LAS TRES LINEAS DE DEFENSA PARA UNA EFECTIVA GESTION DE RIESGOS Y CONTROL

Queremos compartirles hoy que hay mucho en juego en las organizaciones, que ante la situación en la que estamos, si no contamos con un enfoque cohesionado y coordinado, los limitados recursos de riesgo y control podrían no ser desplegados efectivamente, y riesgos significativos podrían no ser identificados o gestionados adecuadamente. En el peor de los casos, las comunicaciones entre los diversos grupos de riesgo y control pueden caer en un debate permanente sobre qué tareas específicas  deben  ser  cumplidas  por  cada  grupo.  No  es  suficiente  que  existan diversas  funciones  de  riesgo  y  control  –  el  desafío  consiste  en  asignar  roles específicos y coordinar con eficacia y eficiencia estos grupos de manera que  no existan “brechas” en la cobertura de los controles ni duplicaciones innecesarias. El problema  puede  existir  en  cualquier  organización,  independientemente  de  si  se utiliza un marco de gestión de riesgos corporativos formal. Aunque los marcos para la gestión de riesgos pueden ser efectivos en identificar los tipos de riesgos que las organizaciones modernas deben controlar, estos marcos no consideran cómo las tareas específicas deberían ser asignadas y coordinadas dentro de la organización.

 

ANTES  DE  LAS  TRES  LÍNEAS:  ESTABLECIMIENTO  DE   ESTRATEGIA  Y SUPERVISIÓN DE LA GESTIÓN DE RIESGOS

En el modelo de las Tres Líneas de Defensa, el control de la gerencia es la primera línea de defensa en la gestión de riesgos; las varias funciones de supervisión de riesgos, controles y cumplimiento establecidas por la administración, son la segunda línea de defensa; y el aseguramiento independiente es la tercera. Cada una de estas “líneas” juega un papel  distinto dentro del marco amplio de gobernabilidad de la organización.

 

LA PRIMERA LINEA DE DEFENSA: LA GESTION OPERATIVA

El  modelo  de  las  Tres  Líneas  de  Defensa  distingue  tres  grupos  (o  líneas)  que participan en una efectiva gestión de riesgos:

• Las funciones que son propietarias de los riesgos y los gestionan.
• Las funciones que supervisan los riesgos.
• Las funciones que proporcionan aseguramiento independiente.

 

Como primera línea de defensa, las gerencias operativas son propietarias de los riesgos   y   los   gestionan.   Estas   gerencias   también   son   responsables   de   la implementación de acciones correctivas para hacer frente a deficiencias de proceso y control.

La gerencia operativa es responsable de mantener un control interno efectivo y de ejecutar procedimientos de control sobre los riesgos de manera constante en el día a día. La gerencia operativa identifica, evalúa, controla y mitiga los riesgos, guiando el desarrollo e implementación de políticas y procedimientos internos que

aseguren que las actividades efectuadas son consistentes con las metas y objetivos. A través de una estructura de responsabilidad distribuida en cascada, los gerentes de nivel medio diseñan e implementan procedimientos detallados que sirven como controles  y  supervisan  la  ejecución  de  tales  procedimientos  por  parte  de  sus empleados.

La gerencia operativa sirve naturalmente como primera línea de defensa porque los controles  están  diseñados  dentro  de  los  sistemas  y  procesos  bajo  su dirección  como  administración  operacional.  Deberían  estar  implementados adecuados controles de gestión y supervisión para asegurar su cumplimiento y para destacar excepciones de control, procesos inadecuados y eventos inesperados.

 

LA SEGUNDA LINEA DE DEFENSA: FUNCIONES DE GESTIÓN DE RIESGOS Y CUMPLIMIENTO

En  un  mundo  perfecto,  tal  vez  sólo  una  línea  de  defensa  sería  necesaria  para asegurar una gestión de riesgos efectiva. En el mundo real, sin embargo, una sola línea de defensa con frecuencia puede resultar insuficiente. La gerencia establece diversas funciones de gestión de riesgos y cumplimiento para ayudar a crear y/o monitorear los controles de la primera línea de defensa. Las funciones específicas varían según la organización e industria, pero las funciones típicas de esta segunda línea de defensa comprenden:

 

• Una función  de  gestión  de  riesgos  (y/o  comité)  que  facilita  y  monitorea  la implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operativa y que asiste a los propietarios del riesgo en la definición del objetivo de exposición al riesgo y en la presentación adecuada de información relacionada con riesgos a toda la organización.
• Una función de cumplimiento para monitorear diversos riesgos específicos tales como el incumplimiento de leyes y regulaciones aplicables. Con esta capacidad, esta función independiente reporta directamente a la alta dirección, y en algunos sectores económicos, directamente  a  los  organismos  de  gobierno  corporativo.

 

Múltiples   funciones   de   cumplimiento   con   frecuencia   existen   en   una   misma organización,   con   responsabilidades   para   monitorear   tipos   específicos   de cumplimiento, como salud y seguridad, cadena de suministros, ambiente o control de la calidad.

• Una función de contraloría que monitorea riesgos financieros y la emisión de la información financiera. La Gerencia establece estas funciones para asegurar que la

primera línea de defensa está apropiadamente diseñada, implementada y operando según lo previsto. Cada una de estas funciones tiene algún grado de independencia respecto  de  la  primera  línea  de  defensa,  pero  son  por  naturaleza  funciones gerenciales.  Como  funciones  gerenciales,  pueden  intervenir  directamente  en  la modificación y desarrollo de los sistemas de control interno y riesgos.

Por lo tanto, la segunda línea de defensa tiene un propósito vital, pero no puede ofrecer análisis del todo independientes a los organismos de gobierno corporativo respecto a la gestión de riesgos y a los controles internos.

 

Las responsabilidades de estas funciones varían según su naturaleza específica, pero pueden incluir:

• Apoyar en la administración de políticas en cuanto a la definición de roles y responsabilidades y el establecimiento de objetivos para su implementación.
• Proporcionar marcos para la gestión de riesgos.
• Identificar asuntos conocidos y emergentes.
• Identificar cambios en el apetito de riesgo implícito de la organización.
• Asistir a la administración en el desarrollo de procesos y controles para la gestión de riesgos y problemas.
• Proporcionar guía y entrenamiento en procesos de gestión de riesgos.
• Facilitar y monitorear la implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operativa
• Alertar a la gerencia operativa de asuntos emergentes y de cambios en los

escenarios regulatorios y de riesgos.

• Monitorear la  adecuación  y  efectividad  del  control  interno,  la  exactitud  e integridad de la información, el cumplimiento de las leyes y regulaciones, y la

remediación oportuna de deficiencias.

 

LA TERCERA LINEA DE DEFENSA: AUDITORIA INTERNA

Los auditores internos proporcionan a los organismos de gobierno corporativo y a la  alta  dirección  un  aseguramiento  comprensivo  basado  en  el  más  alto  nivel  de independencia y objetividad dentro de la organización.

Este alto nivel de independencia no está disponible en la segunda línea de defensa. Los  auditores  internos  proveen  aseguramiento  sobre  la  efectividad  del  gobierno corporativo, la gestión de riesgos y el control interno, incluyendo la manera en que

la primera y segunda línea de defensa alcanzan sus objetivos de gestión de riesgos y control. El alcance de este aseguramiento, que es reportado a los organismos de gobierno corporativo y alta dirección, usualmente cubre:

 

• Un amplio  rango  de  objetivos,  incluyendo  la  eficiencia  y  efectividad  de  las operaciones, salvaguarda de activos, confiabilidad e integridad de los procesos de reporte, y cumplimiento con leyes, regulaciones, políticas, procedimientos y contratos.
• Todos los elementos de los marcos de gestión de riesgos y control interno, que incluyen: ambiente de  control  interno,  todos  los  componentes  del  marco  de

gestión de riesgos de la organización (por ejemplo, identificación de riesgos, evaluación de riesgos y respuesta), información y comunicación, y monitoreo.

• La entidad  en  su  conjunto,  divisiones,  subsidiarias,  unidades  operativas  y funciones – incluyendo procesos de negocios, tales como ventas, producción, marketing,  seguridad,  funciones  de  clientes,  y  operaciones  –  como  también

funciones  de  soporte  (por  ejemplo,  contabilización  de  ingresos  y  gastos, recursos humanos, adquisiciones, remuneraciones, presupuestos, gestión de infraestructura y activos, inventario, y tecnología de la información).

 

El establecimiento de una actividad de auditoría interna profesional debería ser un requerimiento de gobierno corporativo para todas las organizaciones.

Esto  no  sólo  es  importante  para  las  grandes  y  medianas  organizaciones,  sino

también puede ser igualmente importante para las pequeñas entidades, ya que ellas

igualmente  pueden  enfrentar  ambientes  complejos,  con  una  menos  formal  pero robusta estructura organizacional, para asegurar la efectividad de sus procesos de gobierno corporativo y gestión de riesgos.

Auditoría interna contribuye activamente a la efectividad del gobierno corporativo organizacional proporcionando ciertas condiciones – fomentando su independencia

y profesionalismo – que se cumplan. La mejor práctica es establecer y mantener una   función   de   auditoría   interna   independiente   con   personal   adecuado   y competente, lo cual incluye:

 

• Actuar en  concordancia  con  las  normas  internacionales  reconocidas para  la práctica de la auditoría interna.
• Reportar a un nivel suficientemente alto para ser capaz de desempeñar sus

funciones de manera independiente.

• Tener una activa y efectiva línea de reporte con los organismos de gobierno corporativo.

 

Fuente: Instituto Internos Auditores