Sistema Tres Líneas de Defensa en Gestión de Riesgos y Control
Por: Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE
A continuación presentamos un resumen de la Declaración de Posición del IIA sobre el Sistema de Tres Líneas de Defensa, la cual fue tomada de una traducción libre realizada por el buen amigo Juan Alberto Villanueva.
En las empresas del siglo XXI, no es raro encontrar diversos equipos de auditores internos, especialistas en gestión de riesgos, funcionarios de cumplimiento, especialistas en control interno, inspectores de calidad, investigadores de fraude, y otros profesionales de riesgo y control que trabajan en conjunto para ayudar a las organizaciones a gestionar el riesgo.
Cada una de estas especialidades tiene una única perspectiva y habilidades específicas que pueden ser muy valiosa para las organizaciones a las que prestan servicios, pero ya que los derechos relacionados con la gestión y control de riesgos están cada vez más divididos en múltiples departamentos y divisiones, estos deben ser coordinados cuidadosamente para asegurar que los procesos de riesgo y control deben funcionar según lo previsto.
No es suficiente que diversas funciones del riesgo y control existan, el reto es asignar roles específicos y coordinar con eficacia y eficiencia entre estos grupos de manera que no haya «lagunas» en controles innecesarios ni duplicación de funciones. Se debe definir responsabilidades claras de modo que cada grupo de profesionales de riesgo y controle entienda los límites de sus responsabilidades y cómo encajan en la posición global de riesgos en la organización y la estructura de control.
LA PRIMERA LÍNEA DE DEFENSA: GESTIÓN OPERATIVA
Como primera línea de defensa, los gerentes operativos poseen y gestionan los riesgos. Ellos también son responsables de implementar acciones correctivas para abordar el proceso y las deficiencias de control. La gestión operativa se encarga del mantenimiento efectivo de controles internos, ejecutar procedimientos de riesgo y el control sobre una base del día a día. La gestión operativa identifica, evalúa, controla y mitiga los riesgos, orienta el desarrollo e implementación de políticas y procedimientos internos y asegura que las actividades sean compatibles con las metas y objetivos.
A través de una estructura de responsabilidad en cascada, gerentes de nivel medio diseñan e implementan procedimientos detallados que sirven como controles y supervisan la ejecución de estos procedimientos por parte de sus empleados.
La gestión operativa naturalmente sirve como primera línea de defensa porque los controles estén diseñados en los sistemas y procesos bajo una guía de gestión de operación. Debe haber una adecuada gestión de control y establecidos para asegurar el cumplimiento y para resaltar el desglose de control, procesos inadecuados, y los acontecimientos inesperados.
LA SEGUNDA LINEA DE DEFENSA: LA GESTIÓN DEL RIESGO Y FUNCIONES DE CUMPLIMIENTO
En un mundo perfecto, tal vez sólo una línea de defensa sería necesaria para asegurar una eficaz gestión del riesgo. En el mundo real, sin embargo, una sola línea de defensa a menudo puede resultar insuficiente. La gestión de riesgos establece diversas funciones de gestión y cumplimiento para ayudar a construir y / o monitorear los primeros controles de línea de defensa.
Las funciones específicas varían según la organización y la industria, pero las funciones típicas de esta segunda línea de defensa son:
– Una función de gestión de riesgos (y / o comité) que facilita y supervisa la aplicación de la gestión eficaz de los riesgos, prácticas de gestión operativa y dar asistencia de riesgos a los dueños en la definición del objetivo de la exposición al riesgo y la notificación adecuada de riesgos relacionados con la información en toda la organización.
– Una función de supervisar el cumplimiento de diversos riesgos específicos como el incumplimiento de las leyes y reglamentos aplicables. Como tal, la función independiente rinde cuentas directamente a los altos directivos, y en algunos sectores de actividad, directamente a los órganos de gobierno.
– La contraloría como función de monitoreo de riesgos financieros y de la información financiera.
LA TERCERA LINEA DE DEFENSA: AUDITORÍA INTERNA
Los auditores internos proporcionan al órgano de gobierno y administración superior garantía global basado en el más alto nivel de independencia y objetividad en la organización. Este alto nivel de independencia no es disponible en la segunda línea de defensa. La auditoría interna proporciona una garantía sobre la eficacia del gobierno, la gestión de riesgos y controles internos, incluyendo la manera en que las líneas primeras y segunda de defensa logran los objetivos de gestión de riesgos y control. El alcance de esta seguridad, el cual se informa a la alta dirección y al consejo de administración, por lo general se refiere a:
– Una amplia gama de objetivos, incluyendo la eficiencia y eficacia de las operaciones, salvaguarda de activos, fiabilidad y la integridad de los reportes de información, y el cumplimiento de las leyes, reglamentos, políticas, procedimientos y contratos.
– Todos los elementos de la gestión de riesgos y marco de control interno que incluye: ambiente de control interno; los elementos del marco de la gestión de riesgos, (es decir, identificación de riesgos, evaluación de riesgos y respuesta); información y comunicación, y el monitoreo).
– La entidad global, divisiones, filiales, unidades operativas, y funciones, incluyendo los procesos de negocio, tales como ventas, producción, marketing, seguridad, funciones de cliente y operaciones, así como las funciones de apoyo (por ejemplo, los ingresos y la contabilidad de gastos, recursos humanos, compras, nómina, elaboración de presupuestos, la infraestructura y la gestión de activos, inventario, y tecnología de la información).
El establecimiento de una actividad profesional de auditoría interna debe ser un requisito de gobierno para todas las organizaciones. Esto no sólo es importante para ampliar a las organizaciones de tamaño medio, también puede ser igualmente importante para las pequeñas entidades, ya que pueden enfrentarse a entornos igualmente complejos con una sólida estructura organizativa formal para garantizar la eficacia de su gestión y los procesos de gestión de riesgos.
PRÁCTICAS RECOMENDADAS:
– Los procesos de riesgo y control deben ser estructurados de acuerdo con las tres líneas del modelo de defensa.
– Cada línea de defensa debería ser apoyado por políticas apropiadas y las definiciones de funciones.
– Debe existir una adecuada coordinación entre las distintas líneas de defensa para fomentar la eficiencia y la eficacia.
– Las funciones de riesgo y control operativo en las diferentes líneas deben compartir el conocimiento y la información para ayudar a todas en un mejor cumplimiento de sus funciones de manera eficiente.
– Las líneas de defensa no debe combinarse o coordinarse de una manera que pueda comprometer su eficacia.
– En situaciones en que las funciones en las diferentes líneas se combinan, el órgano rector debe estar informado de la estructura y su impacto. Para las organizaciones que no han establecido una actividad de auditoría interna, el Consejo de Administración deberá explicar y dar a conocer a las partes interesadas que han considerado como garantía suficiente sobre la eficacia de gobierno y la organización lo que se obtendrá de la gestión de riesgos y estructura de control.
Publicado en el Blog de Nahun Frett – http://nahunfrett.blogspot.com/
Del Autor: Nahun Frett, es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de www.auditool.org
Comentarios