El modelo de las tres líneas de defensa (3LoD) sirve para estructurar y explicar los roles y responsabilidades para la toma de decisiones, y la administración de los riesgos y controles, a fin de lograr un gobierno efectivo de la gestión y aseguramiento de los riesgos dentro de la organización.
En el más alto nivel del gobierno de la gestión de riesgos, la Junta Directiva (Directorio o Consejo de Administración) proporciona lineamientos a la alta dirección mediante el establecimiento de los niveles de apetito y tolerancia al riesgo. Asimismo, solicita identificar los principales riesgos que enfrenta la organización. A partir de entonces, la Junta se asegura, de forma continua, que la alta dirección está respondiendo adecuadamente a esos riesgos.
La Junta delega al CEO (la gerencia general) y a la alta dirección, la propiedad y responsabilidad principal de la gestión y control de los riesgos. Ellos deberán dirigir y orientar a los empleados a fin de que puedan gestionar los riesgos y controlar las actividades de asunción de riesgos en relación con el nivel acordado de apetito por el riesgo.
Para garantizar la eficacia del marco de gestión de riesgos dentro de una organización, la Junta y la alta dirección necesitarán poder confiar en funciones de línea adecuadas —incluyendo funciones de monitoreo y aseguramiento— dentro de la organización. En 2013, el Instituto de Auditores Internos (IAA) norteamericano aprobó el modelo de las "tres líneas de defensa" (3LoD) como una manera de explicar la relación entre estas funciones y como una guía de cómo deben dividirse las responsabilidades. El modelo ha sido adoptado en todo el mundo por su claridad y eficacia en su aplicación.
El modelo de las 3LoD distingue tres grupos (o líneas) que participan en una efectiva gestión de riesgos:
En el modelo, el control de la gerencia es la primera línea de defensa en la gestión de riesgos; las varias funciones de supervisión de riesgos, controles y cumplimiento establecidas por la administración, son la segunda línea de defensa; y el aseguramiento independiente es la tercera.
Cada una de estas "líneas" juega un papel distinto dentro del marco de gobernabilidad de la organización. Las tres líneas deberían existir de alguna forma en todas las organizaciones, independientemente de su tamaño o complejidad. La gestión del riesgo normalmente es más fuerte si existen estas tres líneas de defensa separadas y claramente identificadas.
Fuentes:
Chartered Institute of Internal Auditors. (2015). Governance of risk: Three lines of defence. Recuperado de https://www.iia.org.uk/threelines
Instituto de Auditores Internos. (2013). Las tres líneas de defensa para una efectiva gestión de riesgos y control. Declaración de Posición. Recuperado de
https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control%20Spanish.pdf
Lvov, B. (2009). The three lines of defence. Audit Comitee Institute in Russia. Recuperado de https://www.kpmg.com/RU/en/IssuesAndInsights/ArticlesPublications/Audit-Committee-Journal/Documents/The-three-lines-of-defence-en.pdf
En el más alto nivel del gobierno de la gestión de riesgos, la Junta Directiva (Directorio o Consejo de Administración) proporciona lineamientos a la alta dirección mediante el establecimiento de los niveles de apetito y tolerancia al riesgo. Asimismo, solicita identificar los principales riesgos que enfrenta la organización. A partir de entonces, la Junta se asegura, de forma continua, que la alta dirección está respondiendo adecuadamente a esos riesgos.
La Junta delega al CEO (la gerencia general) y a la alta dirección, la propiedad y responsabilidad principal de la gestión y control de los riesgos. Ellos deberán dirigir y orientar a los empleados a fin de que puedan gestionar los riesgos y controlar las actividades de asunción de riesgos en relación con el nivel acordado de apetito por el riesgo.
Para garantizar la eficacia del marco de gestión de riesgos dentro de una organización, la Junta y la alta dirección necesitarán poder confiar en funciones de línea adecuadas —incluyendo funciones de monitoreo y aseguramiento— dentro de la organización. En 2013, el Instituto de Auditores Internos (IAA) norteamericano aprobó el modelo de las "tres líneas de defensa" (3LoD) como una manera de explicar la relación entre estas funciones y como una guía de cómo deben dividirse las responsabilidades. El modelo ha sido adoptado en todo el mundo por su claridad y eficacia en su aplicación.
El modelo de las 3LoD distingue tres grupos (o líneas) que participan en una efectiva gestión de riesgos:
- Funciones que son propietarias de los riesgos y los gestionan.
- Funciones que supervisan los riesgos.
- Funciones que proporcionan aseguramiento independiente.
En el modelo, el control de la gerencia es la primera línea de defensa en la gestión de riesgos; las varias funciones de supervisión de riesgos, controles y cumplimiento establecidas por la administración, son la segunda línea de defensa; y el aseguramiento independiente es la tercera.
Cada una de estas "líneas" juega un papel distinto dentro del marco de gobernabilidad de la organización. Las tres líneas deberían existir de alguna forma en todas las organizaciones, independientemente de su tamaño o complejidad. La gestión del riesgo normalmente es más fuerte si existen estas tres líneas de defensa separadas y claramente identificadas.
Fuentes:
Chartered Institute of Internal Auditors. (2015). Governance of risk: Three lines of defence. Recuperado de https://www.iia.org.uk/threelines
Instituto de Auditores Internos. (2013). Las tres líneas de defensa para una efectiva gestión de riesgos y control. Declaración de Posición. Recuperado de
https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control%20Spanish.pdf
Lvov, B. (2009). The three lines of defence. Audit Comitee Institute in Russia. Recuperado de https://www.kpmg.com/RU/en/IssuesAndInsights/ArticlesPublications/Audit-Committee-Journal/Documents/The-three-lines-of-defence-en.pdf
Comentarios
Publicar un comentario