Ante los riesgos que acechan a la empresa, esta debe organizarse de manera que pueda hacerles frente de la mejor forma posible. Simplificando mucho, se trata de disponer de funciones o “líneas de defensa” que permitan identificar estos riesgos, valorarlos y medirlos, priorizarlos, gestionar las respuestas ante ellos y realizar un reporte y seguimiento periódico.
Esta forma de organizarse se plasmó en un modelo denominado ‘Modelo de las tres líneas de defensa’ hace aproximadamente diez años y se hizo “viral” a partir de una publicación en 2013 por parte del ECIIA/FERMA donde se describía.
Este modelo ha tenido sus fans y sus detractores dado que suponía la existencia de tres líneas de defensa frente a esos riesgos, como si de una fortaleza se tratara. La primera línea serían aquellas funciones de la organización encargadas de la operativa en el día a día, responsables de evaluar, controlar y mitigar los riesgos, así como de implantar los controles efectivos. La segunda línea serían todas aquellas funciones tales como control interno, gestión de riesgos y cumplimiento que facilitan y supervisan la implementación de prácticas efectivas de control interno y gestión de riesgos por parte de la gestión operativa. Finalmente, una tercera línea sería auditoría interna, que ofrece un aseguramiento independiente sobre efectividad, control interno y gestión de riesgos, incluida la operativa de la primera y segunda línea de defensa. Pues bien, este modelo ha sido actualizado recientemente, siendo su publicación “oficial” en el Instituto de Auditores Internos este mismo lunes 20 de julio.
La actualización del modelo de las tres líneas (donde la palabra “defensa” ya no aparece en el título) trata de aportar una mayor flexibilidad y adaptabilidad a cualquier tipo de organización, aunque desde nuestro punto de vista hay que tener cuidado con su aplicabilidad en sectores muy regulados como el bancario donde los roles de cada línea están definidos de manera precisa en las distintas normativas que le son de aplicación. Por tanto, si bien es necesario hacer una reflexión sobre este modelo adaptado para valorar la ventaja de su aplicabilidad en cada compañía, este análisis se hace aún mayor si consideramos las regulaciones específicas sectoriales.
Basado en 6 principios (gobierno, roles del órgano de gobierno, la Alta Dirección y los roles de 1ª y 2ª línea, los roles de la 3ª Línea, independencia de la 3ª Línea y la creación y protección del valor), la filosofía de este modelo versa en la coordinación entre 4 roles clave del modelo.
En primer lugar, los órganos de gobierno son los que deben rendir cuentas de su supervisión a los stakeholders de la organización, comprometiéndose a vigilar sus intereses y a comunicarse de manera transparente sobre el logro de los objetivos. También deben fomentar una cultura que promueva el comportamiento ético y la responsabilidad, estableciendo estructuras y procesos para la gobernanza, así como delegando la responsabilidad y proporcionando recursos a la Alta Dirección para el logro de los objetivos de la organización. Asimismo, determinan el apetito de la organización por el riesgo y ejercen la supervisión de la gestión del riesgo (incluido el control interno). Además, mantienen la supervisión del cumplimiento de las expectativas legales, reglamentarias y éticas y establecen y supervisan una función de auditoría interna independiente, objetiva y competente.
En segundo lugar, la Alta Dirección, la cual comprende a la primera y segunda línea en el modelo de 2020, debe distinguir las labores a realizar por cada una de ellas. Mientras la primera línea se enfoca en la gestión operativa y de riesgos, asegurando el cumplimiento de leyes, regulaciones y aspectos éticos, la segunda comprende actividades como soporte y supervisión de la eficacia de la gestión de riesgos.
En tercer lugar, la función de la Auditoría Interna es la de rendir cuentas ante los órganos de gobierno y ser independiente de la Alta Dirección, prestando un asesoramiento independiente y objetivo y proveyendo, en su caso, de las salvaguardas necesarias para conseguirlo.
Finalmente, los proveedores externos deben proporcionar un aseguramiento adicional en cuanto a aspectos legales o regulatorios (protección a los stakeholders) o bien complementar a los proveedores internos de aseguramiento.
Según el modelo adaptado de las tres líneas, su aplicación tiene que tener en cuenta tres pilares relevantes: la definición clara de las estructuras, roles y responsabilidades, la supervisión y el aseguramiento de los órganos de gobierno de las tres líneas y de los proveedores externos, y la coordinación y alineamiento entre las líneas a través de una buena comunicación y colaboración. No obstante, este nuevo documento no explicita la forma en que estos tres pilares deben articularse en la práctica, dejando por el momento que cada organización lo adapte.
Desde nuestra perspectiva, es necesario desarrollar mecanismos que permitan hacer tangibles y “aterrizar” estos tres ejes, como por ejemplo, elaborar protocolos de coordinación específicos entre las distintas líneas, identificar áreas “grises” de colaboración que deban requerir una evaluación externa, revisar y definir, en su caso, estructuras de reporting que respondan al nuevo modelo y que den confort a los órganos de gobierno sobre el aseguramiento dotado por cada área, elaborar mapas de aseguramiento combinado, protocolos con proveedores de aseguramiento externo, etc.
Por último, desde nuestro punto de vista, este modelo oportunamente ofrece una mayor integración de las funciones de aseguramiento que pueden aportar una mayor eficacia y eficiencia en cuanto a la gestión de los riesgos y mayor confort a los órganos de gobierno. Pero, por otra parte, exigirá el establecimiento de unos mayores mecanismos de coordinación y de salvaguarda para preservar la independencia de las distintas líneas. En algunos casos, este aspecto requerirá precisamente de un mayor aseguramiento ofrecido por terceros independientes que puedan emitir sus opiniones o conclusiones respecto de la actuación de cada una de esas líneas, en el ámbito de una mayor eficacia y eficiencia, sin vulnerar valores relevantes como el de la independencia, que es un atributo crítico en temas de aseguramiento.
Deja un comentario