Você está na página 1de 17

Aplicando las cinco líneas de defensa en la gestión del riesgo

Traducción no oficial, con fines académicos

Fuente: Applying the Five Lines of Defense in Managing Risk


https://www.protiviti.com/OM-en/insights/bulletinv5-i4

Se aprendieron muchas lecciones de la crisis financiera. Por ejemplo, si un jefe


ejecutivo ignora las señales de advertencia de la función de gestión de riesgos, se
resiste a la información contraria sugiriendo que la estrategia corporativa no está
funcionando o perdiendo relevancia, o no considera los riesgos críticos al evaluar si
entra o no en un nuevo mercado una adquisición compleja, los accionistas y otros
constituyentes pueden terminar pagando un alto precio.
Los problemas se agravan cuando la gerencia no involucra a la junta con asuntos
estratégicos e importantes asuntos de política de manera oportuna, o la junta no
posee el conocimiento para comprender o cuestionar la visión de la administración
de los riesgos críticos de la empresa y ejercer una supervisión efectiva. El resultado
puede ser la rápida pérdida de valor empresarial que llevó décadas construir.
¿Cómo se salvaguarda una organización contra tales desarrollos? Un marco de
"líneas de defensa" diseñado e implementado de forma efectiva puede proporcionar
garantías sólidas. Este número de The Bulletin explora cinco líneas esenciales de
defensa.

¿Cuál es el modelo de líneas de defensa? Esencial para la gestión eficaz del riesgo,
el modelo de líneas de defensa está implícito en el marco de control interno
recientemente emitido de COSO a través del entorno de control, actividades de
control, monitoreo y otros componentes de un sistema de control interno1. Brinda
seguridad a la junta directiva , como representantes electos de los accionistas para
supervisar las operaciones de la organización en su nombre, los riesgos se reducen
a un nivel manejable según lo dictado por el apetito de riesgo de la organización.
Mucho más que "segregar deberes incompatibles" y "asegurar controles y
equilibrios", el modelo de líneas de defensa enfatiza un concepto fundamental de
gestión de riesgos: desde la sala de juntas hasta los procesos orientados al cliente,
la gestión del riesgo es responsabilidad de todos. Una visión común del modelo de
líneas de defensa es desde el punto de vista de la dirección ejecutiva y la junta
directiva, es decir, que hay tres líneas de defensa. La gestión de la unidad de
negocio y los propietarios del proceso / riesgo comprenden la primera línea, las
funciones independientes de riesgo y cumplimiento son la segunda línea, y la
auditoría interna es la tercera línea2. Este punto de vista tiene un mérito
considerable. Sin embargo, desde el punto de vista de los accionistas y otras partes

1
Ver Control interno - Marco integrado, El Comité de organizaciones patrocinadoras de la Comisión
Treadway (COSO), 2013, disponible en www.coso.org.

2
Este punto de vista se encuentra en "Risk Management: Easy as 1 ... 2 ... 3", publicado por el Instituto de
Auditores Internos (IIA), en Tone at the Top, Número 60, febrero de 2013. Además, ISACA ha publicado
un punto de vista de la implementación estratégica de tres líneas de defensa como el primer principio de
su marco de gestión de riesgos. La visión de ISACA de tres líneas de defensa difiere ligeramente de la de
los IIA, ya que agrega la junta directiva junto con la auditoría interna como tercera línea de defensa.
Solvencia II incorpora tres líneas de defensa en sus publicaciones con un pensamiento similar a lo largo
de las líneas de ISACA.
interesadas externas (punto de vista de un actor externo), vemos dos líneas de
defensa adicionales. Un modelo de cinco líneas de defensa se muestra arriba:

En conjunto, las cinco líneas de defensa anteriores respaldan la ejecución de las


capacidades de gestión de riesgos de la organización. El razonamiento subyacente
a estas cinco líneas de defensa se detalla a continuación:

1. La gerencia superior, bajo la supervisión de la junta, debe establecer y


reforzar el tono de "todos son responsables" al ubicar cada una de las líneas
de defensa para que funcionen de manera efectiva. Las otras líneas de
defensa refuerzan este tono de la organización.
2. Los responsables de las unidades y procesos que crean riesgos deben
aceptar la responsabilidad final de poseer y administrar los riesgos que crean
sus unidades y procesos, así como establecer el tono adecuado para
gestionar estos riesgos de forma consistente con el "tono en la parte
superior".
3. La gestión y el cumplimiento de riesgos efectivos requieren una voz
independiente y autorizada para garantizar que exista un marco empresarial
para gestionar el riesgo, los propietarios de riesgos hagan su trabajo de
acuerdo con ese marco, los riesgos se midan de forma adecuada, se
respeten y cumplan los límites de riesgo y se informe y los protocolos de
escalamiento funcionan como se esperaba.
4. La auditoría interna proporciona la seguridad de que otras líneas de defensa
funcionan de manera efectiva y debe utilizar el marco de las líneas de
defensa como una forma de agudizar su propuesta de valor al enfocar sus
actividades de aseguramiento de manera más amplia en la gestión de
riesgos.
5. Bajo la supervisión de la junta directiva, la gerencia ejecutiva debe manejar
la inevitable tensión entre las actividades de creación de mercado y las
actividades de control, asegurando que estas actividades estén equilibradas
de forma tal que ninguna de ellas sea demasiado desproporcionada en
relación con la otra. La dirección ejecutiva debe alinear el proceso de
gobierno, la gestión de riesgos y el control interno para alcanzar el equilibrio
adecuado y optimizar la tensión natural entre la creación de valor y la
protección del valor. Lo que es más importante, deben actuar sobre la
información de riesgo de manera oportuna cuando se les escale e involucrar
a la junta de manera oportuna cuando sea necesario.

Cada una de las líneas de defensa anteriores se analiza con más detalle en las
secciones que siguen.

La primera línea de defensa: el tono de la organización


"Tono de la organización" es una frase que acuñamos para describir el impacto
colectivo del tono en la parte superior, el tono en el medio y el tono en la parte
inferior sobre la gestión del riesgo, el cumplimiento y el comportamiento empresarial
responsable. Si bien el tono en la parte superior es importante y una base vital,
existe una importante realidad empresarial que los líderes deben comprender a
medida que se comunican a la baja con la visión de la organización, misión, valores
centrales y compromiso con un comportamiento ético apropiado: lo que realmente
impulsa el comportamiento en una organización es lo que sus empleados ven y
oyen todos los días desde los mandos intermedios contradice los mensajes y
valores transmitidos desde la parte superior, no tomará mucho tiempo para que los
empleados de niveles inferiores lo noten3.
El énfasis de arriba hacia abajo en el comportamiento empresarial ético y
responsable en cualquier organización es tan fuerte como su vínculo más débil. Es
por eso por lo que el tono de la organización en la parte superior debe traducirse en
un tono efectivo en el medio antes de que pueda llegar al resto de la organización.
El tono eficaz en la parte superior es un requisito previo para un compromiso de
mejora continua que es esencial para reducir los riesgos a un nivel aceptable e
impulsar el comportamiento empresarial responsable en un entorno comercial
cambiante. Lo que es más importante, las acciones y los comportamientos reales

3
"Enfóquese en el 'tono de la organización'", Perspectivas de la Junta: Control de riesgos, Número 38,
disponible en www.protiviti.com.
de los ejecutivos refuerzan o socavan el tono implícito articulado por el ejecutivo y
la gerencia de línea a través de políticas y otras comunicaciones. Por ejemplo, si la
administración mira hacia otro lado cuando se violan las políticas o maneja mal un
dilema ético, el conjunto de ejemplos está ahí para que todos lo vean con los efectos
correspondientes en el tono de la organización. Las palabras y los hechos cotidianos
van de la mano.
El tono de la organización influye en su cultura de riesgo: la manera en que el
personal de la organización percibe y gestiona el riesgo. Sin un tono claro de la
organización y un refuerzo efectivo de las otras líneas de defensa, las personas
tenderán a gestionar el riesgo de forma diferente. Debe quedar claro para todos que
la gerencia ejecutiva y la junta valoran la administración de riesgos y el cumplimiento
como disciplinas importantes junto con la gestión del negocio y la búsqueda de
oportunidades de creación de valor. Los gerentes de unidad y la gerencia media
también deben compartir esa visión. Eso significa que la gerencia en todos los
niveles debe demostrar, a través de políticas y otras comunicaciones de arriba hacia
abajo, a los gerentes de incentivos a quienes informan. Si el comportamiento de las
unidades y estructuras de compensación, y la toma de decisiones cotidianas, las
acciones y los valores exhibidos, ese riesgo de gestión es una organización
imperativa, y el trabajo de todos.

La gerencia ejecutiva inicia este tono impulsando la perspectiva de "todos son


responsables" en toda la organización y posicionando cada una de las líneas de
defensa respectivas para que funcionen de manera efectiva. La junta debe estar
atenta para garantizar que no haya nada que obligue a las funciones de gestión y
cumplimiento de riesgos (tercera línea de defensa) y auditoría interna (cuarta línea
de defensa) a informar cuando surjan problemas de riesgo críticos. Las sesiones
ejecutivas periódicas con los líderes funcionales adecuados y el director ejecutivo
de auditoría pueden ser útiles en este sentido. En cuanto a un proceso de
escalamiento formalizado, incluso en circunstancias en las que el director ejecutivo
(o preferiblemente un comité ejecutivo de riesgos) resuelve disputas entre la
segunda y tercera línea de defensa, la junta debe ser informada si tales disputas
son sobre asuntos importantes o llamadas cercanas.

Algunas señales de advertencia (en la primera línea)

1. Hay una rotación significativa de ejecutivos clave y / o evidencia de


estrategias poco realistas, presiones de desempeño inapropiadas,
estructuras de compensación desequilibradas, o hay un presidente
ejecutivo demasiado dominante que castiga a los ejecutivos que
entregan malas noticias, entre otras cosas.
2. Los gerentes de línea media y funcionales no están efectivamente
alineados en términos de la visión, misión, valores centrales, estrategia
y respuestas de riesgo de la organización.
3. El riesgo es una idea de último momento para el establecimiento de
estrategias y la planificación empresarial (por ejemplo, la
administración no considera explícitamente los riesgos al actualizar la
estrategia o el plan comercial); la gestión de riesgos es un apéndice de
la gestión del rendimiento.
4. Una clara política de escalamiento con respecto al riesgo significativo
y los asuntos de cumplimiento no existen.
5. Existe tolerancia a los conflictos de intereses en la ejecución de
actividades comerciales significativas.

La segunda línea de defensa: gestión de unidades de negocio y propietarios


de procesos

Dado el tono de la organización, la implementación de un marco de gestión de


riesgos requiere la identificación de los propietarios del riesgo porque sin ellos, nadie
es responsable de la gestión del riesgo.
La resolución de la cuestión de la propiedad de los riesgos críticos es una tarea
clave en la implementación de la gestión de riesgos. Si hay lagunas (sin propietario
de un riesgo) o se superponen (demasiados propietarios de un riesgo), deben
abordarse y, si los riesgos son críticos, esto debe suceder lo más rápido posible.
¿Quién decide las capacidades necesarias para gestionar un riesgo determinado?
¿Quién diseña estas capacidades? ¿Quién ejecuta? ¿Quién supervisa el
rendimiento?
Estas consideraciones están implícitas en la cuestión de la propiedad del riesgo y
son importantes porque los propietarios del riesgo constituyen la segunda línea de
defensa.

Los propietarios de riesgos, como mínimo, deben hacer tres cosas:

 Primero, deben decidir sobre las respuestas de riesgo para implementar. Si


bien pueden obtener la aprobación de la gerencia ejecutiva, la estrategia de
respuesta al riesgo es suya, y la aceptan como propia.
 En segundo lugar, deben diseñar las capacidades para gestionar el riesgo de
acuerdo con la respuesta de riesgo seleccionada y de acuerdo con el apetito
de riesgo definido. Preferiblemente abordando las causas de origen o raíz
del riesgo, el diseño específico debe considerar las políticas apropiadas,
procesos específicos y actividades de control, personal y habilidades
necesarias, mecanismos de reporte de gestión, metodologías de apoyo y
sistemas y datos necesarios para asegurar que la respuesta de riesgo
seleccionada sea implementada de manera efectiva.
 Finalmente, los propietarios de riesgos monitorean4 las capacidades de
gestión de riesgos establecidas a lo largo del tiempo para garantizar que
funcionen de la manera prevista. Si se observan deficiencias, las solucionan
de manera oportuna. Con respecto a la creación y ejecución de capacidades
de gestión de riesgos, los propietarios de riesgos pueden optar por
externalizar estas responsabilidades; Al hacerlo, su propiedad del riesgo no
se verá comprometida mientras continúen decidiendo, diseñando y

4
Además de los propietarios de riesgos, las funciones independientes de gestión de riesgos y
cumplimiento (que comprenden la tercera línea de defensa) también supervisan las capacidades de
gestión de riesgos.
supervisando. La premisa aquí es si una persona no puede tomar decisiones
importantes, no es responsable de la adecuación del diseño, y no monitorea
la efectividad operacional de la respuesta al riesgo, ¿cómo puede él o ella
ser un propietario efectivo del riesgo?

Los propietarios de riesgos incluyen gerentes de unidades de negocio y propietarios


de procesos. Al asumir la responsabilidad primaria de identificar, priorizar, obtener,
administrar y monitorear riesgos, constituyen la segunda línea de defensa. Como
principales dueños del riesgo, establecen objetivos, establecen respuestas de
riesgo, capacitan al personal y refuerzan las estrategias de respuesta al riesgo. En
resumen, implementan y mantienen procedimientos de control interno efectivos en
el día a día y están mejor posicionados para integrar las capacidades de gestión de
riesgos con las actividades que crean los riesgos.

Algunas señales de advertencia (en la segunda línea)

1. La responsabilidad de la gestión del riesgo no está adecuadamente


definida o vinculada al sistema de recompensa o, lo que es peor, el
programa de compensación incentiva una desenfrenada toma de
riesgos.
2. Hay evidencia de competencia interna insalubre y / o presión
significativa para lograr objetivos poco realistas, fomentando una
"cultura guerrera" que puede llevar a comportamientos comerciales
inaceptables y asumir riesgos inapropiados.
3. Existe un enfoque limitado en "hacer los números", lo que puede
resultar en cambios que faltan en el entorno empresarial que afectan las
suposiciones críticas que subyacen a la estrategia comercial y dan
lugar a riesgos emergentes que requieren atención.
4. Los "artistas estrella" están ganando mucho dinero logrando un nivel
inesperadamente alto de rentabilidad y / o devoluciones, y nadie
entiende por qué.
5. Existen lagunas conocidas y / o superposiciones en las
responsabilidades para la gestión de riesgos significativos que no se
aborda

La tercera línea de defensa: gestión independiente del riesgo y funciones de


cumplimiento

La tercera línea de defensa consiste en la gestión de riesgos, el cumplimiento y


otras funciones independientes que establecen políticas de gestión de riesgos,
establecen estándares para gestionar el riesgo, imponen estructuras de límites y
proporcionan una supervisión adecuada de áreas de riesgo específicas. Estas
funciones determinan el marco apropiado para la gestión de los riesgos y garantizan
que los administradores de las unidades de negocio y los propietarios de los
procesos los implementen de forma efectiva y sistemática en toda la empresa.

Dependiendo de la industria, estas funciones pueden incluir cumplimiento,


medioambiente, control financiero, salud y seguridad, inspección, aprobación legal,
garantía de calidad, gestión de riesgos, seguridad y privacidad, cadena de
suministro y contratación. Como centros de excelencia, estas funciones colaboran
con los jefes de unidad y los propietarios del proceso para desarrollar y supervisar
los controles y otros procesos que mitigan los riesgos identificados. También
pueden llevar a cabo evaluaciones de riesgo independientes, desarrollar programas
de gestión de riesgos y alertar a la gerencia sobre cuestiones de riesgo
emergentes5.
Para ser verdaderamente objetivo y estar efectivamente ubicado dentro de la
organización, las funciones de administración de riesgos y cumplimiento deben
estar aisladas e independientes de las operaciones de la unidad de negocios y las

5
5 "Gestión de riesgos: fácil como 1 ... 2 ... 3," Tone at the Top ", número 60, febrero de 2013, publicado
por The IIA.
líneas de negocios y los procesos del negocio de primera línea y orientados al
cliente. ¿El CEO y la junta directiva quieren que alguien coordine, eduque, facilite,
evalúe e integre las actividades de gestión de riesgos? Si bien ese puede ser un
papel valioso para que alguien juegue, tales actividades no constituyen una línea de
defensa viable si no hay autoridad de veto y escalada. En el otro extremo, quieren
el CEO y la junta directiva:
 ¿Una evaluación objetiva de los riesgos resultantes de una línea de negocio,
proceso, transacción, acuerdo o plan de negocios, desglosados en los
componentes fundamentales del riesgo para que los riesgos puedan medirse
y evaluarse y gestionarse sistemáticamente?
 ¿Asesoramiento sobre las acciones a tomar si los riesgos inherentes a una
estrategia, plan, proceso, transacción o trato son inconsistentes con el apetito
de riesgo deseado?
 ¿Una parte calificada e independiente para ejercer el veto o la autoridad de
escalación cuando surgen situaciones que implican el incumplimiento de los
requisitos legales y reglamentarios y las políticas internas?
 ¿Reportes de riesgos significativos y procesables para la junta general, los
comités específicos de la junta y la alta gerencia que se desarrollan
independientemente de los propietarios de los riesgos?
 Evaluaciones continuas de la combinación apropiada de enfoques
centralizados y descentralizados para establecer políticas y estándares de
riesgo, definir el apetito por el riesgo y establecer umbrales y límites de
riesgo.
 ¿Revisiones periódicas de planes de compensación para considerar el
impacto de los factores de riesgo y el diseño de la estructura de
compensación en el comportamiento?

Claramente, las expectativas del CEO y la junta marcan la pauta para determinar si
existe una tercera línea de defensa robusta.

De acuerdo con la premisa de que los riesgos deben ser propiedad de las líneas de
negocio y los propietarios de los procesos que los generan, las funciones de gestión
de riesgos y cumplimiento no suelen ser las responsables de la gestión de riesgos
específicos. Generalmente operan en un rol estratégico de supervisión con
autoridad otorgada por el comité ejecutivo (o un comité de gestión de riesgo
designado), el CEO y / o el consejo (o un comité del directorio). Este enfoque de
supervisión estratégica es importante porque pueden surgir graves consecuencias
cuando hay cambios estratégicos y los riesgos resultantes no se analizan y
entienden de manera exhaustiva.

El posicionamiento de las funciones de gestión de riesgos y cumplimiento implica


varios principios importantes:
1. Cuanto más significativa sea el área de riesgo para la ejecución del modelo
comercial, mayor será la necesidad de que el líder funcional (como un
director de riesgos [CRO]) sea visto como un líder de línea par a negocio en
casi todos los aspectos (por ejemplo, compensación, autoridad y reporte
directo al CEO) y también a través de la jerarquía comercial y en toda la
organización. La única forma en que esto sucederá es si el CRO tiene el
alcance de las responsabilidades, la autoridad, la compensación y las líneas
de denuncia directas que exigen respeto. El paquete total de participación
activa en el proceso de establecimiento de estrategia, liderando la
formulación del enunciado de apetito de riesgo de la organización,
desarrollando mecanismos de informe de riesgo, presidiendo o participando
en comités de gestión de riesgos y, cuando corresponda, aumentando los
problemas de riesgo para el CEO y el consejo, debe transmitir a las líneas de
negocios y en toda la institución que el CRO es un jugador. Eso significa que
el CRO debe ser un ejecutivo clave que reporte directamente al CEO o al
consejo. Dependiendo de la industria, el mismo punto se puede aplicar a
aspectos delicados de las operaciones de una empresa, incluidos el medio
ambiente, la salud y la seguridad, la calidad del producto, la contratación, la
seguridad y la privacidad, y otras áreas. O bien estos ejecutivos tienen
verdadera autoridad y poder, o están relegados al papel de un simple
"campeón". La "C" en CRO debe significar algo.
2. El líder funcional debe tener una línea de informes para la junta o un comité
de la junta y no enfrenta restricciones de ningún tipo en términos de acceso
a la junta.
3. La posición del líder funcional y la forma en que interactúa con la gestión de
la línea de negocio debe estar claramente definida.
4. La junta o un comité designado por la junta debe llevar a cabo sesiones
ejecutivas periódicas con el líder funcional: estas sesiones deben ser
obligatorias y programarse regularmente.
5. Debe existir un proceso de escalamiento formalizado (por ejemplo,
procedimientos escritos y acuerdos que requieran la intensificación de
cualquier problema importante planteado por la función de administración de
riesgos y / o cumplimiento que estén siendo discutidos por los ejecutivos de
la línea de negocios).
Para que los principios anteriores funcionen de manera efectiva en la práctica, la
junta y el CEO deben tener un entendimiento mutuo del valor aportado por el rol del
líder funcional con la intención de preservar su rol independiente dentro de la
organización.

Algunas señales de advertencia (en la tercera línea)

1. La gestión del riesgo y el cumplimiento no se consideran compañeros


de los líderes de las líneas de negocio.
2. La gestión de riesgos y el cumplimiento no tienen una línea de informes
al directorio o enfrentan limitaciones para informar al consejo.
3. La junta, la alta gerencia y el personal operativo creen que administrar
el riesgo es el trabajo de una sola persona o función y no es un
imperativo organizacional o el trabajo de todos.
4. La administración no valora las funciones de gestión de riesgos y
cumplimiento en el mismo nivel de importancia como búsqueda de
oportunidad, o los ve como obstáculos para hacer las cosas.
5. Existe falta de claridad / definición en las funciones de gestión de
riesgos y cumplimiento, y cómo se relacionan con la gerencia de la línea
jerárquica, lo que deja a estos individuos justificando constantemente
su lugar en la conversación o luchando contra los "problemas de
césped" que distraen.

La cuarta línea de defensa: proveedores de aseguramiento interno

Controles de revisiones de auditoría interna y procedimientos de gestión de riesgos;


identifica riesgos, problemas y oportunidades de mejora; hace recomendaciones; y
mantiene informados a la junta y a la gerencia ejecutiva sobre el estado de los
asuntos abiertos que requieren resolución. Dos cosas distinguen la auditoría interna
de las otras líneas de defensa: (1) su alto nivel de independencia y objetividad
habilitado por la línea de informes directos del director de auditoría al consejo, y (2)
su autoridad para evaluar la efectividad del diseño y la efectividad operativa de los
procesos generales de gobernanza, gestión de riesgos y control interno de la
organización, y hacer recomendaciones para fortalecer estas actividades vitales a
considerar por el consejo y la administración.

Debido a sus distintas responsabilidades y al posicionamiento independiente, la


auditoría interna proporciona seguridad a la dirección ejecutiva y al consejo sobre
la adecuación y eficacia de estas actividades6.

En algunas organizaciones, la auditoría interna tiene la responsabilidad de fungir


como Oficina de gestión de proyectos (PMO) de Sarbanes-Oxley e implementar la
gestión de riesgos empresariales u otras tareas similares en otras áreas. Si bien
cada organización es diferente y la auditoría interna puede verse como una fuente
de recursos, tales asignaciones pueden limitar las capacidades de la función como
una línea de defensa separada.

Algunas señales de advertencia (en la cuarta línea)

6
"Gestión de riesgos: fácil como 1 ... 2 ... 3," Tone at the Top ", número 60, febrero de 2013, publicado
por The IIA.
1. El plan de auditoría interna se enfoca estrechamente en asuntos de
cumplimiento.
2. La auditoría interna no tiene una línea de informes para la junta o un
comité designado por la junta, o grandes limitaciones para informar, o
no puede reunirse con la junta o el comité de la junta en la sesión
ejecutiva.
3. La auditoría interna es responsable de la gestión de riesgos.
4. El presupuesto y los recursos de auditoría interna son limitados en
cuanto a la adquisición de las competencias necesarias para ampliar su
enfoque a la gestión de riesgos.
5. La gerencia ejecutiva no respalda las recomendaciones de auditoría
interna, por lo que las oportunidades de mejora no se abordan.

La línea final de defensa: Junta de supervisión de riesgos y gerencia ejecutiva

Tener conocimiento de una oportunidad emergente o riesgo sin convertir ese


conocimiento en decisiones difíciles y planes accionables es tan ineficaz como no
tener ningún conocimiento en absoluto. La prueba de fuego para la gestión del
riesgo y el cumplimiento se trata realmente de las decisiones que la administración
toma en el momento crucial bajo la dirección de la junta. Después de que cada línea
de defensa ha hecho su trabajo y los problemas y riesgos significativos se han
escalado a la cima de la organización, ¿qué sucederá a continuación? La junta
directiva y la gerencia ejecutiva juegan roles separados y distintos al proporcionar
la línea final de defensa. La capacidad de actuar sobre la información de riesgo
aumentada implica la ausencia de "puntos ciegos" generados por un
comportamiento disfuncional como una junta no comprometida, enfoque miope a
corto plazo en "hacer los números", falta de transparencia, una estructura de
compensación desequilibrada y otro tono -los principales problemas.

Las organizaciones deberían prestar atención a las causas fundamentales de que


la dirección ejecutiva ignore o postergue la decisión sobre las señales de
advertencia que indican que algo está mal o no funciona, particularmente en
situaciones en las que las partes objetivas, en retrospectiva, pueden ver fácilmente
que hubo un problema que requiere atención inmediata.

A menudo, los "puntos ciegos" surgen cuando la organización o la unidad de


negocios está ganando mucho dinero y nadie en la cima quiere "sacudir el barco".
Los beneficios pueden enmascarar el riesgo y generalmente no están ajustados
para el riesgo. Una falta de liderazgo y los puntos ciegos de la organización que
surgen de un comportamiento disfuncional por lo general socavarán incluso las
capacidades más sólidas de gestión de riesgos, independientemente de las
diversas líneas de defensa vigentes. La supervisión del riesgo de la junta
desempeña un papel importante para garantizar que la administración ejecutiva
maneje apropiadamente los problemas de riesgo escalonados e involucre a los
comités apropiados de la junta de manera oportuna. En última instancia, la dirección
ejecutiva debe responder a la junta sobre el manejo de los problemas escalados.
De esta manera, la gerencia ejecutiva y la junta son la última línea de defensa
cuando los problemas importantes se intensifican. En ese punto, todos los jefes de
la organización miran hacia la cima en busca de dirección.

Algunas señales de advertencia (en la quinta línea)

1. La administración no involucra a la junta en cuestiones estratégicas y


asuntos importantes de política de manera oportuna.
2. Las lagunas y superposiciones de propiedad de la gestión de riesgos,
las deficiencias significativas de control no resueltas, las infracciones
de cumplimiento no resueltas o las infracciones de las tolerancias y los
límites de riesgo no han disminuido.
3. La organización es demasiado insular en su perspectiva, lo que hace
que no "evalúe la realidad" sus suposiciones sobre los mercados y el
entorno operativo regularmente (p. Ej., La administración sigue
ejecutando la misma estrategia y modelo de negocio
independientemente de si las condiciones del mercado sugieren que las
suposiciones la estrategia pueden ser inválidas).
4. Hay evidencia de resistencia ejecutiva a las malas noticias, como un
alto ejecutivo dominante que se resiste a hechos contrarios que
sugieren que la estrategia actual requiere ajustes para ajustarse a las
realidades del mercado.
5. Existe tolerancia a los conflictos de intereses en la ejecución de
actividades comerciales significativas.

Los proveedores externos de aseguramiento y los reguladores no son una


línea de defensa

Cuando los examinadores y autoridades reguladores o auditores externos


descubren problemas importantes al ejercer sus responsabilidades de supervisión
o certificación, los accionistas incurren en un costo en forma de reducciones en la
capitalización bursátil derivadas de multas, penalidades, pérdida de ingresos o
erosión de la imagen de marca. Por lo tanto, si bien la existencia y el funcionamiento
de estos grupos externos agrega credibilidad a los mercados de capitales, no
constituyen una línea de defensa en el modelo que hemos afirmado.

Resumen

El modelo de cinco líneas de defensa descrito en esta publicación es un enfoque


integrado a través del cual una organización responde al riesgo. Establece el tono
apropiado para la organización. Posiciona a los líderes de la línea de negocio y a
los propietarios de procesos como los principales propietarios de los riesgos y los
hace responsables de los resultados. Posiciona las funciones independientes de
gestión de riesgos y cumplimiento con la autoridad de veto y / o escalada necesaria
para servir como una línea de defensa viable en lugar de servir como meros
campeones, facilitadores o reporteros. Y posiciona la auditoría interna para ampliar
su propuesta de valor a la gestión de riesgos. Además, este modelo proporciona
orientación a la dirección ejecutiva y al consejo sobre cómo la organización debe
abordar la gestión de riesgos y el cumplimiento, y les recuerda que cuando se les
llame la atención sobre cuestiones importantes, en última instancia depende de ellos
lograr el equilibrio adecuado entre crear y proteger el valor de la empresa. Su acción
o inacción en el momento crucial de la toma de decisiones podría influir
significativamente en la organización. Las cinco líneas de defensa también
proporcionan una poderosa "línea de visión" para el proceso de supervisión de
riesgos de la junta en términos de qué buscar y esperar.