Así evoluciona el modelo de tres líneas de defensa para mitigar los riesgos

Los diferentes riesgos a los que se enfrentan las empresas en su día a día ha provocado que, cada vez más, estas se den cuenta del valor que tiene realizar controles internos o establecer auditorías permanentes para controlar y gestionar los riesgos a los que se enfrentan.

Una de las estrategias que cobra más peso a la hora de minimizar los riesgos es el modelo de las tres líneas de defensa, esta metodología que se basa en establecer tres niveles para la gestión del control interno.

La primera de ellas se centra en la gestión operativa, que corre a cargo de los gerentes operativos. Estos tienen la misión de asegurar el cumplimiento de los objetivos de la organización y cumplir con el sistema de control interno, además de ser los encargados de que dicho sistema se ejecute y se mantenga. En esta primera línea, los mandos intermedios de una empresa han de diseñar e implementar una serie de procedimientos que sirvan como medidas de control, que permitan controlar los riesgos operativos y cumplir así con los objetivos fijados.

La segunda de las líneas tiene la función de diseñar y apoyar el cumplimiento de todas las acciones de la primera. Entre sus atribuciones se encuentran la supervisión y control de los riesgos, para lo que ofrece apoyo a los responsables internos de la primera línea en la definición del sistema de control de riesgos. Además, las personas que componen esta segunda línea son las encargadas de velar por el cumplimiento normativo de la organización (tanto en cuanto a leyes y reglamentos aplicables como respecto a políticas y estándares internos), así como de controlar que la información financiera generada y reportada por la organización sea completa y exacta.

Finalmente, la última de las líneas de defensa consiste en implementar la función de auditoría interna que, a través de alguien independiente y objetivo, dé fe de que las dos líneas anteriores cumplen con su propósito. Gracias a esta auditoría, se obtiene una garantía de que la gestión de riesgos y los controles internos se están cumpliendo con eficacia, si bien también analiza las buenas prácticas aplicadas por la primera y segunda línea de defensa en base a la consecución de los objetivos de la organización.

Este modelo ha sido desde 2013 ampliamente asimilado por bancos y entidades financieras, que vieron en él un paradigma perfecto para controlar los riesgos a los que se exponían, y que podían suponer una merma significativa en su negocio. Pasado el tiempo, y tras haber ido evolucionando, ha sido adoptado por organizaciones muy diferentes. Empresas de sectores y tamaños distintos han comprobado que el modelo de las tres líneas de defensa les proporciona numerosas ventajas.

Según los expertos de GlobalSuite Solutions, la principal ventaja del modelo de tres líneas de defensa es que proporciona un sistema efectivo por el que se mejora el proceso de comunicación interno, tanto en la gestión como en el control de riesgos, mediante la definición de funciones y obligaciones relacionadas. “Y todo ello de forma simple, con lo que se asegura el éxito de las iniciativas de gestión del riesgo”, explican.

Además, a través de cada una de las líneas que componen el modelo tiene un papel diferenciado dentro del marco del gobierno de la organización, se cuenta con un nivel de independencia suficiente para no comprometer la efectividad de la gestión del riesgo, y establecer así un conjunto de actuaciones de mejora para potenciar su efectividad.

Esta compañía, que dispone de una plataforma de GRC que permite abordar este modelo, indica que el modelo está evolucionando hacia la automatización, para facilitar que todos los responsables implicados accedan a a un mismo punto de información, disponer de una gestión de riesgos multidisciplinar con la capacidad de extraer información filtrada, y establecer un sistema de auditoría que recopile todas las evidencias necesarias que se proponen en este modelo.

Con su plataforma, propone que los proyectos de auditoría, además de automatizarse, se integran con los sistemas de información, los procesos y los estándares de la empresa. Esto permite que la auditoría se focalice en aquellos procesos que se consideren más relevantes, por su riesgo, su importancia en el negocio, cumplimiento legal, etc.