UNA MIRADA AL MODELO DE LAS TRES LÍNEAS DE DEFENSA EN LA GESTIÓN DE RIESGOS ORGANIZACIONALES

En la actualidad una parte importante de las organizaciones cuentan con áreas enfocadas en la gestión de riesgos y un departamento de control interno y aunque la lógica dictaría que estas deberían estar asociadas directamente a la gestión directiva de la institución, estas, en muchos casos, actúan como entes independientes, llegándose a pensar incluso que tienen objetivos diferentes.

Esto sucede habitualmente porque en las entidades no hay una cohesión entre la gestión de riesgos entre la alta dirección, los empleados que ejecutan las actividades de control y los departamentos de auditoría encargados de hacer las verificaciones correspondientes.

Bajo ese contexto y para hacer frente a esta irregularidad, fue expuesto, el pasado 20 de julio, el modelo de las tres líneas de defensa. Esta es la culminación de un esfuerzo del grupo de trabajo de expertos dirigido por la Vicepresidenta Senior de IIA, Jenitha John, el cual estudió experiencias de los enfoques de gobernanza en diferentes partes del mundo.

El modelo de las tres líneas de defensa pretende ensamblar la identificación de riesgos, establecer las actividades de control relevantes para mitigarlos, así como las tareas de revisión de los mismos, para que, de esa manera, se pueda coordinar el trabajo con miras al cumplimiento de los objetivos reales.

El modelo clasifica las áreas funcionales y de responsabilidad de la empresa, brinda una visión de las operaciones, y garantiza una adecuada supervisión y gestión del riesgo. Este se puede adaptar a cualquier tipo de organización, independiente de su tamaño o actividad.

El esquema de las tres líneas de defensa es una alternativa a los métodos y sistemas implementados erróneamente por las organizaciones, aportando de este modo herramientas para mejorar y corregir fallas en la adecuada segregación y jerarquización de los procesos que deben llevar las entidades para la mitigación de los riesgos.

En el primer documento emitido por el IIA1 se define la estructura del modelo y se describe cada una de las líneas de defensa. Posteriormente, el Instituto de Auditores Internos de España elabora un esquema complementario que explica detalladamente cómo implementar el modelo, con herramientas y procedimientos de auditoría concretos.

1 IIA. (2013). Declaración de posición: las tres líneas de defensa para una efectiva gestión de riesgos y control.

Primera línea de defensa: Gerencia operativa

La gerencia de la compañía tiene como responsabilidad garantizar que dentro de la organización exista un adecuado sistema de control interno, que este funcione de manera efectiva y que todas las actividades de control estén debidamente documentadas, implementadas y sean efectivas.

Para lograr lo anterior, es la gerencia de la compañía la que debe tener en sus prioridades que las actividades de control establecidas deben estar clasificadas de acuerdo a la evaluación de riesgos que se ha hecho; lo anterior se logra con un trabajo minucioso de identificación de riegos, en el cual se tenga claridad de cuáles son aquellas situaciones que podrían afectar negativamente el cumplimiento de los objetivos organizacionales, actividad que debe hacerse proceso por proceso. Asimismo, evaluarlos estableciendo un nivel de criticidad para saber en dónde priorizar los esfuerzos operativos para realizar las tareas de control adecuadas y así mitigarlos.

Las principales tareas de la gerencia operativa son:

  • Identifica, mide y establece las actividades de control de los riesgos de la compañía.
  • Garantiza que haya un sistema de control interno y que este sea basado en riesgos, para que sea efectivo.
  • Vela porque constantemente se estén ejecutando los procedimientos de control.
  • Establece acciones correctivas y constantes planes de mejora para que el sistema funcione adecuadamente.

Segunda línea de defensa: Funciones de Gestión de Riesgos y Cumplimientos

La gerencia de la compañía se debe apoyar con diversos funcionarios que tengan la mentalidad de gestión de riesgos y que se encarguen de ejecutar las funciones de gestión de los mismos. Esta segunda línea debe apoyar, soportar y retroalimentar a la gerencia y así determinar si las actividades de control están correctamente diseñadas e implementadas Esta línea es la más compleja de establecer, pues depende del número de colaboradores, la estructura, la actividad y objetivos de la entidad.

Normalmente los funcionarios que integran esta segunda línea son aquellos que hacen parte de las siguientes áreas:

  • Dirección financiera
  • Gestión de riesgos
  • Calidad
  • Cumplimiento

Frente a la gestión de riesgos sus principales funciones son:

  • Facilita la implementación de las actividades de control establecidas.
  • Establece, actualiza y documenta las políticas, roles y responsabilidades de las diferentes áreas.
  • Alertar de cambios en regulaciones y nuevos escenarios de riesgos para la entidad.
  • Alertar de riesgos financieros y errores en la presentación de información errónea.

Tercera línea de defensa: Auditoría interna

La auditoría interna es definida por el IIA2 como: “una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.”

IIA2: The Institute of Internal Auditors o El Instituto de Auditores Internos

Los auditores internos son los vigilantes y su función es proporcionar aseguramiento sobre la implementación y efectividad de las actividades de control que mitigan los riesgos. Estos son los que verifican que las actividades establecidas desde la primera línea, documentadas e implementadas por la segunda, estén de acuerdo al plan trazado por la alta dirección. Por este motivo, la auditoría interna debe ser una actividad profesional e independiente, debido a que interactúa y evalúa a todos los actores y en todos los ámbitos.

En la presentación realizada durante este año el modelo de las tres líneas deja de centrarse solo en defenderse contra el riesgo, y se enfoca la creación de valor y la gestión prospectiva del riesgo, proponiendo así los siguientes seis principios:

  • Gobernanza
  • Funciones del órgano de gobierno
  • Gestión y roles de primera y segunda línea
  • Roles de tercera línea
  • Independencia de tercera línea
  • Crear y proteger el valor

En resumen, la implementación de las tres líneas de defensa en las organizaciones es clave para que los esfuerzos frente a la gestión del riesgo sean debidamente coordinados, implementados y evaluados, pues se hace necesario que tengan un enfoque cohesionado y coordinado por todos los profesionales encargados de la gestión y control de riesgos, de tal manera que se establezcan los alcances y responsabilidades que desempeña cada grupo de trabajo frente a este tema.

Nelson Giraldo
Salaried Partner
Russell Bedford – Medellín, Colombia