AuditoríaGRCRiesgos

Automatización del modelo de las 3 líneas de defensa

🕑 4 minutos de lectura

Tres líneas de defensa: riesgos y auditoría

Toda organización, en su día a día, realiza un proceso de evaluación, muchas veces de manera inconsciente, de los riesgos a los que está expuesta y que pueden afectar de manera negativa al negocio.

En este marco de análisis, la gestión de riesgo empresarial se ha convertido en un desafío interno, no solo desde el punto de vista de gestión y control, sino a la hora de asignar los perfiles más adecuados dentro de la organización. Este proceso de asignación se ha convertido en una tarea clave dentro de las organizaciones, ya que su correcta asignación va a permitir a los recursos de la organización establecer un proceso adecuado de gestión de riesgos a nivel interno.

Derivado de ello se hace necesario hablar del modelo de las tres líneas de defensa cuyas raíces se generaron en organizaciones financieras, pero ha evolucionado para ser aplicado en diferentes tipos de organizaciones con independencia de su actividad o tamaño, pues lo importante, es gestionar correctamente los riesgos a los que se expone una empresa.

El modelo de tres líneas de defensa proporciona un sistema simple y efectivo para mejorar el proceso de comunicación interno en la gestión y en el control de riesgos mediante la definición de funciones y obligaciones relacionadas, permitiendo asegurar el éxito continuo de las iniciativas de gestión del riesgo.

Primera línea de defensa: gestión operativa

El modelo de tres de líneas de defensa planea una primera línea de actuación que corresponde a los recursos operativos y de gestión de la organización, como aquellos encargados de asegurar el cumplimiento de los objetivos de la organización mediante un sistema de control interno.

La gestión operativa se encarga de la ejecución y mantenimiento de los controles internos establecidos por la organización, asegurando que las actividades desarrollada en sus unidades son compatibles con las metas y objetivos de negocio.

A través de una estructura de responsabilidad operativa, los mandos intermedios de la organización diseñan e implementan procedimientos que sirven como controles, permitiendo desarrollar tareas de supervisión de estos procedimientos por parte de sus empleados, reportando a la Alta Dirección de manera directa.

Segunda línea de defensa: cumplimiento

La segunda línea de defensa ejecuta las tareas de supervisión de los controles establecidos y el cumplimiento de políticas y estándares definidos por la organización, gestionando riesgos de más alto nivel estratégico, reportando sus hallazgos a la Alta Dirección.

Las funciones asignadas a la segunda línea pueden variar en función de la organización o el sector, pero en líneas generales podemos destacar las siguientes:

  • Supervisión y control de los riesgos, proporcionando apoyo a los diferentes responsables internos (1ª línea) en la definición del sistema de control de riesgos.
  • Velar por el cumplimiento normativo de la organización, tanto de leyes y reglamentos aplicables como políticas y estándares internos.
  • Velar por la veracidad y fiabilidad de la información financiera generada y reportada por parte de la organización.

Tercera línea de defensa: auditoría interna

La tercera línea de defensa permite una visión independiente y objetiva sobre el control de riesgos mediante el proceso de Auditoría Interna. Este proceso de revisión aporta supervisión neutral sobre las dos primeras líneas de defensa, evaluando el sistema de control interno de la organización en su conjunto para identificar debilidades y recomendar mejoras.

El proceso de auditoría interna proporciona una garantía sobre la eficacia de la gestión de riesgos y controles internos aplicados, analizando las buenas prácticas aplicadas por la primera y segunda línea de defensa en base al logro de los objetivos de la organización. Su actividad es reportada a la Alta Dirección, pero también a estamentos superiores de manera directa, como puede ser el Comité de Dirección o el Consejo de Administración.

Entre las funciones asociadas a la tercera línea de defensa podemos destacar:

  • Revisa la efectividad y eficacia de los controles implantados por la primera y segunda líneas de defensa para conseguir un adecuado marco de control interno.
  • Verifica la integridad de los reportes de información, el cumplimiento legal y reglamentario, así como de políticas y procedimientos de la organización.

Como se puede comprobar, cada una de las líneas identificadas tiene un papel distinto dentro del marco de gestión de la organización, contando con un nivel de independencia suficiente para no comprometer la efectividad de la gestión del riesgo y establecer acciones de mejora para potenciar su efectividad.

En este sentido, desde GlobalSuite Solutions te ofrecemos soluciones para abordar la definición del modelo de tres líneas de defensa, tanto desde el punto de vista de consultoría como la centralización y automatización de este proceso en una plataforma GRC. Gracias a la plataforma todos los responsables implicados podrán acceder a un mismo punto de información, disponer de una gestión de riesgos multidisciplinar con la capacidad de extraer información filtrada, además de establecer un sistema de auditoría que recopile todas las evidencias necesarias que se proponen en este modelo.