¿Cómo se relaciona el modelo de las 3 líneas de defensa con el conceptoGovernance, Risk & Compliance (GRC)?

Para relacionar adecuadamente estos conceptos, es necesario primero desagregar y entender el modelo de las 3 líneas de defensa de acuerdo a lo que implica cada una de ellas:

1ra. Línea de defensa: - Controles de gerencia - Medios de control interno 2da. Línea de defensa: - Controles financieros - Seguridad - Gestión de riesgos - Calidad - Inspección - Cumplimiento 3ra. Línea de defensa: Auditoría interna Una vez desagregado el modelo de las 3 líneas de defensa, nos preguntamos: ¿Cómo se relaciona el modelo de las 3 líneas de defensa con el concepto Governance, Risk & Compliance (GRC)?

Debemos partir de la base de que el concepto GRC lleva implícito las 3 líneas de defensa, ya que cuando hablamos de Governance (G), se relaciona con todas las iniciativas de gobiernos corporativos relacionadas con la junta de accionistas, el directorio y su interacción y supervisión de la alta administración de la organización, lo cual estaría contemplado en la primera línea de defensa, que se relaciona con los controles de gerencia y con los medios de control interno. En este ámbito nos encontramos con las siguientes funciones dentro de las organizaciones: - Junta de accionistas - Directorio - Comités de directorio: Riesgos, Auditoría, Financieros, Inversiones, etc. - Comité ejecutivo de la alta administración Cuando nos referimos a Risk (R), las inicitaivas más operativas de gestión integral de riesgos, están localizadas en la segunda línea de defensa, con supervisión de la alta gerencia realizada por la primera línea y auditado continuamente por la tercera, lo cual dice relación con todas aquellas iniciativas tendientes a gestionar de forma eficaz los riesgos tanto estratégicos como operativos de la organización y las respuestas para mitigar los mismos como parte del modelo de control interno. En este ámbito, nos encontramos con las siguientes funciones y roles dentro de cualquier organización ya sea pública o privada: - Dueños de procesos - Dueños de la información - Responsables de controles - Oficial de riesgos, controles, seguridad de la información, cumplimiento regulatorio, etc - Gerencias de riesgos y control interno

- Salud ocupacional, seguridad industrial, medio ambiente

- Entre otras Ahora bien, nos queda la sigla relativa al Compliance (C), que se relaciona con aquellas iniciativas de cumplimiento regulatorio que son parte de la segunda línea de defensa y que deben llevar a cabo las organizaciones en forma continua tales como: - Cumplimiento legal y laboral - Cumplimiento tributario - Cumplimiento ambiental - Cumplimiento por regulación de la industria - Cumplimiento gubernamental - Cumplimiento de legislación internacional producto de internacionalización - Cumplimiento de leyes especiales tales como: SOX (EE.UU.), 20.393 (Chile) - Entre otros A partir de este concepto, ha proliferado la función de cumplimiento regulatorio que es liderada por el Oficial de Cumplimiento o Compliance Officer, quienes actúan como un “orquestador” de todas estas iniciativas y debe coordinarse con cada una de las unidades organizativas y procesos, a efectos de no incurrir en alguna falla de compliance que lleve a la organización a la materialización de riesgos y por ende pérdida de valor. El rol de la tercera línea de defensa bajo este modelo, es fundamental y transversal, puesto que se relaciona con la auditoría interna y como función independiente debe velar para que tanto la primera como la segunda línea de defensa lleven a cabo sus funciones de supervisión, monitoreo y gestión de riesgos/controles en forma eficaz, contando también con la colaboración de los auditores externos independientes y entes reguladores. Es por esta razón, que estas líneas de defensa, están destinadas más que a la agregación de valor en la organización, a la preservación del mismo y por ende, conseguir un crecimiento de forma sostenida.