El propósito del modelo de tres líneas de defensa era proporcionar claridad sobre los roles que supervisan los riesgos y los controles de la entidad. Hoy en día, muchas entidades se apoyan en un modelo de tres líneas de defensa autónomo, cada una de las cuales gestiona el riesgo sin coordinación estratégica. Esto a menudo deja a la tercera línea, auditoría interna, para desempeñar el papel de vigilar la segunda y primera línea. Como resultado de la falta de coordinación y alineación en la gestión de los riesgos y los controles, las entidades no logran alcanzar sus objetivos de gestión de riesgos, lo que lleva a actividades de aseguramiento ineficientes y a un mayor costo de cumplimiento.
Además, las funciones de control tienden a estar sobrecargadas en las actividades de mitigación de riesgos, careciendo del tiempo y la oportunidad de ayudar a la entidad en la creación de valor (toma de riesgos controlada) y lo que queda es una respuesta de gestión de riesgos de casilla de verificación.
Con el modelo de tres líneas recientemente actualizado por el Instituto de Auditores Internos (AII) ha establecido los principios e introducido una visión clarificada sobre la independencia de la Auditoría Interna, que fomenta la comunicación, coordinación, alineación y colaboración con el negocio (primera línea) y las funciones de control como la Gestión de Riesgos y el Cumplimiento (segunda línea). La estructura y la dinámica de la interacción dentro de las tres líneas variarán con la naturaleza y complejidad del negocio, la industria y el entorno regulatorio, así como la madurez de las diversas capacidades de las líneas.
En un mundo donde los eventos económicos y geopolíticos impredecibles han contribuido a una volatilidad implacable, es esencial que las funciones de riesgo y control amplíen sus capacidades para atravesar los silos y desarrollar capacidades de detección y medición de riesgos. Para hacerlo, las partes interesadas deben adoptar una mentalidad innovadora y tecnológica, que les permita repensar cómo se aborda la gestión de riesgos. En su esencia, el modelo actualizado de tres líneas es realmente una construcción agregada de roles y responsabilidades, que podría permitir el logro de una organización más inteligente en el riesgo.
–La autora es Socia de Risk Advisory Deloitte República Dominicana.