sin necesidad de pasar por el filtro previo de la dirección y de la posibilidad de acceder directamente, en su caso, al consejo.
Como se admite por el Banco Central Europeo, al que corresponde, en general, la supervisión directa de las entidades significativas de la eurozona (con activos superiores a los 30.000 millones de euros) sus metodologías se hallan sujetas a un continuo proceso de revisión, así que se deben mantener alineadas con las prácticas reconocidas internacionalmente, emanadas, entre otras instancias, del Comité de Basilea de Supervisión Bancaria del Banco de Pagos Internacionales —también con las de la Junta de Estabilidad Financiera o de la Autoridad Bancaria Europea—, a lo que se sumaría la experiencia adquirida en la función supervisora.
La Presidenta del Mecanismo Único de Supervisión ha reconocido el rol vital y prominente de la función de auditoría interna, en el marco de una regulación europea (la Directiva 2013/36/UE, sobre todo, de la que trae origen nuestra Ley 10/2014) que se basa en la robusta gobernanza y en la identificación, seguimiento y reporte de todos los riesgos incurridos por cada entidad, y en la existencia de mecanismos de control interno adecuados.
Como deja entrever el discurso de la Sra. Nouy, las nuevas tendencias regulatorias y supervisoras ya apuntan hacia un nuevo modelo que supera el de las “tres líneas de defensa”, ante la insuficiente actuación de este, que sería el de las “cuatro líneas de defensa”. Este modelo procuraría el establecimiento de una nueva línea, la cuarta, que resultaría de la interacción de la auditoría interna (“tercera línea de defensa”) con el auditor externo y el supervisor (“cuarta línea”)».