Modelo de las Tres Líneas de Defensa. Mitiga los Riesgos Empresariales
Red Global de Conocimientos en Auditoría y Control Interno
Actualmente la mayoría de las organizaciones cuentan con áreas y personal especializado para la gestión del riesgo y control interno. Sin embargo, sus actividades están dividas y distribuidas dentro de la organización sin una adecuada coordinación y comunicación, por lo que pueden existir brechas o espacios en la cobertura de los controles internos y hasta generar duplicación o creación de actividades innecesarias. El modelo de las Tres Líneas de Defensa proporciona una manera simple y efectiva para mejorar las comunicaciones en la gestión de riesgos y control mediante la aclaración de las funciones y deberes esenciales relacionados. El modelo clasifica las áreas funcionales y de responsabilidad de la empresa y brinda una visión de las operaciones, garantizando una adecuada supervisión y gestión del riesgo, además de ser apropiado para cualquier organización independientemente de su tamaño o complejidad.
El modelo distingue tres líneas de actividades, que participan en una efectiva gestión y supervisión de riesgos. La alineación de las tres líneas de defensa permite mitigar de una forma integral los riesgos. La primera línea está compuesta por el control de la gerencia, donde cada área operativa de la organización pone en práctica la gestión de sus propios riesgos y controles, para asegurar el cumplimiento de los objetivos de la organización a través de un adecuado sistema de control interno; la segunda línea contempla las funciones de supervisión de riesgos, controles y cumplimiento de políticas y estándares establecidas por la administración, abordando riesgos transversales, complejos y específicos; ambas, primera y segunda línea, reportan a la Alta Dirección. Y en la tercera línea está el aseguramiento independiente, la Auditoria Interna, la cual aporta supervisión objetiva sobre las dos primeras líneas de defensa, evalúa el sistema de control interno de la organización en su conjunto para identificar debilidades y recomendar mejoras. La Auditoría Interna debe reportar a la Alta Dirección y a la Junta Directiva. Finalmente, y fuera del marco de la organización, se encuentran la Auditoría Externa y Organismos Reguladores, que no integran el sistema de control interno sino que lo examinan independiente y externamente.
Cada una de las tres líneas juega un papel distinto, dentro del marco de gobernabilidad de la organización, considerando primero las funciones esenciales de los organismos de gobierno corporativo.
Las tres líneas de defensa, deben contar con un nivel de separación e independencia suficiente para no comprometer la efectividad del esquema general, y actuar coordinadamente con el fin de maximizar su eficiencia y potenciar su efectividad. El modelo tiene un grado elevado de sofisticación y complejidad. Por tanto, el IIA establece ciertos principios orientativos para determinar si el grado de madurez de la organización permite avanzar hacia un modelo de tres líneas de defensa, o no. Estos requisitos son:
– Existencia de un comité de auditoría idóneo, capaz de monitorear el accionar de las diferentes funciones de aseguramiento y su integración.
– Formalización de las responsabilidades por el mantenimiento de un sistema de control interno y la gestión de riesgos.
– La auditoría interna debe ser profesional y eficaz, habiendo logrado demostrar su adhesión a las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, y el Director Ejecutivo de Auditoría Interna debe contar con la necesaria independencia para ejercer sus funciones
Si se intenta avanzar en un modelo de tres líneas de defensa sin haber asegurado previamente estas condiciones, es posible que el control interno de la organización no mejore sino que incluso se desmejore, al intentar confiar funciones más importantes a áreas que no son idóneas ni confiables
La implementación del modelo implica tanto ventajas como desventajas, que se derivan del uso de una metodología más racional para la gestión de riesgos y control, y que también significa ser más eficiente en los recursos y más confiable en los resultados, así como asumir ciertas desventajas para la organización y retos para la auditoría interna, que deben tomarse en consideración al momento de tomar la decisión de adoptar este modelo.
Como ventajas del modelo de tres líneas de defensa encontramos:
– Es un modelo solido: Sólido significa que no presenta grietas. En el estado actual de formulación de control interno existen grietas, porque no está explicito el alcance de las labores de cada una de las funciones de segunda línea de defensa, hasta dónde llega cada una de ellas. Esto produce ocasionalmente solapamientos en las tareas, contradicciones entre las opiniones de diversas áreas y zonas grises.
– Es un modelo robusto: Esta característica se percibe al advertir que la fuerza de las distintas funciones de aseguramiento es mayor cuando actúan coordinadamente que cuando cada una de ellas lo hace por separado.
– Es un modelo resistente: La resistencia deriva de su integralidad y de la confianza que provee a la Dirección Superior el saber que una diversidad de especialistas están actuando coordinadamente a su servicio. Esto reduce sustancialmente la probabilidad de que alguna o algunas de las tareas de aseguramiento resulten eliminadas o debilitadas por no percibirse claramente su contribución al éxito de la organización.
– Se genera un crecimiento dentro de la organización que finalmente coloca a la Auditoría Interna en el nivel de Alta Gerencia a la cual siempre aspiró y nunca llegó. Debido a que la Auditoría Interna es actualmente una función de Gerencia media colocada en el más alto nivel del organigrama. El rol de evaluación de un marco de control interno amplio que salvaguarde el cumplimiento de las metas operativas y atienda a sus riesgos estratégicos puede, por fin, colocar a la Auditoría Interna en un nivel alto.
– Una vez implementado el modelo las operaciones se hacen más eficientes, al integrarse y fluir la operación y el control como parte del mismo engranaje y sin oponerse el uno a la otra.
– La información mejora y se integra. Los diversos informes producidos por cada sector de la organización podrán ser consultados por el resto en forma oportuna para sus necesidades.
– Se reducen los inconvenientes operacionales por riesgos imprevistos, dado que cada función atiende su responsabilidad sin omisiones, duplicidades ni contradicciones
Desventajas:
– Es un modelo tan sofisticado y complejo que involucra diversas erogaciones:
o En personal, debe existir personal idóneo para atender las diversas funciones de la segunda línea de defensa.
o En capacitación, este personal debe mantenerse constantemente entrenado y motivado.
o En desarrollo de normativa. El desarrollo de las políticas y procedimientos para coordinar a este equipo de gente suponen un esfuerzo económico considerable.
o En software. No necesaria, pero idealmente, debiera contarse con un software que integre una base de datos de conocimiento compartido por todas las áreas, de modo que cada quien disponga de información adecuada para el desarrollo de sus funciones, en primer lugar, y para supervisión del nivel superior, en segundo término
– Para lograr las sinergias entre las áreas de segunda línea de defensa, y una adecuada interrelación entre éstas y la gerencia de primera línea, se requiere un importante esfuerzo de coordinación y buena comunicación interdepartamental. En caso contrario, surge una burocracia que traba la operación y resta eficiencia a la organización. Especialmente importante es delimitar las funciones a cumplir por cada área y persona, de modo de evitar zonas grises en las cuales exista un entendimiento generalizado de que alguien se está ocupando de algo, mientras en realidad no lo está haciendo. Lo inverso también es cierto, pues puede acontecer que varias áreas traten de abordar un tema al mismo tiempo, generando no solamente duplicación de esfuerzos sino también contradicciones entre las valoraciones y cursos de acción de las diferentes áreas respecto del mismo tema.
– Implica una dificultad para la Auditoría Interna porque en varias ocasiones los intereses del Directorio y Alta Gerencia no son exactamente coincidentes. Adicionalmente, el Directorio tiene como reportes a los Gerentes más poderosos de la organización, comenzando por el Gerente General. El Director Ejecutivo de Auditoría Interna dirige un departamento de tamaño normalmente modesto, y que no desarrolla funciones tan vitales para la organización como las de una Gerencia General. Al colocarlo en un pie de reporte equitativo, se le da cierto respaldo, por una parte. Pero, por otro lado, se corre el riesgo de que el Directorio no preste la debida atención a las necesidades de la Auditoría Interna, postergando siempre sus necesidades para atender las urgencias de vida o muerte de la Alta Gerencia. Y la Alta Gerencia puede percibir este factor y utilizarlo para anular a la Auditoría Interna.
– Se puede generar un angostamiento de las responsabilidades de la auditoria interna, en la medida que la creación de nuevas funciones de segunda línea le van restando labores que anteriormente desempeñaba. En adición a ello, la creación y potenciación de estas funciones de segunda línea de defensa puede generar una confianza creciente de la auditoría externa en el sistema de control interno de la organización, al punto de considerar y eventualmente sugerir al Directorio la supresión de la función de auditoría interna.
El equipo de auditoría interna deberá cambiar el alcance de sus tareas y comunicaciones con otras áreas, lo cual supone un reto a nivel colectivo, además los auditores internos deberán adquirir nuevas destrezas y potenciar las actuales.
Comentarios