El modelo de las tres líneas de defensa es un marco de trabajo regulado, diseñado para proporcionar un enfoque estandarizado e integral de la gobernanza y la gestión de riesgos.
El riesgo operativo se define como aquel riesgo de pérdida resultante de procesos internos, eventos externos, personas o sistemas inadecuados o fallidos. No hace tanto, la responsabilidad de gestionar este riesgo operativo en una empresa solía recaer en los hombros de expertos individuales que, confiando en su propia experiencia y en funciones limitadas de auditoría interna, trabajaban para identificar cualquier debilidad o descuido evidente que pudiera exponer el negocio a un riesgo innecesario. Así, el auditor era la única línea de defensa real entre la organización y una serie de peligros que amenazaban la seguridad.
Actualmente, la cantidad y complejidad de los riesgos empresariales sigue creciendo. Para alinear y mitigar esos riesgos, muchas empresas están adoptando un modelo de gobernanza distinto: el de las tres líneas de defensa (3LoD).
Tal como indica su nombre, el modelo de gestión de riesgos de las tres líneas de defensa consta de tres niveles distintos de protección. Estos están diseñados para proporcionar soporte redundante de gestión de riesgos y para ayudar a garantizar que los peligros se identifiquen y aborden antes de que puedan afectar negativamente las operaciones. Al mismo tiempo, la versión más actualizada del modelo de las tres líneas de defensa enfatiza la alineación de la colaboración, la responsabilidad y el enfoque en los objetivos, lo que lo convierte en un marco de trabajo importante no solo para la defensa, sino también para reconocer y aprovechar las oportunidades conforme van surgiendo.
Aquí analizamos más detalladamente cada una de las tres líneas de defensa frente al riesgo, cómo el modelo 3LoD se relaciona con la resiliencia operativa y qué podemos esperar del enfoque de las tres líneas de defensa en los años venideros.
La primera línea de defensa (1LoD) es la gestión operativa, que consta de gestores de primera línea, encargados de las actividades diarias de gestión del riesgo. Estos gestores supervisan a los empleados conforme trabajan en los sistemas y aplicaciones empresariales, lo que garantiza el cumplimiento de los procedimientos adecuados de gestión de riesgos. Asimismo, son responsables de implementar medidas correctivas en caso de que surjan deficiencias en el proceso y el control.
En esencia, la gestión de operaciones empresariales resulta obligatoria para mantener controles internos adecuados, ejecutar procedimientos de riesgo, identificar y evaluar los riesgos, guiar e implementar políticas internas, y garantizar que todas las actividades respalden los objetivos establecidos; todo ello a diario. El propósito general de esta primera línea de defensa es el cumplimiento continuo y la capacidad de identificar rápidamente cualquier desglose de control, proceso inadecuado o evento emergente.
Las actividades cotidianas desempeñan un papel fundamental en el riesgo operativo. Como tal, la primera línea de defensa es absolutamente esencial y debe contar con el respaldo de mecanismos internos, como controles de gestión fiables y medidas de control interno. Estos se desarrollan e implementan con una supervisión sólida de la gestión operativa y se deben probar regularmente para determinar su funcionalidad y efectividad.
La tercera línea de defensa (3LoD) en el modelo de las tres líneas de defensa es el auditor interno. Los auditores se encargan de revisar todos los procesos, procedimientos y marcos de trabajo de gestión de riesgos, lo que proporciona una garantía integral de la eficacia de la gobernanza y los controles internos. Esta línea de defensa respalda las dos anteriores, pero debe poder operar de forma completamente independiente, tomar una postura objetiva e informar directamente a la alta dirección y a cualquier organismo gubernamental, junta o comité de auditoría de rango más elevado.
Como línea de defensa final, las auditorías internas deben poder respaldar varios objetivos relacionados con la eficiencia y la eficacia operativas, la fiabilidad de los informes, el cumplimiento normativo y mucho más.
Aunque la tercera línea de defensa se asocia principalmente con auditorías internas, también se pueden realizar auditorías externas para complementar aún más esta línea y añadir otra capa de seguridad. De hecho, en algunos casos (como cuando se obtiene el cumplimiento de SOC1 o SOC2, creando un informe de PCI o documentando la efectividad del control SOX-404), un auditor externo puede ser un requisito obligatorio.
Las tres líneas de defensa se han diseñado para contribuir a mejorar la resiliencia operativa de una organización.
La resiliencia operativa es la capacidad de una organización para seguir sirviendo a sus clientes, entregando productos y servicios, y protegiendo a su plantilla frente a eventos operativos adversos. Esto se logra anticipando, previniendo y recuperándose ante este tipo de eventos, así como adaptándose a ellos. Los posibles eventos pueden incluir situaciones como pandemias, filtraciones de datos, incendios, situaciones climatológicas destructivas e interrupciones del servicio de red.
Los principios de la resiliencia operativa son los siguientes:
La gobernanza describe los sistemas y mecanismos en los que confía una organización para operar, que son responsabilidad de sus empleados y de la propia organización. Tanto la gestión de riesgos como el cumplimiento se encuadran en la gobernanza. Las estructuras de gobernanza eficaces permiten a las organizaciones crear planes y enfoques fiables de resiliencia operativa, lo que les permite responder mejor y recuperarse de eventos disruptivos.
La gestión de riesgos operativos (ORM) es un ciclo continuo que incluye la evaluación de riesgos, la toma de decisiones al respecto y la implementación de controles de riesgos, lo que resulta en la aceptación, mitigación o evasión de los distintos riesgos.
La planificación de continuidad empresarial supone la creación, la implementación, la formación y el seguimiento de planes de continuidad para varias situaciones de crisis. El propósito de la planificación de continuidad es crear estrategias fiables que garanticen la entrega continua de operaciones críticas frente a eventos potencialmente perjudiciales.
La asignación de interdependencia identifica y establece las conexiones e interdependencias internas y externas, determinando claramente la asignación de las interdependencias necesarias para las operaciones críticas y la entrega continua de servicios en caso de una posible interrupción.
La gestión de riesgos de terceros describe las herramientas y prácticas necesarias para gestionar relaciones con terceros, identificando entidades externas que resultan esenciales para las operaciones críticas.
La gestión de incidentes alude a los procesos asociados con la creación de planes de respuesta y recuperación ante situaciones específicas de incidentes. Estos planes deben refinarse y actualizarse continuamente mediante perspectivas de análisis de datos e incidentes anteriores.
La tecnología de información, comunicación y ciberseguridad debe probarse y mejorarse regularmente para respaldar la entrega continua de operaciones críticas.
El modelo de las tres líneas de defensa es un enfoque probado para la gestión de riesgos, pero, al igual que los planes de continuidad y resiliencia deben actualizarse regularmente para considerar las situaciones cambiantes, el modelo 3LoD también ha sufrido varias revisiones desde su primera implementación.
Recientemente, el Comité de Supervisión Bancaria de Basilea (CSBB) publicó revisiones de los principios para la buena gestión del riesgo operativo. Aunque estas revisiones del modelo 3LoD están pensadas específicamente para entidades bancarias y organizaciones relacionadas, pueden aplicarse también a empresas ajenas al sector bancario para mejorar aún más sus perfiles de gestión de riesgos.
Las actualizaciones de Basilea para el modelo 3LoD incluyen:
- Mayor énfasis en el rol de la alta dirección en la ejecución de actividades de gestión de riesgos operativos.
- Descripciones más claras de otros roles dentro del modelo de las tres líneas de defensa.
- Mayor articulación de los orígenes de riesgos emergentes.
- Enfoque independiente en la resiliencia operativa.
Conforme aumenta la diversidad de los riesgos, se adapta el modelo de las tres líneas de defensa. Esto puede relacionarse más directamente con la tercera línea: auditorías internas; los auditores internos y sus procesos asociados deben volverse más ágiles y previsores, lo que promueve un cambio positivo en el resto del modelo 3LoD. En el futuro, se prevé que los auditores desempeñarán un papel mucho más activo en el asesoramiento y la anticipación, así como en la educación de los interesados a todos los niveles.
Más allá de las auditorías internas, otros avances seguirán moldeando el modelo 3LoD. Las nuevas innovaciones, lo que incluye la automatización, el aprendizaje automático y la implementación de IA, permitirán una identificación y corrección más sencillas de los riesgos. Asimismo, las organizaciones aumentarán su enfoque en el elemento humano de las tres líneas de defensa, trabajando para mejorar la coordinación, la comunicación y las metodologías en todos los equipos y departamentos.
La gestión de riesgos operativos es un aspecto fundamental de las empresas modernas. El modelo 3LoD existe para proporcionar capas de protección redundantes a fin de ofrecer una mayor seguridad contra varias amenazas potenciales. Con todo, es posible que el modelo 3LoD por sí solo no sea suficiente para proteger completamente a las organizaciones frente a los peligros en constante evolución. ServiceNow, líder del sector en gestión de TI, brinda la solución.
Operational Risk Management de ServiceNow facilita a las organizaciones la capacidad de aplicar una supervisión continua, incorporar información de datos relevante a nivel empresarial y priorizar y responder a los riesgos emergentes más rápido de lo que de otra forma sería posible. La aplicación GRC Operational Risk Management incluye herramientas de autoevaluación de riesgos, garantía de control, análisis, captura de incidentes y pérdidas, y rastreo automatizado. Respaldada por análisis e informes avanzados, inteligencia predictiva integrada, gestión mejorada de problemas y más, Operational Risk Management ofrece un aumento de las defensas de las que dependen las organizaciones modernas para sobrevivir y prosperar.
Minimiza las pérdidas operativas, crea resiliencia y fiabilidad, reduce los costes y mejora la productividad; disfruta de una visibilidad completa en tiempo real de todos los riesgos y las tolerancias de control. Operational Risk Management de ServiceNow lo hace posible.
Identifica, prioriza y responde a las tareas de forma más rápida.