MA, MDC, LCP Daniel Antonio Gómez Gómez, LCP Ignacio Javier Aceves Monayo, LCPF CICA Cesar R. Arias Hinojosa, , LCP Jorge Real Jimenez y CPC Marco Antonio Sandoval Madrigal
Diciembre 2020
El modelo de las tres líneas de defensa nace con la intención de proporcionar una base solida en el control y la gestión de riesgos de las organizaciones, estructurando procesos eficaces que permitan alcanzar los objetivos de las mismas, así también, brindando un apoyo importante a los órganos de gobierno.
Por tal motivo, el modelo de las tres líneas de defensa se convierte en un marco valioso que describe las funciones clave para asegurar una gestión eficaz del riesgo dentro de una organización y la importancia para cumplir con su posición y función en la estructura del gobierno corporativo.
Este modelo (las tres líneas de defensa) promueve la propiedad de riesgos y una cultura de gestión de riesgos mas sólida a las que se elimina la ineficiencia, las brechas y las duplicidades que, frecuentemente se generan en la gestión del riesgo y el cumplimiento por múltiples funciones.
Nuevo modelo
El nuevo modelo busca reflejar la realidad actual de la organización considerando un contexto mas amplio del gobierno corporativo, éxito organizacional y creación de valor al interior de la misma. Así también, este nuevo modelo ayuda a las organizaciones a identificar estructuras y procesos que ayuden de la mejor manera a alcanzar los objetivos y faciliten un gobierno sólido y una eficiente gestión de riesgos.
El modelo es aplicable a todas las organizaciones y se optimiza de la siguiente manera:
Adoptando un enfoque basado en principios y adaptando el modelo a los objetivos y circunstancias de la organización.
Centrarse en la contribución de la gestión de riesgos a la obtención de objetivos y la creación de valor, así como en cuestiones de defensa y protección de valor.
Comprensión clara de los roles y responsabilidades representados en el modelo y las relaciones entre ellas.
Aplicación de medidas para garantizar que las actividades y los objetivos estén en concordancia con los intereses prioritarios de las partes interesadas.
Gobierno
El gobierno de una organización requiere estructuras y procesos que permitan:
Rendición de cuentas por parte de un órgano de gobierno a las partes interesadas para la supervisión de la organización a través de la integridad, el liderazgo y transparencia.
Acciones por parte de la dirección para lograr los objetivos de la organización a través de la toma de decisiones basada en el riesgo y la aplicación de recursos.
Aseguramiento y asesoramiento por parte de un rol de auditoría interna independiente para proporcionar claridad y confianza y para promover y facilitar la mejora continua a través de la investigación rigurosa y una comunicación eficaz.
Roles del órgano de Gobierno
El órgano de Gobierno asegura que se han establecido estructuras y procesos adecuados para un gobierno eficaz. Y que, los objetivos y actividades de la organización están alineados con los intereses prioritarios de las partes interesadas. Delega la responsabilidad y proporciona recursos a la dirección para alcanzar los objetivos de la organización mientras que asegura que se cumplan las expectativas legales, regulatorias y éticas.
Establece y supervisa un rol de auditoría interna independiente, objetiva y competente para proporcionar claridad y confianza en el progreso hacia el logro de los objetivos.
Dirección y roles de primera y segunda línea
La responsabilidad de la dirección de alcanzar los objetivos organizativos comprende tanto los roles de primera como las de segunda línea.
Los roles de primera línea se alinean mas directamente con la entrega de productos y/o servicios a clientes de la organización, incluyendo los roles de soporte. Los roles de segunda línea proporcionan asistencia en la gestión del riesgo.
Los roles de segunda línea pueden centrarse en objetivos específicos de la gestión de riesgos, tales como: el cumplimiento de leyes, regulaciones y comportamiento ético aceptable; el control interno; la seguridad de la información y la tecnología; la sustentabilidad; y el aseguramiento de la calidad.
Algunos roles de segunda línea pueden ser asignados a especialistas para proporcionar experiencia adicional, apoyo, monitoreo y cuestionar a aquellos con roles de primera línea. Como alternativa, los roles de segunda línea pueden abarcar una responsabilidad mas amplia en la gestión de riesgos.
Roles de la tercera línea
Esta recae en la responsabilidad del auditor interno. Es decir, en la suma de una aplicación competente de procesos sistemáticos y disciplinados, experiencia y percepciones; aunado a informes recurrentes de conclusiones a la gerencia y al órgano de gobierno para promover y facilitar la mejora continua.
Lo anterior da como resultado una opinión independiente y objetiva por parte del auditor interno sobre la adecuación y eficacia del gobierno y la gestión de riesgos.
Independencia de la tercera línea
La independencia de la auditoría interna de las responsabilidades de la gerencia es fundamental para su objetividad mediante:
La rendición de cuentas ante el órgano de gobierno.
Acceso sin restricciones a las personas, los recursos y los datos necesarios para completar su trabajo.
Ausencia de prejuicios o interferencias en la planificación y prestación de servicios de auditoría.
Cumplimiento del principio de independencia.
Creación y protección de valor
Todos los roles que trabajan juntos contribuyen colectivamente a la creación y protección de valor cuando están alineadas entre sí y con los intereses prioritarios de las partes interesadas. La alineación de las actividades se logra mediante la comunicación, la cooperación y la colaboración.
Esto asegura la fiabilidad y coherencia de la información necesaria para la toma de decisiones basada en el riesgo.
Conclusiones
El modelo es más efectivo cuando se adapta para ajustarse a los objetivos y circunstancias de la organización.
La forma en que se estructura una organización y la forma en que se asignan los roles son cuestiones que deben determinar la dirección y el órgano de gobierno.
El órgano de gobierno podrá establecer comités que supervisen aspectos concretos de su responsabilidad, como la auditoría, el riesgo, las finanzas, la planificación y la compensación.
El nuevo modelo de las tres líneas no es mandatorio y es lo suficientemente flexible para dar cabida a los requerimientos y dinámicas de la organización.
El órgano de gobierno, la dirección y la auditoría interna tienen distintos roles y responsabilidades, pero todas las actividades deben estar alineadas con los objetivos de la organización.
El verdadero reto para todas las organizaciones será el de aplicar y adaptar el modelo de las tres líneas en sus necesidades y prioridades.