El marco de referencia COSO de Control Interno y el modelo de tres

líneas de defensa: el caso de la eficiencia versus la protección en la

industria de servicios financieros
El marco de referencia COSO de Control Interno y el modelo de tres líneas de
defensa: el caso de la eficiencia versus la protección en la industria de servicios
financieros

Bismark Rodríguez

En los últimos meses, junto con mi equipo de trabajo, hemos estado inmersos en
algunas implementaciones del nuevo marco de referencia COSO 2013 para el
fortalecimiento de los sistemas de control interno, nos hemos involucrado en
algunas implementaciones de modelos de riesgos para la prevención del lavado
de dinero, hemos re-enfocado metodología de trabajo de riesgos operacional, en
especial en materia de prevención de fraude y estamos implementando algunas
soluciones automatizadas para monitoreo de riesgos y control. En todas estas
iniciativas llevadas a cabo por diversas entidades financieras en la región ha
estado presente la preocupación sobre si fortalecer riesgos y controles internos
incide en hacer menos eficientes los procesos y modelos operacionales en uso y,
por lo tanto, se pierde agilidad en la forma de hacer negocios. En todo caso, una
preocupación válida. La vieja máxima “el costo de un control no debe exceder el
beneficio que genera la actividad que se está ejecutando” nunca ha estado más
vigente que ahora.

Veamos algunos temas que nos harán reflexionar sobre qué estamos haciendo
para hacer resiliente a los mismos, el modelo de administración de riesgos y el
sistema de controles internos de sus organizaciones:

►         Incrementada supervisión regulatoria y nuevas normativas para

cumplimiento;

►         Reducciones de los márgenes de interés neto;

►         Dificultad en el manejo de costos y gastos operacionales;

►         Fugas en productos y procesos que generan ingresos perdidos o no

percibidos;

►         La búsqueda de segmentos de mercado y nichos donde ser líderes y más

rentables;

►         La gestión del talento y la necesaria creación de una cultura

organizacional;

►         La aparición de nuevos riesgos emergentes en materia de innovación

tecnológica;
►         Amenazas relacionadas con la cyber-seguridad y el fraude interno y
externo.

 Ante estos temas, las preguntas que la Alta Administración y la Junta Directiva
deberían estarse formulado serían: ¿Qué estamos haciendo para atender los
riesgos que traen consigo? ¿Tenemos estrategias para responder a estos
riesgos? ¿Nuestro sistema de control se mantiene inmune a estos temas?

Por un lado, las partes interesadas al negocio de servicios financieros están

requiriendo mayor protección del valor patrimonial, económico y reputacional de
las organizaciones financieras. Por otro lado, organizaciones y grupos como
Basilea, OCDE, GAFI, entes de supervisión regulatoria, entidades multilaterales de
financiamiento, están subiendo la barra para mayores controles del riesgo del
negocio y apostando a la sostenibilidad de los sistemas financieros y sus actores
con estrategias de apalancamiento más conservadoras a las observadas en años
anteriores. Este es “el caso de la eficiencia versus la protección en la industria de
servicios financieros”.

Marco de Referencia de Control Interno: COSO 2013 –

La aparición de este nuevo marco de referencia está orientado a la aplicación de

17 principios de control repartidos en cinco elementos que estructuran el sistema
de control interno sobre tres componentes claves: eficiencia operacional;
reportes internos y externos y; cumplimiento de leyes y regulaciones; lo cual
implicó la revisión en algunas organizaciones de temas diversos tales como: el
enfoque de gestión de riesgos, la estructura de gobierno corporativo, la calidad
de la reportería gerencial interna y externa, la efectividad de los sistemas de
prevención de fraude y de lavado de activos, la cobertura de los planes de
capacitación, entre muchos otros elementos.

Dado que existe ya mucha referencia en Internet y otros medios, sobre los
detalles de este marco de referencia, haré énfasis en 5 elementos claves que creo
pueden ayudar a reflexionar en cómo adaptar o adoptar un marco de referencia
de control, sea COSO o sea cualquier otro:

1. Asegurar la consistencia y factibilidad de un marco de referencia

institucional: Esto sugiere definir una visión y una propuesta de valor del
marco de referencia que será implantado o revisado, lo cual debe redundar
en mantener políticas, procesos, riesgos identificados y medidos, y controles
relevantes alineados en torno a los objetivos de negocio e iniciativas
estratégicas.
2. Cambiar comportamientos de forma sostenible: Trabajar en la cultura
de control y riesgos. Llamémosle la cultura de la organización. Implica tener
un programa de capacitación que entrene en controles desde una
 perspectiva operacional y de atención al cliente, orientada a solventar
desviaciones y al mejoramiento continuo. No necesitamos entrenar en un
marco de referencia a todo el personal de una organización. Es suficiente con
enseñarles a gestionar riesgos y controles de forma práctica y eficaz.
3.  Implantar un modelo de líneas de defensa eficiente y lo menos
costoso posible: Es necesario tener claridad en relación con la segregación
de funciones a todo nivel, en la Junta Directiva y sus Comités, en las Unidades
de Negocios y de Soporte, en las Unidades de Control y Prevención y en la
Auditoría Interna. Asignar mejor los roles y tener en cuenta las capacidades
actuales y las que se requerirán en el futuro.
4. Integrar la visión de riesgos, procesos y controles: Significa que las
Unidades de riesgos, Procesos, Control Financiero, Prevención del Lavado de
Activos, Seguridad de la Información, Prevención de Pérdidas, Gestión de la
Continuidad deben hablar el mismo lenguaje entre ellos y definir un lenguaje
simple para comunicarse desde esas posiciones con el resto de la
organización.
5. Justificar la inversión con análisis sustentados: Es preferible saber si se
cuenta (o no se tiene o si hace falta mejoras) con un sistema de control
interno y de administración de riesgos con recursos humanos y de
infraestructura que justifiquen la inversión en ellos vis a vis las incidencias de
riesgos materializados que son atendidos y, en algunos casos, evitados.
¿Cuánto es el retorno de inversión en las unidades de control a través de la
segunda y tercera línea de defensa? ¿Hasta dónde automatizar con
soluciones GRC la función de riesgos, controles y auditoría interna? Estos son
cuestionamientos que deben evaluarse de manera objetiva, basado en
consideraciones del perfil de riesgo organizacional.

Modelo de tres líneas de defensa (3LD) –

El modelo 3LD realza el entendimiento del manejo de riesgos y controles

mediante la asignación o clarificación de roles y responsabilidades a través de
toda la organización. Este modelo es recomendado por COSO, el Instituto de
auditores Internos, el Comité de Basilea y un sin número de instituciones de
supervisión y regulación del sistema financiero en el mundo.  El Modelo de 3LD
debe ser guiado por la Alta Administración y vigilado por la Junta Directiva como
una manera de asegurar la efectividad de la administración de riesgos y controles
en la organización. ¿Cómo se ejemplifica esto de mejor forma? Quizá de manera
sucinta podamos explicarlo así:

1. La primera línea debe gestionar los riesgos y controles: La cultura de

control debe enfocarse a que las Unidades de Negocio internalicen que ellas
tienen la principal responsabilidad en materia de control. Este es un desafío
mayor en las entidades financieras que con el paso del tiempo, las
 tendencias y las exigencias normativas han logrado, en muchos casos, ir
siendo parte del esfuerzo de control y mejora continua.
2. La segunda línea monitorea los riesgos y controles que soportan el
manejo de las funciones de las Unidades de Prevención y Control: Estas
unidades de riesgos, cumplimiento, control financiero, seguridad de la
información y otras, deben compartir una infraestructura de la tecnología de
la información (TI) y una base de datos para integrar esfuerzos, unificar
métodos y trabajar en conjunto con las Unidades de Negocio y de soporte.
3. La tercera línea de defensa tiene como misión proveer aseguramiento
independiente a la Junta Directiva y a la Alta Administración con
respecto a la efectividad del manejo de riesgos y controles: En este
sentido la visión de la auditoría interna y sus capacidades actuales, deben
servir para el análisis de aquellas áreas, subsidiarias, productos y servicios,
infraestructura de TI relevantes y que inciden en la definición de una
cobertura amplia del plan anual de la unidad que sirva a las expectativas de
las partes interesadas y se alinee con la estrategia del negocio.

Quizá el beneficio del Modelo de 3LD radique en la creación de una cultura que
permita que todos acepten y tomen responsabilidad por gestionar riesgos y
asegurar controles desde diferentes posiciones: ejecutores, facilitadores,
revisores, supervisores. A la vez, un modelo de 3LD eficiente, debería propiciar la
interacción entre las unidades de negocio y soporte y las de control y prevención,
para procurar la mejora continua y ayudar al alcance de los objetivos
organizacionales por un lado, y por otro a brindar seguridad razonable o confort
a accionistas, directores y reguladores sobre el control de los riesgos de la
entidad y de su sostenibilidad. Además, el Modelo de 3LD puede permitirnos
reevaluar la estrategia de los planes de sucesión y de gestión del gobierno
corporativo de arriba abajo y desde abajo hasta la cima.

Eficiencia versus la protección: he allí el dilema –

En muchas organizaciones “riesgos y controles” es un tema de forma y de colores.

El fondo y la razón parecen estar de lado. En algunos casos, parece que sólo
interesa tener disponibles unas matrices de riesgos para cumplir con
requerimientos regulatorios o de otra naturaleza. Los gestores de riesgos
pretenden convencer a la Alta Administración y a la Junta Directiva que así, con
matrices de riesgos, se gestionan los riesgos relevantes de la organización. La
realidad parece indicarnos que gran cantidad de esa información de las matrices
es imprecisa, desactualizada y desconocida por los gestores reales de los
procesos y de las actividades de control. El enfoque de la gestión de riesgos
necesita un revulsivo. Lo mismo, y como una consecuencia previsible, sucede con
el sistema de control interno. La identificación de actividades de control
relevantes en los procesos requiere mayor acuciosidad y rigurosidad en el diseño
apropiado de los mismos para responder a las estrategias de mitigación de
riesgos que sean necesarias.
Lo anterior nos lleva a las siguientes consideraciones en relación con la eficiencia
del modelo operacional de gestión de riesgos y controles y el nivel de protección
que estos sistemas de gestión deben proveer con base en el perfil de riesgo de la
entidad:

1. Apetito y tolerancia al riesgo: Más que una declaración filosófica, debe

identificarse la capacidad de afrontar ciertos riesgos en la organización,
reflexionar sobre hasta dónde queremos llegar con un objetivo, iniciativa o
proyecto que implique productos y servicios generadores de ingresos, y
establecer cuáles son los escenarios de riesgos máximos, para a partir de ese
análisis identificar límites de tolerancia e ir atomizando los efectos de los
riesgos que se materializan de manera inevitable.
2. La identificación de riesgos relevantes: La identificación de riesgos
nuevos o emergentes, la revisión de riesgos inherentes y ya relevados, debe
responder a un proceso más disciplinado que no necesariamente muy
extenso. Relevar riesgos a través de técnicas apropiadas, más sistemáticas y
probadas se hace menester. Los análisis de causa-raíz, los análisis de causa-
efecto, las técnicas de mejora continua o de calidad total, podrían ser
utilizadas para asegurar que identificamos los riesgos que importan.
3. La medición de los riesgos: El uso de herramientas y técnicas estadísticas,
indicadores y ratios basados en relaciones de transacciones, importes y
saldos que residen en los sistema y aplicaciones CORE será, por lejos, más
confiables que un ejercicio de relevamiento subjetivo de probabilidad y
severidad de los riesgos.
4. El costo de un control: ¿se ha preguntado cuánto cuesta cada uno de sus
controles? Es importante definir si el costo de un control no excede el efecto
esperado de un riesgo. Esto sería como ir más allá del obligado ejercicio de
análisis de costo-beneficio para justificar una actividad de control. La
pregunta que debe hacerse la Alta Administración y la Junta Directiva es si, en
su organización, los gestores de riesgos están efectuado este análisis, si en
las unidades de procesos y control se cuestiona la justificación de una
actividad de control, y si hay una forma de asegurar que se cuentan con los
controles necesarios asociados el nivel de riesgos al que se está
respondiendo. En ambientes altamente regulados, como el sector de
servicios financieros, suele sobre-reaccionarse a la hora de definir y
establecer controles.
5. Monitorear riesgos y controles: El monitoreo de riesgos y controles a
través de Indicadores de Riesgos Clave (KRI) o Indicadores de Control Clave
(KCI) requiere mayor automatización y explotación del maestro de clientes y
transacciones de los sistemas y aplicaciones. El seguimiento de estos
indicadores, el escalamiento a los dueños de riesgos y controles, las medidas
de remediación y la identificación de mejoras continuas y lecciones
aprendidas será más efectiva, y dejará más espacio para la eficiencia.
El desafío para las organizaciones de servicios financieros en materia de control,
gobierno y riesgos siempre será exigente. Pero la forma como se enfrente ese
reto definirá de qué manera cada organización está en la capacidad de alcanzar
sus objetivos de negocios de forma más eficiente. Ir más allá de lo obvio, ayudará
a cerrar la brecha entre lo que es eficaz, requerido, eficiente e inteligente.