¿Cómo se relaciona el modelo de las 3 líneas de defensa con el conceptoGovernance, Risk & Compliance (GRC)?

Para relacionar adecuadamente estos conceptos, es necesario primero desagregar y entender el modelo de las 3 líneas de defensa de acuerdo a lo que implica cada una de ellas:

1ra. Línea de defensa: - Controles de gerencia - Medios de control interno 2da. Línea de defensa: - Controles financieros - Seguridad - Gestión de riesgos - Calidad - Inspección - Cumplimiento 3ra. Línea de defensa: Auditoría interna Una vez desagregado el modelo de las 3 líneas de defensa, nos preguntamos: ¿Cómo se relaciona el modelo de las 3 líneas de defensa con el concepto Governance, Risk & Compliance (GRC)?

Debemos partir de la base de que el concepto GRC lleva implícito las 3 líneas de defensa, ya que cuando hablamos de Governance (G), se relaciona con todas las iniciativas de gobiernos corporativos relacionadas con la junta de accionistas, el directorio y su interacción y supervisión de la alta administración de la organización, lo cual estaría contemplado en la primera línea de defensa, que se relaciona con los controles de gerencia y con los medios de control interno. En este ámbito nos encontramos con las siguientes funciones dentro de las organizaciones: - Junta de accionistas - Directorio - Comités de directorio: Riesgos, Auditoría, Financieros, Inversiones, etc. - Comité ejecutivo de la alta administración Cuando nos referimos a Risk (R), las inicitaivas más operativas de gestión integral de riesgos, están localizadas en la segunda línea de defensa, con supervisión de la alta gerencia realizada por la primera línea y auditado continuamente por la tercera, lo cual dice relación con todas aquellas iniciativas tendientes a gestionar de forma eficaz los riesgos tanto estratégicos como operativos de la organización y las respuestas para mitigar los mismos como parte del modelo de control interno. En este ámbito, nos encontramos con las siguientes funciones y roles dentro de cualquier organización ya sea pública o privada: - Dueños de procesos - Dueños de la información - Responsables de controles - Oficial de riesgos, controles, seguridad de la información, cumplimiento regulatorio, etc - Gerencias de riesgos y control interno

- Salud ocupacional, seguridad industrial, medio ambiente

- Entre otras Ahora bien, nos queda la sigla relativa al Compliance (C), que se relaciona con aquellas iniciativas de cumplimiento regulatorio que son parte de la segunda línea de defensa y que deben llevar a cabo las organizaciones en forma continua tales como: - Cumplimiento legal y laboral - Cumplimiento tributario - Cumplimiento ambiental - Cumplimiento por regulación de la industria - Cumplimiento gubernamental - Cumplimiento de legislación internacional producto de internacionalización - Cumplimiento de leyes especiales tales como: SOX (EE.UU.), 20.393 (Chile) - Entre otros A partir de este concepto, ha proliferado la función de cumplimiento regulatorio que es liderada por el Oficial de Cumplimiento o Compliance Officer, quienes actúan como un “orquestador” de todas estas iniciativas y debe coordinarse con cada una de las unidades organizativas y procesos, a efectos de no incurrir en alguna falla de compliance que lleve a la organización a la materialización de riesgos y por ende pérdida de valor. El rol de la tercera línea de defensa bajo este modelo, es fundamental y transversal, puesto que se relaciona con la auditoría interna y como función independiente debe velar para que tanto la primera como la segunda línea de defensa lleven a cabo sus funciones de supervisión, monitoreo y gestión de riesgos/controles en forma eficaz, contando también con la colaboración de los auditores externos independientes y entes reguladores. Es por esta razón, que estas líneas de defensa, están destinadas más que a la agregación de valor en la organización, a la preservación del mismo y por ende, conseguir un crecimiento de forma sostenida.

Madurez de los modelos Governance, Risk & Compliance (GRC) en Chile y Latinoamérica

Hace ya más de una década que se viene hablando de GRC, acrónimo que contempla los conceptos de Gobierno Corporativo, Gestión Integral de Riesgos y Cumplimiento Regulatorio (En inglés Governance, Risk & Compliance) y algunos lo asocian a soluciones de software, funcionalidades de un sistema de clase mundial, etc., pero en estricto rigor, se trata de la evolución de los conceptos COSO, COBIT, entre otros, ya que integra una triada que de manera implícita contempla estos frameworks o buenas prácticas.

¿Qué busca GRC como modelo integral?

Busca de forma holística armonizar y darle vida en las organizaciones a las diversas iniciativas de gobiernos corporativos, gestión integral de riesgos y cumplimiento regulatorio, de manera tal de que las mismas, funcionen alineadas con la estrategia, visión y misión de las entidades, orientado a la generación de valor de forma sustentable.

En consecuencia, podríamos decir además que los modelos GRC, buscan integrar las iniciativas emanadas de las tres líneas de defensa de control interno.

Dicho lo anterior, cabe preguntarse: ¿Cuál ha sido la realidad en Chile y Latinoamérica respecto a estos conceptos o modelo?

Es muy diverso lo que está pasando en las organizaciones en nuestro país y el resto de Latinoamérica considerando que, dependiendo de la industria, las entidades han ido evolucionando hacia modelos GRC más integrados, pudiendo evidenciar que la industria financiera es la más madura básicamente por exigencias regulatorias, pero falta bastante aún y a continuación les comentaré las principales brechas que hay en nuestro país y en general en Latinoamérica:

- Iniciativas de las unidades de negocio, tienden a estar desalineadas con la estrategia de la entidad en materia de gobiernos corporativos.

- Las unidades de negocio tienden aún a funcionar en silos.

- La gestión del cambio o sensibilización respecto a estas iniciativas, presentan fallas en relación con la ejecución eficaz de las actividades.

- Ausencia de políticas, normas y/o procedimientos que permitan hacer que estos modelos se cumplan y funcionen independiente de las personas que los operan. 

- Ausencia de definición de roles y responsabilidades claras respecto a la operatoria de estos modelos.

- Los procesos de negocio operan desalineados y sin directrices de gobernabilidad de los modelos de control interno.

- Falta de estandarización en los procesos de negocio de las distintas unidades de negocio respecto a iniciativas de control interno o gestión de riesgos.

- Unidades funcionales desarrollan iniciativas de riesgos en forma aislada y no a nivel compañía.

- No hay conciencia a nivel operativo de la importancia de los modelos de control interno, incluida obviamente la gestión integral de riesgos y el cumplimiento regulatorio.

- A nivel de algunos directorios, basta solamente con la existencia de un comité de auditoría y unidad de auditoría interna, no importando mucho implementar funciones de segunda línea de defensa como: Gestión de riesgos, cumplimiento regulatorio, seguridad de información, prevención de fraudes, etc.

- Los escasos modelos implementados en entidades con mayor madurez en materia de control interno, no cuentan con métricas o soluciones que permitan sistematizar la gestión de los riesgos y controles de forma sostenida, salvo lo que se ve en grandes instituciones financieras.

- Muchas entidades privilegian el hecho de tener iniciativas más bien reactivas, correctivas que preventivas, ya que no le ven agregación de valor a las mismas, perdiendo de vista la contribución en preservación de valor de estas funciones.

En fin, podemos seguir enumerando brechas o debilidades que se ven en las entidades estatales y privadas tanto en Chile como en Latinoamérica, lo cual permite explicar la sistemática materialización de ilícitos, fraudes corporativos o destrucción de valor producto de riesgos no mitigados o gestionados en forma errada y, en consecuencia, la exacerbación de la corrupción al interior de las entidades.