Las unidades de negocio, en el centro del modelo de las tres líneas de defensa

Desde que, en enero de 2013, se difundió el llamado “modelo de las tres líneas de defensa”, se ha ido consolidando como paradigma de gobernanza de las organizaciones empresariales de todo el mundo, de todos los sectores, actividades y tamaños.

Su finalidad es afrontar todos los riesgos a los que la compañía se expone y, para ello, configura un sistema de identificación, medición, priorización y gestión de esos riesgos sobre la base de tres «barreras» o «líneas de defensa».

En las entidades financieras, este modelo cobra especial importancia puesto que su normativa específica le atribuye carácter obligatorio y delimita funciones concretas para cada una de las líneas.

El caso Villarejo abre un nuevo frente en la gobernanza de Iberdrola

C. Raffin J. C. Peña

El esquema general es el siguiente:

• La primera línea la constituyen las propias unidades de negocio, que son dueñas de los procesos comerciales y operativos y, por tanto, de los riesgos del día a día. Disponen de una posición privilegiada para detectar y gestionar estos riesgos, por lo que deberán implementar procedimientos y controles específicos.
• La segunda línea la componen las unidades de cumplimiento normativo y gestión de riesgos (también llamadas funciones de control interno) y su misión es asesorar a las unidades de negocio y a la dirección de la compañía en la creación de los procedimientos y controles, y supervisar que se cumplen efectivamente.
• La tercera línea está formada por la función de auditoría interna, que proporciona una evaluación independiente y objetiva sobre la eficacia del marco de control de la entidad. Es decir, supervisa la actuación de las unidades de negocio y de las funciones de control interno y reporta directamente al órgano de administración y a los supervisores competentes.

El órgano de administración y la alta dirección de la compañía, a pesar de no constituir una línea como tal, presiden este modelo y tienen la responsabilidad última sobre él.

A pesar de la simplicidad del modelo y su facilidad para implantarlo en las organizaciones, las «tres líneas de defensa» han sido criticadas en los últimos años por la rigidez del sistema y su incapacidad para adecuarse a la realidad de las organizaciones actuales.

Ante esta situación, el Instituto de Auditores Internos (IIA, por sus siglas en inglés) expuso el pasado mes de abril una actualización de este modelo del que desaparecen las tres líneas (y la palabra “defensa”) y se sigue un enfoque basado en seis principios generales que se deberán adaptar a los objetivos y circunstancias de cada organización.

Como apuntábamos antes, las entidades financieras no tienen más remedio que seguir con las «tres líneas de defensa» y no podrán reformular ―aunque lo vieran conveniente― sus modelos de gobernanza conforme a las recomendaciones del IIA. Pero la normativa sí les permite un margen suficiente para mejorar los mecanismos de gestión de sus riesgos.

Y de todas las mejoras que pueden abordarse, las más importante son, a nuestro juicio, las que se refieren a la primera línea.

Las unidades de negocio son, en muchas ocasiones, y especialmente en las entidades de menor tamaño, las grandes olvidadas del modelo de las tres líneas de defensa. A diferencia de las funciones de control y de auditoría interna, la normativa no le impone obligaciones directas en las tareas de control por lo que muchas veces son vistas como áreas que controlar en lugar de como parte del propio sistema de control.

La participación de las áreas de negocio, por su conocimiento directo de las prácticas comerciales o de contratación, entre otras, es clave en la detección de los puntos débiles. También su visión para proponer soluciones realistas y eficaces, por su profundo conocimiento de los modelos de negocio y las dinámicas comerciales. Por eso, la creación de equipos específicos dedicados al control de las políticas y los procedimientos en el seno de las áreas de negocio es una tendencia que, además de ser muy necesaria, cobra cada vez mayor protagonismo.

Además, es necesario que estén coordinados y tengan una interlocución permanente con la segunda y la tercera línea de defensa. Cumplimiento Normativo y Gestión de Riesgos, por un lado y Auditoría Interna, por otro, deben asesorar a las áreas de negocio desde el inicio, participando en la detección de nuevas normas y riesgos, en la elaboración de procedimientos y controles adecuados, e involucrándose en el lanzamiento de nuevas actividades, productos y modelos de negocio.

De esta forma, el papel de la segunda y tercera líneas no se limita a la revisión a posteriori y la verificación del cumplimiento de los requerimientos externos e internos, sino que contribuye directamente a una gestión prudente de las compañías y a la creación de valor a largo plazo.

Este enfoque es cada vez más relevante en un mundo digital e inmediato, donde la definición de los procedimientos y los modelos de control tiene que asegurar un cumplimiento de la normativa «desde el diseño», y no esperar a controles a posteriori, cuando el daño ya está hecho.

Así, además de otorgar mayor seguridad jurídica y reducir los errores humanos, permite asignar los recursos de las organizaciones a tareas de mayor valor añadido y mejorar su eficiencia.

Estamos convencidos de que este es el camino adecuado y, por eso, es una satisfacción acompañar a muchas entidades en estos procesos de mejora, tan necesarios.

*Maite Álvarez y Jorge Ferrer son asociada senior y socio, respectivamente, de FinReg360