Aplicando las cinco líneas de defensa en la

gestión del riesgo

Se aprendieron muchas lecciones de la crisis financiera. Por ejemplo, si un jefe ejecutivo
ignora las señales de advertencia de la función de gestión de riesgos, se resiste a la
información contraria sugiriendo que la estrategia corporativa no está funcionando o
perdiendo relevancia, o no considera los riesgos críticos al evaluar si entra o no en un
nuevo mercado una adquisición compleja, los accionistas y otros constituyentes pueden
terminar pagando un alto precio.
Los problemas se agravan cuando la gerencia no involucra a la junta con asuntos
estratégicos e importantes asuntos de política de manera oportuna, o la junta no posee el
conocimiento para comprender o cuestionar la visión de la administración de los riesgos
críticos de la empresa y ejercer una supervisión efectiva. El resultado puede ser la rápida
pérdida de valor empresarial que llevó décadas construir.
¿Cómo se salvaguarda una organización contra tales desarrollos? Un marco de "líneas de
defensa" diseñado e implementado de forma efectiva puede proporcionar garantías sólidas.
Este número de The Bulletin explora cinco líneas esenciales de defensa.
¿Cuál es el modelo de líneas de defensa? Esencial para la gestión eficaz del riesgo, el
modelo de líneas de defensa está implícito en el marco de control interno recientemente
emitido de COSO a través del entorno de control, actividades de control, monitoreo y otros
componentes de un sistema de control interno [1] . Brinda seguridad a la junta directiva ,
como representantes electos de los accionistas para supervisar las operaciones de la
organización en su nombre, los riesgos se reducen a un nivel manejable según lo dictado
por el apetito de riesgo de la organización. Mucho más que "segregar deberes
incompatibles" y "asegurar controles y equilibrios", el modelo de líneas de defensa enfatiza
un concepto fundamental de gestión de riesgos: desde la sala de juntas hasta los procesos
orientados al cliente, la gestión del riesgo es responsabilidad de todos. Una visión común
del modelo de líneas de defensa es desde el punto de vista de la dirección ejecutiva y la
junta directiva, es decir, que hay tres líneas de defensa. La gestión de la unidad de negocio
y los propietarios del proceso / riesgo comprenden la primera línea, las funciones
independientes de riesgo y cumplimiento son la segunda línea, y la auditoría interna es la
tercera línea [2]. Este punto de vista tiene un mérito considerable. Sin embargo, desde el
punto de vista de los accionistas y otras partes interesadas externas (punto de vista de un
actor externo), vemos dos líneas de defensa adicionales. Un modelo de cinco líneas de
defensa se muestra a continuación:
En conjunto, las cinco líneas de defensa anteriores respaldan la ejecución de las
capacidades de gestión de riesgos de la organización. El razonamiento subyacente a estas
cinco líneas de defensa se detalla a continuación:

1. La gerencia superior, bajo la supervisión de la junta, debe establecer y reforzar el

tono de "todos son responsables" al ubicar cada una de las líneas de defensa para
que funcionen de manera efectiva. Las otras líneas de defensa refuerzan este tono de
la organización.
2. Los responsables de las unidades y procesos que crean riesgos deben aceptar la
responsabilidad final de poseer y administrar los riesgos que crean sus unidades y
procesos, así como establecer el tono adecuado para gestionar estos riesgos de
forma consistente con el "tono en la parte superior".
3. La gestión y el cumplimiento de riesgos efectivos requieren una voz
independiente y autorizada para garantizar que exista un marco empresarial para
gestionar el riesgo, los propietarios de riesgos hagan su trabajo de acuerdo con ese
marco, los riesgos se midan de forma adecuada, se respeten y cumplan los límites de
riesgo y se informe y los protocolos de escalamiento funcionan como se esperaba.
4. La auditoría interna proporciona la seguridad de que otras líneas de defensa
funcionan de manera efectiva y debe utilizar el marco de las líneas de defensa como
una forma de agudizar su propuesta de valor al enfocar sus actividades de
aseguramiento de manera más amplia en la gestión de riesgos.
5. Bajo la supervisión de la junta directiva, la gerencia ejecutiva debe manejar la
inevitable tensión entre las actividades de creación de mercado y las actividades de
control, asegurando que estas actividades estén equilibradas de forma tal que
ninguna de ellas sea demasiado desproporcionada en relación con la otra. La
 dirección ejecutiva debe alinear el proceso de gobierno, la gestión de riesgos y el
control interno para alcanzar el equilibrio adecuado y optimizar la tensión natural
entre la creación de valor y la protección del valor. Lo que es más importante, deben
actuar sobre la información de riesgo de manera oportuna cuando se les escale e
involucrar a la junta de manera oportuna cuando sea necesario.

Cada una de las líneas de defensa anteriores se analiza con más detalle en los siguientes
artículos.
[1] Ver Control interno - Marco integrado, El Comité de organizaciones patrocinadoras de
la Comisión Treadway (COSO), 2013, disponible en www.coso.org.
[2] Este punto de vista se encuentra en "Risk Management: Easy as 1 ... 2 ... 3", publicado
por el Instituto de Auditores Internos (IIA), en Tone at the Top, Número 60, febrero de
2013. Además, ISACA ha publicado un punto de vista de la implementación estratégica de
tres líneas de defensa como el primer principio de su marco de gestión de riesgos. La visión
de ISACA de tres líneas de defensa difiere ligeramente de la de los IIA, ya que agrega la
junta directiva junto con la auditoría interna como tercera línea de defensa. Solvencia II
incorpora tres líneas de defensa en sus publicaciones con un pensamiento similar a lo largo
de las líneas de ISACA.