El modelo de las tres líneas de defensa (LoD) en el cambiante panorama actual de riesgos
A medida que el panorama de riesgos se vuelve cada vez más complejo, es posible que el modelo tradicional de las tres líneas de defensa (3LoD) ya no sea tan completo. Hoy en día, las partes interesadas, como los auditores internos, los especialistas en gestión de riesgos empresariales y los responsables de cumplimiento normativo, suelen trabajar en estrecha colaboración para gestionar los riesgos a los que se enfrenta la organización. La colaboración interfuncional en la gestión de riesgos suele aportar una perspectiva única, que resulta extremadamente valiosa para obtener una visión global de la gestión de riesgos.
Sin embargo, el reto de este enfoque es garantizar que la colaboración entre múltiples departamentos y funciones se coordine cuidadosamente, lo que puede resultar especialmente difícil cuando las comunicaciones y grandes cantidades de datos se transmiten a través de hojas de cálculo manuales. Además, las partes interesadas suelen tener intereses y objetivos diferentes.
¿En qué consiste el modelo tradicional de las tres líneas de defensa?
Históricamente, el modelo de gestión de riesgos 3LoD guía a las organizaciones para identificar, mitigar y gestionar los riesgos en toda su empresa. Este marco consta de tres unidades independientes:
- La primera línea de defensa
La dirección tiene la responsabilidad principal de asumir y gestionar los riesgos asociados a las actividades operativas cotidianas. Otras responsabilidades incluyen las operaciones y la implementación de controles internos.
- La segunda línea de defensa
La segunda línea de defensa permite a la organización garantizar el cumplimiento y la supervisión de los marcos, políticas y herramientas que respaldan la identificación de riesgos emergentes y, en última instancia, las capacidades de gestión de riesgos y cumplimiento de la organización.
- La tercera línea de defensa
La función de tercera línea proporciona una garantía objetiva e independiente por parte de los auditores internos a los reguladores y auditores externos de que la cultura de control en toda la organización es eficaz en su diseño y funcionamiento.
El modelo de las 3 líneas
El Instituto de Auditores Internos publicó los modelos mejorados de las tres líneas para ayudar a las organizaciones a alcanzar sus objetivos. Si bien las tres unidades de las tres líneas son esenciales para crear un proceso de gestión de riesgos coherente, el marco no es tan claro hoy en día como lo era antes. En la actualidad, las empresas están evolucionando por necesidad, ya que deben responder a nuevas regulaciones, normas, leyes y tecnologías.
Este cambio continuo afecta a las operaciones empresariales a todos los niveles: los clientes exigen interacciones en tiempo real, los reguladores aplican niveles cada vez más estrictos de control y las partes interesadas en la gobernanza exigen garantías en este entorno de riesgo complejo y dinámico. Un ejemplo de ello serían las regulaciones industriales como la Ley Sarbanes-Oxley (SOX), que ha impuesto normas más estrictas sobre los niveles de control en torno a los controles financieros y otros factores de riesgo operativo.
En respuesta a un panorama cambiante, el Instituto de Auditores Internos (IIA) desarrolló y publicó el modelo mejorado de las tres líneas para ayudar a las organizaciones a identificar las estructuras y los procesos que mejor ayudan a los líderes empresariales a alcanzar sus objetivos, al tiempo que se mantienen unos procesos sólidos de gobernanza y gestión de riesgos. En el modelo mejorado, la auditoría interna (AI) desempeñaría un papel clave y activo en la identificación de las ineficiencias actuales, de modo que fomente estratégicamente la innovación.
Aunque el modelo de las tres líneas es similar al conocido 3LoD, sirvió para aportar más claridad a los principios subyacentes, al tiempo que ofrecía una explicación más completa de las funciones y responsabilidades de los puestos clave de la organización y de cómo pueden colaborar para facilitar una gobernanza y una gestión de riesgos sólidas. El modelo de las tres líneas sirve para orientar a las figuras clave de la organización a la hora de implementar y tomar medidas que alineen sus objetivos empresariales con los intereses clave de las distintas partes interesadas.
¿Cómo puede Alyne desempeñar un papel clave en la evolución y el fortalecimiento del marco de gestión de riesgos de su organización?
La plataforma digital de Alyne permite a los líderes empresariales mejorar la eficiencia en materia de cumplimiento normativo mediante la realización de una única evaluación y la comparación del cumplimiento con múltiples normativas o estándares. Los diferentes grupos dentro de las organizaciones desempeñan un papel distinto dentro del modelo de las tres líneas, desde las unidades de negocio hasta el personal de cumplimiento normativo, auditoría y otros responsables de la gestión de riesgos.
En el reciente desarrollo de la plataforma Alyne, las funciones de segunda línea ahora cuentan con un mejor soporte en todos los aspectos de GRC para su trabajo diario, ya que nuestra plataforma digital les ayuda a examinar diferentes áreas de riesgo con más detalle que nunca.
Mejore la gobernanza en toda su empresa
Alyne ha lanzado recientemente una nueva funcionalidad llamada Documentos y asignaciones de documentos, que se ve potenciada por la capacidad de procesamiento del lenguaje natural (NLP) para aportar transparencia y flexibilidad a las normativas. Esta funcionalidad respalda su proceso de mapeo manual sugiriendo controles de forma inteligente.
Garantice el cumplimiento continuo con una visión general clara
Alyne's Supervisión continua de controles de Alyne garantiza una visión general actualizada y adecuada de la situación de cumplimiento normativo de su organización. Con esta funcionalidad, los actores de segunda y tercera línea podrán supervisar de forma continua la madurez de los controles en todos los activos y analizar cómo han cambiado a lo largo del tiempo. Esto permite a los líderes empresariales obtener información en tiempo real sobre las deficiencias individuales y estructurales, de modo que puedan reaccionar con rapidez si es necesario.
Mitigar los riesgos a medida que evolucionan
El área interdisciplinaria de la gestión de riesgos abarca todas las funciones del modelo de tres líneas. La primera y la segunda línea identifican, evalúan, tratan y supervisan los riesgos, mientras que la tercera línea vigila las actividades de forma independiente. Con Alyne, se pueden tomar decisiones activas sobre el tratamiento de cada riesgo: se puede optar por la limitación, la transferencia, la evitación o la aceptación.
Además, las medidas de mitigación y las tareas asociadas a ellas se desacoplan para mejorar la trazabilidad y el seguimiento, con el fin de facilitar la colaboración en toda la organización. La plataforma de Alyne también permite asignar tareas a los responsables de las medidas de mitigación respectivas o a cualquier persona que pueda ser responsable.
Escrito en colaboración por:
Tamara Gurschler y Eunice Cheah
