Desde que la crisis económica y financiera estalló en 2008, el control y la gestión de los riesgos se han convertido en una obsesión para la mayoría de las compañías. La presión de los reguladores y supervisores (especialmente en el área financiera) y el propio sentido común (que aconseja protegerse ante potenciales e incluso inverosímiles eventos peligrosos) han obligado a las compañías a desarrollar una estrategia defensiva sofisticada que se parece mucho a una guerra de trincheras. La aparición de nuevos riesgos, como los ciberataques, o la amplificación de otros, como los regulatorios, no han hecho más que reforzar esa necesidad.
Es así como se ha generalizado la llamada política de las Tres Líneas de Defensa, un modelo de gestión del riesgo que acaba con la poco sana práctica de echar la culpa a los auditores internos de cualquier cosa que saliera mal dentro de la compañía. Ahora, la gestión del riesgo es cosas de todos, y está convenientemente repartida entre los gestores del negocio (la primera línea de defensa), los responsables del área de riesgos y cumplimiento (segunda línea) y los auditores internos (tercera línea). Hay incluso quien ya habla de una cuarta línea de defensa (auditores externos y otras funciones independientes), pero esa estructura añadida está todavía un poco verde.
Lo cierto es que el modelo de Tres Líneas de Defensa está ampliamente extendido, y con ese motivo PwC ha elaborado en 2017 un informe para ver cómo se está implantando y cuáles son sus resultados. La principal conclusión es que las empresas están reforzando las responsabilidades de la primera línea o trinchera de defensa, la que corresponde a los gestores del negocio diario, que no solo identifican y analizan los riesgos que amenazan a su área de trabajo sino que toman decisiones al respecto, de acuerdo con la política general de la empresa.
Ahora la gestión del riesgo es cosa de todos y está convenientemente repartida entre los gestores del negocio, los responsables del área de riesgos y cumplimiento y los auditores internos
Esto es una novedad, porque supone un cierto desplazamiento de funciones hasta ahora ejercidas por la segunda línea de defensa (los gestores de riesgos propiamente dichos), pero no significa que esta segunda trinchera haya perdido protagonismo, sino que el modelo funciona de otra manera. Lo que está ocurriendo es que se está abriendo paso un ecosistema más colaborativo y también más eficiente, porque el mayor papel que se asigna a los gestores de las unidades de negocio contribuye a extender la cultura del riesgo a toda la organización, tal y como mandan los cánones. Además, la rápida entrada en combate de la primera trinchera permite a la compañía anticipar los problemas y mitigar sus consecuencias.
Basándose en esas evidencias, el estudio de PwC recomienda aplicar las Tres Líneas de Defensa con arreglo a la siguiente distribución de tareas:
- Una primera línea de defensa (directivos y gestores del día a día del negocio) altamente comprometida y que tome decisiones sobre los riesgos de acuerdo con una estrategia corporativa bien perfilada.
- Una segunda línea (funciones de riesgo y cumplimiento) con capacidad de iniciativa y que tenga influencia sobre las decisiones de la primera línea a través de una evaluación crítica y un adecuado proceso de consulta y colaboración.
- Una tercera línea (auditoría interna) caracterizada por su independencia y su diligencia y cuyo objetivo fundamental sea proteger a la organización.
Hacerlo así contribuirá a crear un modelo de gestión de riesgos más estratégico y menos defensivo; más proactivo y menos reactivo. De esa manera, concluye el informe, la empresa estará mejor preparada para hacer frente a situaciones disruptivas y para rentabilizar su modelo de creación de valor.