Modelo de 3 líneas de defensa (LoD) en el cambiante panorama actual del riesgo
A medida que el panorama de riesgos se vuelve cada vez más complejo, el modelo tradicional de 3 líneas de defensa (3LoD) puede no ser tan completo. Hoy en día, las partes interesadas, como los auditores internos, los especialistas en gestión de riesgos empresariales y los responsables de cumplimiento, a menudo colaboran estrechamente para gestionar los riesgos a los que se enfrenta la organización. La colaboración interfuncional en la gestión de riesgos a menudo introduce una perspectiva única, que es extremadamente valiosa para obtener una visión holística de la gestión de riesgos.
Sin embargo, el reto de este enfoque es garantizar que la colaboración entre múltiples departamentos y funciones se coordine cuidadosamente, lo que puede resultar especialmente difícil cuando las comunicaciones y grandes cantidades de datos se transmiten a través de hojas de cálculo manuales. Además, las partes interesadas suelen tener intereses y objetivos diferentes.
¿En qué consiste el modelo tradicional de las 3 líneas de defensa?
Históricamente, el Modelo de Gestión de Riesgos 3LoD guía a las organizaciones para identificar, mitigar y gestionar los riesgos en toda su empresa. Este marco consta de tres unidades separadas:
- La primera línea de defensa
La dirección tiene la responsabilidad principal de asumir y gestionar los riesgos asociados a las actividades operativas cotidianas. Otras responsabilidades incluyen las operaciones y la aplicación de controles internos.
- La 2ª línea de defensa
La segunda línea de defensa permite a la organización garantizar el cumplimiento y la supervisión de los marcos, políticas y herramientas que apoyan la identificación de riesgos emergentes y, en última instancia, las capacidades de gestión de riesgos y cumplimiento de la organización.
- La 3ª línea de defensa
La función de tercera línea proporciona una garantía objetiva e independiente de los auditores internos a los reguladores y auditores externos de que la cultura de control en toda la organización es eficaz en su diseño y funcionamiento.
El modelo de las 3 líneas
El Instituto de Auditores Internos publicó los Modelos de las 3 Líneas mejorados para ayudar a las organizaciones a alcanzar sus objetivos. Aunque las tres unidades de 3LoD son esenciales para construir un proceso de gestión de riesgos cohesivo, el marco no está tan claro hoy como antes. Hoy en día, las empresas evolucionan por necesidad a medida que responden a nuevos reglamentos, normas, leyes y tecnología.
Este cambio continuo afecta a las operaciones empresariales a todos los niveles: los clientes exigen interacciones en tiempo real, los reguladores aplican niveles de escrutinio cada vez mayores y las partes interesadas en la gobernanza exigen garantías en este entorno de riesgo complejo y dinámico. Un ejemplo sería la normativa del sector, como la Ley Sarbanes-Oxley (SOX), que ha impuesto normas más estrictas sobre los niveles de control en torno a los controles financieros y otros factores de riesgo operativo.
En respuesta a un panorama cambiante, el Instituto de Auditores Internos (IIA) desarrolló y publicó el Modelo de 3 Líneas mejorado para ayudar a las organizaciones a identificar las estructuras y procesos que mejor ayuden a los líderes empresariales a alcanzar sus objetivos, manteniendo al mismo tiempo una gobernanza sólida y procesos de gestión de riesgos sólidos. En el modelo mejorado, la auditoría interna (AI) desempeñaría un papel clave activo en la identificación de las ineficiencias actuales de forma que fomente estratégicamente la innovación.
Aunque el Modelo de las Tres Líneas es similar al conocido 3LoD, ha servido para aportar más claridad a los principios subyacentes, al tiempo que ofrece una explicación más exhaustiva de las funciones y responsabilidades de los principales cargos de la organización y de cómo pueden colaborar para facilitar una gobernanza y una gestión de riesgos sólidas. El Modelo de las Tres Líneas sirve para orientar a las figuras organizativas clave a la hora de aplicar y emprender acciones que alineen sus objetivos empresariales con los intereses clave de las distintas partes interesadas.
¿Cómo puede Alyne desempeñar un papel clave en la evolución y el refuerzo del marco de gestión de riesgos de su organización?
La plataforma digital de Alyne permite a los líderes empresariales ganar eficiencia en el cumplimiento mediante la realización de una única valoración y la evaluación del cumplimiento frente a múltiples reglamentos o normas. Diferentes grupos dentro de las organizaciones desempeñan un papel distinto dentro del Modelo de 3 Líneas, desde las unidades de negocio hasta el personal de cumplimiento, auditoría y otro personal de gestión de riesgos.
En el reciente desarrollo de la plataforma Alyne, las funciones de segunda línea cuentan ahora con un mejor apoyo en todos los aspectos de GRC para su trabajo diario, ya que nuestra plataforma digital les ayuda a examinar diferentes áreas de riesgo con más detalle que nunca.
Mejore la gobernanza en toda su empresa
Alyne ha lanzado recientemente una nueva funcionalidad llamada Documentos y Asignaciones de Documentos que está potenciada por la capacidad de Procesamiento del Lenguaje Natural (PLN) para aportar transparencia y flexibilidad a las normativas. Esta funcionalidad apoya su proceso de mapeo manual sugiriendo Controles de forma inteligente.
Garantizar el cumplimiento continuo con una visión de conjunto clara
Alyne Supervisión continua de controles garantiza una visión actual adecuada de la situación de cumplimiento de su organización. Con esta funcionalidad, los actores de la 2ª y 3ª línea podrán ahora supervisar continuamente la madurez de los controles en todos los activos y analizar cómo han cambiado con el tiempo. De este modo, los responsables de la empresa podrán conocer en tiempo real los déficits individuales y estructurales y reaccionar con rapidez en caso necesario.
Mitigar los riesgos a medida que evolucionan
El ámbito interdisciplinar de la gestión de riesgos implica a todas las funciones del Modelo de 3 Líneas. La 1ª y la 2ª Línea identifican, evalúan, tratan y supervisan los riesgos, la 3ª Línea mantiene una vigilancia independiente de las actividades. Con Alyne, se pueden tomar decisiones activas de tratamiento del riesgo para cada riesgo: se puede elegir entre Limitación, Transferencia, Evitación y Aceptación.
Además, las mitigaciones y sus tareas asociadas se disocian para mejorar la trazabilidad y el seguimiento con el fin de facilitar la colaboración en toda la organización, la plataforma de Alyne también permite asignar tareas a los respectivos propietarios de las mitigaciones o a cualquier persona que pudiera ser responsable.
Escrito en colaboración por:
Tamara Gurschler y Eunice Cheah
