DE LAS LÍNEAS DE DEFENSA A LAS LÍNEAS DE ASEGURAMIENTO.

Estándar

De las líneas de defensa a las líneas de aseguramiento. El impacto que el gobierno corporativo tiene en la revisoría fiscal.

El concepto y la práctica de las tres líneas de defensa están suficientemente generalizados y reconocidos en auditoría interna, teniendo incluso respaldo regulatorio y amplio apoyo profesional.

Son consideradas una herramienta efectiva en la administración y el control efectivos del riesgo.

Se les considera el núcleo de un proceso que requiere que antes de éstas se den (1) la vigilancia de

la administración del riesgo, y (2) la definición del riesgo. Y que después de tales defensas operen

(1) los auditores internos, (2) los reguladores, y (3) otros cuerpos externos.

La primera línea de defensa es la administración operacional. La segunda línea de defensa es la administración del riesgo y las funciones de cumplimiento. Y la tercera línea de defensa es la auditoría interna. Así lo señala un documento de posición del IIA, publicado en enero de 2013 con el título The three lines of defense in effective risk management and control.

Analizando con mayor detalle las tres líneas de defensa, se considera que sus componentes son:

• Primera línea de defensa: Controles de la administración; Medidas de control interno.
• Segunda línea de defensa: Contraloría financiera; Seguridad; Administración del Riesgo;

Calidad; Inspección; y Cumplimiento.

• Tercera línea de defensa: Auditoría interna, definida en el contexto de los estándares internacionales de auditoría interna, como “una actividad independiente y objetiva de aseguramiento y consultoría, diseñada para agregar valor y mejorar las operaciones de la organización. Le ayuda a la organización a lograr sus objetivos mediante ofrecer un enfoque sistemático, disciplinado, para evaluar y mejorar la efectividad de los procesos de administración del riesgo, control, y gobierno.”

Al constatarse el escalado de las expectativas de reguladores, agencias de crédito, inversionistas institucionales, asociaciones de directivos, y de los clientes tanto de la auditoría interna como de la administración de riesgos de la empresa (ERM), ha surgido un nuevo paradigma denominado cinco líneas de aseguramiento como parte del proceso de reinventar la auditoría interna y elevar el rol de la junta y del CEO en el gobierno del riesgo. Tal escalamiento ha llevado a adicionar dos nuevas líneas de defensa:

• Cuarta línea de defensa: el rol de la junta de directores
• Quinta línea de defensa: el rol de la administración ejecutiva

Otros, prefieren describirlas de una manera diferente: El tono de la organización; Administración de la unidad de negocios y propietarios de los procesos; Funciones internas independientes de administración del riesgo y cumplimiento; Proveedores de aseguramiento interno; y, Vigilancia del riesgo de la junta y administración ejecutiva

En relación con este modelo ya se dispone de orientación que tiene el carácter de autoridad, e incluso Richard Leblanc, que es una autoridad académica internacional reconocida, lo ha incorporado en su manual de gobierno de la junta.

Lo anterior, expresado en términos de aseguramiento, obliga necesariamente a diferenciar los niveles de aseguramiento interno y aseguramiento externo.

El aseguramiento interno, ahora es dado por: Administración de la línea operativa; Funciones tácticas de vigilancia; Aseguramiento interno independiente; Administración ejecutiva; y Junta de directores

Y el aseguramiento externo es dado por: Auditores externos, Accionistas, Agencias calificadoras, y

Reguladores

Se completa así un esquema que en realidad tiene nueve líneas de aseguramiento. Este esquema se expresa en términos del ciclo de vida del aseguramiento, busca balancear la defensa y el ataque. Si bien no está claro cuál es el ataque. Para muchos es el riesgo que se asume, aunque para otros es el modelo de negocio. Lo que está claro es que la junta de directores asume ahora un rol mucho más proactivo en impulsar el negocio, agregar valor y administrar los riesgos, no tanto en controlar o verificar hechos pasados.

Los esfuerzos del presente están orientados a ‘cerrar el círculo,’ esto es, que haya un enfoque completamente integrado. No se eliminan las tres líneas de defensa, sino que se las complementa.

Por eso las expresiones ‘cinco líneas de aseguramiento’ (las tres líneas tradicionales de defensa más el rol de la junta de directores y más el rol de la administración ejecutiva) o ‘aseguramiento interno y externo’ (que en el fondo lleva a reconocer nueve líneas de defensa/aseguramiento).

Se trata de un proceso que está vivo y evolucionando continuamente. Principalmente en las entidades globales y en las empresas más grandes. Pero que tiene un efecto en cadena hacia las otras empresas. La clave está en cómo se está desarrollando el gobierno corporativo efectivo y las prácticas asociadas a ello.

Esto tiene consecuencias en la revisoría fiscal, pero implica cambios al código de comercio. Para recoger, de verdad, lo relacionado con el gobierno corporativo, tal y como se entiende en el presente. Para dejar de hablar de juntas directivas y entender que se trata de junta de directores.

Para entender que, si bien todas las funciones son importantes, hay unas que son incompatibles con otras y por eso no se pueden concentrar ni en un solo profesional, ni en un solo proceso, ni en un solo informe.

Definitivamente la clave está en entender que el mundo de las defensas y el aseguramiento fue un mundo de soluciones generalistas (una misma solución, un mismo esquema, para todo) pero ahora es un mundo de soluciones especializadas (funciones independientes, a la medida de las diferentes necesidades, ajustadas a las nuevas realidades, proactivas, de cara al futuro).

Ciertamente esto apoya diferenciar las actuales funciones de la revisoría fiscal en funciones que son de:

(1) Auditoría de estados financieros, según los estándares internacionales de auditoría

(2) Auditoría interna, según los estándares internacionales de auditoría interna

(3) Funciones de certificación, a cargo de quienes tienen los cargos respectivos al interior de

la organización, por las áreas específicas de su responsabilidad

(4) Funciones de cumplimiento, según la autoridad respectiva, orientadas a garantizar el cumplimiento de las normas legales y regulatorias

Ello implica que un mismo profesional no puede desempeñar, simultáneamente y para la misma organización, esos cuatro conjuntos de funciones.

Necesariamente las cosas deben cambiar. La revisoría fiscal necesita una transformación completa. Pero hay quienes, tercamente, insisten en mantener el modelo actual de que el revisor fiscal lo haga todo. Y luego se quejan de que es una institución que concentra demasiados riesgos.

https://samantilla1.net/ https://www.samantilla1.com/

LinkedIn: Samuel Alberto Mantilla B. Twitter: @SAMantilla1