21 Ene de 2021

El nuevo modelo de las tres líneas de defensa en la gestión estratégica de riesgos

El modelo de las Tres Líneas de Defensa se fundamenta en la separación de tres grupos organizacionales (o líneas) que participan en una efectiva gestión de riesgos, asignando funciones y responsabilidades explícitas en lo que se refiere a la prevención y atención de los riesgos, la manera como se disponen los recursos y las estrategias a seguir.

Durante 2020, el Instituto de Auditores Internos presentó la evolución al modelo como una evolución en lo que a la gestión de riesgos se trata con el objetivo de reflejar el papel evolutivo de la gestión de riesgos y fomentar una mayor colaboración entre las funciones empresariales, lo que no se describía en el modelo anterior.

En el modelo recién renovado, se elimina la palabra “defensa” en el título. Este cambio parece reflejar una de las principales críticas del modelo anterior, de centrarse demasiado en defenderse contra el riesgo, en lugar de centrarse en la creación de valor y la gestión prospectiva del riesgo.

El nuevo modelo aborda esa crítica mediante la incorporación más estrecha del órgano de gobierno. Si bien no es un modelo de gobernanza, el mayor enfoque en la gobernanza apoya tanto la creación de valor como la protección y se ocupa tanto de los aspectos ofensivos como defensivos de la gestión del riesgo.

Seis principios clave del nuevo modelo de defensa en la gestión de riesgos

  1. Gobernanza
  2. Funciones del órgano de gobierno
  3. Gestión y roles de primera y segunda línea
  4. Roles de tercera línea
  5. Independencia de tercera línea
  6. Crear y proteger el valor

El enfoque basado en principios del nuevo modelo está diseñado para proporcionar a los usuarios una mayor flexibilidad. Los órganos rectores, la dirección ejecutiva y la auditoría interna no se insertan en líneas o roles rígidos. El concepto de “líneas” se mantuvo en aras de la familiaridad. Sin embargo, no pretenden denotar elementos estructurales, sino una diferenciación útil en funciones.

Los límites establecían divisiones inconvenientes al interior de las compañías, lo que era una crítica al modelo anterior. Algunos departamentos o áreas entendían por ejemplo que, si eran de la segunda línea, no tenían nada que ver con las responsabilidades de la primera línea. También ocurría la duplicación de los esfuerzos de auditoría. En ocasiones, había superposición entre la segunda línea (control de riesgos y supervisión del cumplimiento) y la tercera línea (auditoría interna). La segunda línea actuaba como la tercera.

El nuevo modelo es una orientación más que una imposición. En ese orden de ideas, debe utilizarse de una manera que ayude a cada organización a madurar, evolucionar y mejorar su eficacia relacionada con la gestión de riesgos y el control interno, más que ser el cumplimiento de un requisito.

El programa de Gestión Estratégica de Riesgos de ESI aborda de manera innovadora el desafío de entender este nuevo modelo y la forma en que las empresas pueden abordarlo, ya que se requiere un estudio y profundización para comprenderlo y asumirlo como un elemento que contribuya al fortalecimiento organizacional.

Fuente: IIA