La segunda línea de defensa: funciones de gestión de riesgos y

En el entendido que la primera línea de defensa es la dueña, responsable y gestora de los riesgos penales, como se expresa en la Declaración de Posición de la IIA58_{, “tal vez}

sólo una línea de defensa sería necesaria para asegurar una gestión de riesgos efectiva. En el mundo real, sin embargo, una sola línea de defensa con frecuencia puede resultar insuficiente”.

Así pues, se considera que las organizaciones establezcan diversas funciones de gestión de riesgos y cumplimiento para ayudar a crear y/o monitorear los controles de la primera línea de defensa.

Estas funciones de gestión de riesgos se han convertido en la segunda línea de defensa, la cuales, según la Declaración de Posición de la IIA, comprenden:

“• Una función de gestión de riesgos (y/o comité) que facilita y monitorea la implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operativa y que asiste a los propietarios del riesgo en la definición del objetivo de exposición al riesgo y en la presentación adecuada de información relacionada con riesgos a toda la organización.

• Una función de cumplimiento para monitorear diversos riesgos específicos tales como el incumplimiento de leyes y regulaciones aplicables. Con esta capacidad, esta función

58 _{Instituto de Auditores Internos (IIA, sigla en inglés) en enero de 2013, expidió la “Declaración de Posición: LAS}

128

independiente reporta directamente a la alta dirección, y en algunos sectores económicos, directamente a los organismos de gobierno corporativo. Múltiples funciones de cumplimiento con frecuencia existen en una misma organización, con responsabilidades para monitorear tipos específicos de cumplimiento, como salud y seguridad, cadena de suministros, ambiente o control de la calidad.

• Una función de contraloría que monitorea riesgos financieros y la emisión de la información financiera”.59

Las llamadas Gerencia de Riesgo o Gerencia de Cumplimiento o áreas de cumplimiento tienen normalmente estas funciones para asegurar que la primera línea de defensa, (gerencias operativas y gerencia legal en la gestión de los riesgos legales y penales), este apropiadamente diseñada, implementada y operando según lo previsto, pero no reemplazan ni pueden asumir las funciones propias de las áreas dueñas o responsables de los riesgos a gestionar (es decir, de las áreas que hacen parte de la primera línea de defensa).

Las funciones de gestión de riesgos y cumplimiento son independientes y diferentes a las de la primera línea de defensa. En este orden de ideas, Gerencia de Riesgo o Gerencia de Cumplimiento, debe poder intervenir directamente en la modificación y desarrollo de los sistemas de control interno y riesgos.

Sin embargo, “la segunda línea de defensa no puede ofrecer análisis del todo independientes a los organismos de gobierno corporativo respecto a la gestión de riesgos y a los controles internos.

“Las responsabilidades de estas funciones varían según su naturaleza específica, pero pueden incluir:

• Apoyar en la administración de políticas en cuanto a la definición de roles y responsabilidades y el establecimiento de objetivos para su implementación.

59 _{Instituto de Auditores Internos (IIA, sigla en inglés) en enero de 2013, expidió la “Declaración de Posición: LAS}

129

• Proporcionar marcos para la gestión de riesgos. • Identificar asuntos conocidos y emergentes.

• Identificar cambios en el apetito de riesgo implícito de la organización.

• Asistir a la administración en el desarrollo de procesos y controles para la gestión de riesgos y problemas.

• Proporcionar guía y entrenamiento en procesos de gestión de riesgos.

• Facilitar y monitorear la implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operativa

• Alertar a la gerencia operativa de asuntos emergentes y de cambios en los escenarios regulatorios y de riesgos.

• Monitorear la adecuación y efectividad del control interno, la exactitud e integridad de la información, el cumplimiento de las leyes y regulaciones, y la remediación oportuna de deficiencias”60_.

En este orden de ideas, la gerencia legal, área jurídica o responsables de los asuntos jurídicos de la organización primera línea de defensa de los riesgos legales (y penales) y sus funciones son distintas a las funciones de las llamadas Gerencia de Riesgo o Gerencia de Cumplimiento, las cuales deben ayudar a crear y/o monitorear los controles legales de la primera línea de defensa. Para determinar cuál debe ser rol y funciones y responsabilidades de la Gerencia de Riesgo o Gerencia de Cumplimiento, con respecto a la gestión de los riesgos legales, es importante dar respuesta a los siguientes interrogantes:

¿Cuáles deben ser las funciones de Gerencia de Riesgo o Gerencia de Cumplimiento con respecto a las funciones de la gerencia o responsable de los asuntos jurídicos de la organización?

60 _{Instituto de Auditores Internos (IIA, sigla en inglés) en enero de 2013, expidió la “Declaración de Posición: LAS}

130

¿El responsable de los asuntos jurídicos de la organización puede ser el mismo responsable de las funciones de cumplimiento normativo?

¿Cómo debe ser la interacción entre estas dos áreas o funciones?

El rol de la Gerencia de Riesgo o Gerencia de Cumplimiento de una organización es el de ayudar a crear y/o monitorear los controles legales que debe adoptar e implementar la gerencia legal, área jurídica o responsables de los asuntos jurídicos de la organización es el área de la organización (es decir, la primera línea de defensa de los riesgos legales), sin perjuicio de la aplicación de los controles legales que deben aplicar las gerencias operativas.

Las funciones de la Gerencia de Riesgo o Gerencia de Cumplimiento, frente a los riesgos penales o asociados a las actividades delictivas (como segunda de defensa), se considera (con base en la citada Declaración), pueden ser las siguientes:

 Facilitar y monitorear la implementación de prácticas efectivas de gestión de riesgos penales por parte de la gerencia legal, área jurídica o responsables de los asuntos jurídicos de la organización.

 Asiste a la gerencia legal, área jurídica o responsables de los asuntos jurídicos de la organización en la definición del objetivo de exposición al riesgo al riesgo penal y en la presentación adecuada de información relacionada con riesgos asociados a las actividades delictivas.

 Ejecutar una función de cumplimiento para monitorear los riesgos penales, específicamente el riesgo de incumplimiento de leyes y regulaciones aplicables, con consecuencias penales.

131

 Asegurar que la primera línea de defensa de los riesgos penales está apropiadamente diseñada, implementada y operando según lo previsto.

 Intervenir en la modificación y desarrollo de los sistemas de gestión de riesgos penales y de su control interno.

 Apoyar en la administración de políticas para la gestión de los riesgos penales, para la definición de roles y responsabilidades y el establecimiento de objetivos para su implementación.

 Proporcionar marcos para la gestión de riesgos penales

 Identificar cambios en el apetito de riesgo penales de la organización.

 Asistir a la administración en el desarrollo de procesos y controles para la gestión de riesgos penales.

 Proporcionar guía y entrenamiento en procesos de gestión de riesgos penales.  Facilitar y monitorear la implementación de prácticas efectivas de gestión de

riesgos penales por parte de la gerencia legal.

 Alertar a la gerencia legal operativa de asuntos emergentes y de cambios en los escenarios regulatorios y de riesgos.

 Monitorear la adecuación y efectividad del control interno, la exactitud e integridad de la información, el cumplimiento de las leyes y regulaciones, y la remediación oportuna de deficiencias.