LAS TRES LINEAS DE DEFENSA PARA UNA EFECTIVA GESTION DE RIESGOS Y CONTROL
Queremos compartirles hoy que hay mucho en juego en las organizaciones, que ante la situación en la que estamos, si no contamos con un enfoque cohesionado y coordinado, los limitados recursos de riesgo y control podrían no ser desplegados efectivamente, y riesgos significativos podrían no ser identificados o gestionados adecuadamente. En el peor de los casos, las comunicaciones entre los diversos grupos de riesgo y control pueden caer en un debate permanente sobre qué tareas específicas deben ser cumplidas por cada grupo. No es suficiente que existan diversas funciones de riesgo y control – el desafío consiste en asignar roles específicos y coordinar con eficacia y eficiencia estos grupos de manera que no existan “brechas” en la cobertura de los controles ni duplicaciones innecesarias. El problema puede existir en cualquier organización, independientemente de si se utiliza un marco de gestión de riesgos corporativos formal. Aunque los marcos para la gestión de riesgos pueden ser efectivos en identificar los tipos de riesgos que las organizaciones modernas deben controlar, estos marcos no consideran cómo las tareas específicas deberían ser asignadas y coordinadas dentro de la organización.
ANTES DE LAS TRES LÍNEAS: ESTABLECIMIENTO DE ESTRATEGIA Y SUPERVISIÓN DE LA GESTIÓN DE RIESGOS
En el modelo de las Tres Líneas de Defensa, el control de la gerencia es la primera línea de defensa en la gestión de riesgos; las varias funciones de supervisión de riesgos, controles y cumplimiento establecidas por la administración, son la segunda línea de defensa; y el aseguramiento independiente es la tercera. Cada una de estas “líneas” juega un papel distinto dentro del marco amplio de gobernabilidad de la organización.
LA PRIMERA LINEA DE DEFENSA: LA GESTION OPERATIVA
El modelo de las Tres Líneas de Defensa distingue tres grupos (o líneas) que participan en una efectiva gestión de riesgos:
- Las funciones que son propietarias de los riesgos y los gestionan.
- Las funciones que supervisan los riesgos.
- Las funciones que proporcionan aseguramiento independiente.
Como primera línea de defensa, las gerencias operativas son propietarias de los riesgos y los gestionan. Estas gerencias también son responsables de la implementación de acciones correctivas para hacer frente a deficiencias de proceso y control.
La gerencia operativa es responsable de mantener un control interno efectivo y de ejecutar procedimientos de control sobre los riesgos de manera constante en el día a día. La gerencia operativa identifica, evalúa, controla y mitiga los riesgos, guiando el desarrollo e implementación de políticas y procedimientos internos que
aseguren que las actividades efectuadas son consistentes con las metas y objetivos. A través de una estructura de responsabilidad distribuida en cascada, los gerentes de nivel medio diseñan e implementan procedimientos detallados que sirven como controles y supervisan la ejecución de tales procedimientos por parte de sus empleados.
La gerencia operativa sirve naturalmente como primera línea de defensa porque los controles están diseñados dentro de los sistemas y procesos bajo su dirección como administración operacional. Deberían estar implementados adecuados controles de gestión y supervisión para asegurar su cumplimiento y para destacar excepciones de control, procesos inadecuados y eventos inesperados.
LA SEGUNDA LINEA DE DEFENSA: FUNCIONES DE GESTIÓN DE RIESGOS Y CUMPLIMIENTO
En un mundo perfecto, tal vez sólo una línea de defensa sería necesaria para asegurar una gestión de riesgos efectiva. En el mundo real, sin embargo, una sola línea de defensa con frecuencia puede resultar insuficiente. La gerencia establece diversas funciones de gestión de riesgos y cumplimiento para ayudar a crear y/o monitorear los controles de la primera línea de defensa. Las funciones específicas varían según la organización e industria, pero las funciones típicas de esta segunda línea de defensa comprenden:
- Una función de gestión de riesgos (y/o comité) que facilita y monitorea la implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operativa y que asiste a los propietarios del riesgo en la definición del objetivo de exposición al riesgo y en la presentación adecuada de información relacionada con riesgos a toda la organización.
- Una función de cumplimiento para monitorear diversos riesgos específicos tales como el incumplimiento de leyes y regulaciones aplicables. Con esta capacidad, esta función independiente reporta directamente a la alta dirección, y en algunos sectores económicos, directamente a los organismos de gobierno corporativo.
Múltiples funciones de cumplimiento con frecuencia existen en una misma organización, con responsabilidades para monitorear tipos específicos de cumplimiento, como salud y seguridad, cadena de suministros, ambiente o control de la calidad.
- Una función de contraloría que monitorea riesgos financieros y la emisión de la información financiera. La Gerencia establece estas funciones para asegurar que la
primera línea de defensa está apropiadamente diseñada, implementada y operando según lo previsto. Cada una de estas funciones tiene algún grado de independencia respecto de la primera línea de defensa, pero son por naturaleza funciones gerenciales. Como funciones gerenciales, pueden intervenir directamente en la modificación y desarrollo de los sistemas de control interno y riesgos.
Por lo tanto, la segunda línea de defensa tiene un propósito vital, pero no puede ofrecer análisis del todo independientes a los organismos de gobierno corporativo respecto a la gestión de riesgos y a los controles internos.
Las responsabilidades de estas funciones varían según su naturaleza específica, pero pueden incluir:
- Apoyar en la administración de políticas en cuanto a la definición de roles y responsabilidades y el establecimiento de objetivos para su implementación.
- Proporcionar marcos para la gestión de riesgos.
- Identificar asuntos conocidos y emergentes.
- Identificar cambios en el apetito de riesgo implícito de la organización.
- Asistir a la administración en el desarrollo de procesos y controles para la gestión de riesgos y problemas.
- Proporcionar guía y entrenamiento en procesos de gestión de riesgos.
- Facilitar y monitorear la implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operativa
- Alertar a la gerencia operativa de asuntos emergentes y de cambios en los
escenarios regulatorios y de riesgos.
- Monitorear la adecuación y efectividad del control interno, la exactitud e integridad de la información, el cumplimiento de las leyes y regulaciones, y la
remediación oportuna de deficiencias.
LA TERCERA LINEA DE DEFENSA: AUDITORIA INTERNA
Los auditores internos proporcionan a los organismos de gobierno corporativo y a la alta dirección un aseguramiento comprensivo basado en el más alto nivel de independencia y objetividad dentro de la organización.
Este alto nivel de independencia no está disponible en la segunda línea de defensa. Los auditores internos proveen aseguramiento sobre la efectividad del gobierno corporativo, la gestión de riesgos y el control interno, incluyendo la manera en que
la primera y segunda línea de defensa alcanzan sus objetivos de gestión de riesgos y control. El alcance de este aseguramiento, que es reportado a los organismos de gobierno corporativo y alta dirección, usualmente cubre:
- Un amplio rango de objetivos, incluyendo la eficiencia y efectividad de las operaciones, salvaguarda de activos, confiabilidad e integridad de los procesos de reporte, y cumplimiento con leyes, regulaciones, políticas, procedimientos y contratos.
- Todos los elementos de los marcos de gestión de riesgos y control interno, que incluyen: ambiente de control interno, todos los componentes del marco de
gestión de riesgos de la organización (por ejemplo, identificación de riesgos, evaluación de riesgos y respuesta), información y comunicación, y monitoreo.
- La entidad en su conjunto, divisiones, subsidiarias, unidades operativas y funciones – incluyendo procesos de negocios, tales como ventas, producción, marketing, seguridad, funciones de clientes, y operaciones – como también
funciones de soporte (por ejemplo, contabilización de ingresos y gastos, recursos humanos, adquisiciones, remuneraciones, presupuestos, gestión de infraestructura y activos, inventario, y tecnología de la información).
El establecimiento de una actividad de auditoría interna profesional debería ser un requerimiento de gobierno corporativo para todas las organizaciones.
Esto no sólo es importante para las grandes y medianas organizaciones, sino
también puede ser igualmente importante para las pequeñas entidades, ya que ellas
igualmente pueden enfrentar ambientes complejos, con una menos formal pero robusta estructura organizacional, para asegurar la efectividad de sus procesos de gobierno corporativo y gestión de riesgos.
Auditoría interna contribuye activamente a la efectividad del gobierno corporativo organizacional proporcionando ciertas condiciones – fomentando su independencia
y profesionalismo – que se cumplan. La mejor práctica es establecer y mantener una función de auditoría interna independiente con personal adecuado y competente, lo cual incluye:
- Actuar en concordancia con las normas internacionales reconocidas para la práctica de la auditoría interna.
- Reportar a un nivel suficientemente alto para ser capaz de desempeñar sus
funciones de manera independiente.
- Tener una activa y efectiva línea de reporte con los organismos de gobierno corporativo.
Fuente: Instituto Internos Auditores