Boletín de investigación
Los 29 principios del gobierno corporativo y el modelo de las tres líneas
T. Sector Empresa Auditoría Interna
C.P. Edgar Cruz Cruz
1. Presentación
Los 29 principios de gobierno corporativo están enfocados en las organizaciones del sector financiero e incluyen aspectos claves del sistema de gobierno corporativo y del consejo de administración, así como las funciones de administración integral de riesgos, control interno, auditoría interna y de cumplimiento. Si estos principios los llevamos a organizaciones que no pertenecen al sector financiero, podemos entender que son mejores prácticas y que su adopción ayuda a mantener un equilibrio entre los accionistas, los órganos de gobierno y el personal de la organización.
2. Introducción
Los 29 principios aplican tanto para grandes empresas como para medianas y pequeñas organizaciones; sin embargo, debe prevaler el principio de proporcionalidad en su adopción.
También se hace referencia al modelo de las tres líneas del Instituto de Auditores Internos (IIA son sus siglas en inglés), ya que existe una convergencia de manera natural en los temas de gobierno, riesgo y control con relación a los 29 principios.
En este sentido, es conveniente que el auditor interno conozca estos 29 principios y su interrelación con el modelo de las tres líneas, ya que le permitirá formarse un criterio sobre los conceptos que se manejan en los temas de gobierno, riesgo, control y cumplimiento, y con independencia del sector en el cual se desempeñe, formarse un juicio para hacer recomendaciones sobre el sistema de gobierno que tengan implementado su organización.
3. Desarrollo
Los 29 principios de gobierno corporativo
Los 29 principios se encuentran clasificados en dos grandes categorías:
- Criterios para evaluar el cumplimiento de los principios básicos potestades, atribuciones y funciones de los supervisores.
- Regulaciones y requisitos prudenciales.
A. Los criterios para evaluar el cumplimiento de los principios básicos, potestades, atribuciones y funciones de los supervisores se comentan a continuación:
Principio 1: Atribuciones, objetivos y potestades. Todo sistema eficaz de supervisión bancaria cuenta con atribuciones y objetivos claros para cada autoridad que participe en la supervisión de bancos y grupos bancarios. Existe asimismo un marco jurídico apropiado que confiere a cada autoridad responsable las potestades legales necesarias para autorizar bancos, realizar una supervisión continua, asegurar el cumplimiento de la ley y adoptar las oportunas medidas correctivas en materia de seguridad y solvencia bancaria.
El enfoque de este principio consiste en vigilar que las instituciones cumplan con las leyes, regulaciones y normas a las que están sujetas. La autoridad está facultada para acceder al consejo de administración, a la dirección, al personal y a los registros de la institución.
Asimismo, puede imponer sanciones a las instituciones y, en su caso, revocar licencias de funcionamiento.
Principio 2: Independencia, rendición de cuentas, recursos y protección legal de los supervisores. El supervisor cuenta con independencia operativa, procesos transparentes, un buen gobierno corporativo y recursos adecuados, y rinde cuentas del desempeño de sus funciones. El marco jurídico de la supervisión bancaria incluye la protección legal del supervisor.
Este principio hace referencia a que el supervisor cuenta con el personal, las herramientas y el marco de gobierno para realizar sus labores de supervisión de manera independiente, objetiva y sin conflictos de intereses.
Principio 3: Cooperación y colaboración. Las leyes, regulaciones y otros procedimientos proporcionan un marco de cooperación y colaboración con las pertinentes autoridades locales y supervisores extranjeros; estos procedimientos reflejan la necesidad de proteger la información confidencial.
En este principio se indica que la información de las instituciones que obran en poder del supervisor, en caso de ser necesario, se intercambia como un proceso de cooperación con autoridades que así lo requieran, siempre y cuando se guarde la debida confidencialidad y que ésta se use únicamente para fines de supervisión de las operaciones de la institución; además, en algunos casos, se deberá solicitar permiso a la institución que sea dueña de la información, a fin de que se pueda hacer uso de ésta o compartirla con otras autoridades.
Principio 4: Actividades permitidas. Las actividades que pueden desarrollar las entidades autorizadas a operar como bancos y sujetas a supervisión están claramente definidas y se controla el uso de la palabra “banco” como razón social.
Este principio hace referencia a que en las leyes esté claramente definido el término "banco", así como las actividades que éstos pueden desarrollar y que están sujetas a supervisión por parte de la autoridad.
Principio 5: Criterios para la concesión de licencias. La autoridad encargada de conceder las licencias tiene potestad para establecer criterios y rechazar las solicitudes de establecimientos que no cumplan esos criterios. Como mínimo, el proceso de autorización contempla la evaluación de la estructura de propiedad y buen gobierno del banco y del grupo al que pertenece, así como de su plan estratégico y operativo, controles internos, gestión del riesgo y evolución prevista de la situación financiera. Cuando el propietario u organismo matriz del banco propuesto sea extranjero se recaba el consentimiento previo del supervisor del país de origen.
Este principio, sin duda, es uno de los más relevantes, pues hace mención a la estructura jurídica, gerencial, operativa y propuesta de la institución a constituirse. También se verifica la idoneidad de los principales accionistas de la institución, así como el origen del capital inicial y la capacidad financiera de éstos; adicionalmente, la experiencia e integridad de los consejeros. Se necesita contar con un plan estratégico y operativo, el diseño de un buen sistema de gobierno corporativo, el sistema de gestión de riesgo y de controles internos, así como la prevención de lavado de dinero y el financiamiento al terrorismo.
Principio 6: Cambio de titularidad de participaciones significativas. El supervisor tiene potestad para examinar, rechazar y establecer condiciones prudenciales respecto de propuestas de cambio de titularidad de participaciones significativas o de control, tanto si se poseen de modo directo o indirecto en bancos preexistentes.
Este principio se refiere a lo que es una participación significativa y una participación de control por los accionistas. Cualquier cambio es requisito indispensable que se notifique al supervisor, incluyendo algún dato significativo que pueda afectar negativamente la idoneidad de un accionista.
Principio 7: Adquisiciones sustanciales. El supervisor tiene potestad para aprobar o rechazar (o recomendar a la autoridad responsable la aprobación o el rechazo) y establecer condiciones prudenciales respecto de las adquisiciones o inversiones sustanciales que realice un banco, en función de criterios prescritos incluida la realización de operaciones transfronterizas, así como para determinar que la estructura del grupo o de la entidad no expone al banco a riesgos innecesarios ni obstaculiza la supervisión eficaz.
Este principio describe los criterios que deben utilizar los bancos cuando van a realizar una adquisición o inversiones, para lo cual se requiere la autorización del supervisor.
Principio 8: Enfoque supervisor. Un sistema eficaz de supervisión bancaria exige que el supervisor desarrolle y mantenga una evaluación prospectiva del perfil de riesgo de bancos individuales y grupos bancarios, proporcionada a su importancia sistémica; identifique, evalúe y ataje riesgos procedentes de los bancos y del sistema bancario en su conjunto; cuente con un marco de intervención temprana, y disponga de planes, en combinación con otras autoridades pertinentes, para adoptar medidas de liquidación ordenada de bancos si éstos dejan de ser viables.
Este principio se refiere a la metodología para determinar y evaluar -en forma continua- la naturaleza, el impacto y el alcance de los riesgos. Esta metodología contempla el enfoque de negocio, el perfil de riesgos, el entorno de control interno y la reestructuración de la entidad; además, permite la comparación entre diferentes instituciones. En este sentido, el supervisor valida que los bancos y grupos bancarios cumplan con las normas prudenciales y requisitos legales.
Principio 9: Técnicas y herramientas de supervisión. El supervisor utiliza una adecuada gama de técnicas y herramientas para aplicar el enfoque supervisor y emplea los recursos supervisores de manera proporcionada, teniendo en cuenta el perfil de riesgo y la importancia sistémica de los bancos.
Este principio hace referencia a las revisiones que hace el supervisor en materia de modelo de negocio, información financiera, solvencia, aspectos operativos, gobierno corporativo, gestión del riesgo y control interno. Adicionalmente, el supervisor revisa el trabajo del auditor interno y determina en qué medida puede utilizarla para identificar riesgos potenciales.
En este proceso de supervisión, la autoridad mantiene contacto con el consejo de administración, con la alta dirección, con la gerencia y los responsables de las diferentes unidades de negocio para validar los temas de la estrategia, la estructura del grupo, el sistema de gobierno corporativo, los resultados del banco, la suficiencia de capital la liquidez, la calidad de los activos, así como los sistemas de gestión de riesgos y de control interno.
Principio 10: Informes de supervisión. El supervisor recaba, revisa y analiza los informes prudenciales y estadísticos de los bancos, tanto a título individual como en base consolidada, y los verifica independientemente, ya sea a través de inspecciones in situ o con la ayuda de expertos externos.
Este principio refiere que las instituciones, cuando lo solicite la autoridad, deben presentar informes -de manera regular o en forma específica- sobre su situación financiera, además de resultados y riesgos. La autoridad utiliza políticas y procedimientos para verificar la validez e integridad de la información presentada por la institución o se puede asistir de expertos externos.
Principio 11: Potestades correctivas y sancionadoras del supervisor. El supervisor actúa con prontitud para atajar prácticas contrarias a la seguridad y solidez o actividades que podrían plantear riesgos para los bancos o el sistema bancario. El supervisor cuenta con una adecuada gama de herramientas de supervisión que le permite aplicar oportunas medidas correctivas. Esto incluye la capacidad de revocar licencias bancarias o de recomendar su revocación.
En este principio se menciona que los problemas detectados por el supervisor son informados a la dirección y, en su caso, al consejo de administración. La autoridad solicita que se le informen de manera periódica los avances que vaya teniendo la institución en la solución de los problemas observados por la autoridad. Estos aspectos pueden incluir el cierre, la reestructuración o la fusión con otra institución que tenga la solvencia.
Principio 12: Supervisión consolidada. Para la supervisión bancaria resulta esencial que el supervisor lleve a cabo su labor en base consolidada para todo el grupo bancario, realizando un adecuado seguimiento y, cuando corresponda, aplicando normas prudenciales a todos los aspectos de las actividades que el grupo realiza a escala mundial.
Este principio hace mención de aquel supervisor que entiende las actividades realizadas por el grupo bancario tanto en su país como en el extranjero. Éste promulga normas y analiza la información financiera, así como áreas como la suficiencia de capital, la liquidez, la exposición a grandes riesgos las partes vinculadas, los límites al crédito y la estructura del grupo. La autoridad supervisa cada banco por separado y comprende su relación con las otras instituciones del grupo.
Principio 13: Relaciones entre los supervisores de origen y de acogida. Los supervisores de origen y de acogida de los grupos bancarios transfronterizos intercambian información y cooperan en aras de una supervisión eficaz del grupo y de las entidades del grupo, así como de una gestión eficaz de situaciones de crisis. Los supervisores exigen que las operaciones locales de los bancos extranjeros se lleven a cabo en virtud de las mismas normas que se aplican a las entidades locales.
Este principio hace mención de la forma en la que se coordinan los diferentes supervisores tanto del país de origen como el de acogida y cómo la institución gestiona los riesgos significativos, así como la solvencia de la entidad.
B. Regulaciones y requisitos prudenciales.
Los siguientes principios hacen hincapié en la importancia del buen gobierno corporativo y la gestión de riesgos, así como del cumplimiento de las normas de supervisión que se comentan a continuación:
Principio 14: Gobierno corporativo. El supervisor verifica que los bancos y grupos bancarios cuenten con sólidas políticas y procesos en materia de gobierno corporativo que abarcan, por ejemplo, la dirección estratégica, la estructura de grupo y organizativa, el entorno de control, las atribuciones de los consejos y la alta dirección, así como las retribuciones. Estas políticas y procesos están en consonancia con el perfil de riesgo y la importancia sistémica del banco.
Este principio trata las reglas que deben seguir el consejo y la alta dirección de conformidad con las normas dictadas por la autoridad en materia de gobierno corporativo; lo anterior, a fin de garantizar el control eficaz de todas las actividades de la institución. El supervisor evalúa periódicamente las prácticas y políticas de gobierno corporativa de la institución.
Uno de los aspectos relevantes de este principio es que el consejo es responsable de aprobar y vigilar la aplicación de la dirección estratégica, el nivel de apetito, la estrategia y las políticas por el riesgo de la institución; asimismo, establece y comunica la cultura y los valores corporativos, y determina políticas en materia de conflictos de intereses y un sólido entorno de control.
Principio 15: Proceso de gestión del riesgo. El supervisor verifica que los bancos cuentan con un proceso integral de gestión de riesgo que incluye una eficaz vigilancia por parte del consejo y alta dirección para identificar, cuantificar, evaluar, vigilar, informar y controlar o mitigar todos los riesgos significativos en el momento oportuno y para valorar la suficiencia de su capital y liquidez en relación con su perfil de riesgo y la situación macroeconómica y de los mercados. Esto se extiende al desarrollo y revisión de planes de recuperación robustos y creíbles que tengan en cuenta las circunstancias específicas del banco. El proceso de gestión del riesgo está en consonancia con el perfil de riesgo y la importancia sistémica de la entidad.
Este principio señala que las instituciones deben tener implementado un sistema integral de riesgos y aquellas que sean más grandes deberán contar con la unidad especializada en gestión del riesgo, la cual debe ser liderada por un director de gestión de riesgo o una función equivalente. Adicionalmente, el supervisor emite las normas sobre riesgo de crédito, de mercado, de liquidez, de tasa de interés en la cartera de inversión y para el riesgo operacional, las cuales deben ser implementadas por la institución.
Principio 16: Suficiencia de capital. El supervisor exige a los bancos unos requerimientos de capital prudentes y adecuados que reflejan los riesgos asumidos, y afrontados, por un banco en el contexto de la situación macroeconómica y de los mercados donde opera. El supervisor define los componentes del capital, teniendo en cuenta su capacidad para absorber pérdidas.
Este principio se refiere a los cálculos de capital que deben realizar las instituciones, los cuales están sujetos a la supervisión de la autoridad y en ellos se considera la definición del capitán, la cobertura del riesgo, el método de cálculo y los umbrales de los requerimientos prescritos. Las instituciones deben apegarse a los lineamientos que dicte la autoridad para el cálculo del capital. Cuando las instituciones utilizan estimaciones de riesgos internas para calcular el capital, éstas deben ser autorizadas y aprobadas por la autoridad.
Principio 17: Riesgo de crédito: El supervisor verifica que los bancos disponen de un adecuado proceso de gestión del riesgo de crédito que tiene en cuenta su apetito por el riesgo, su perfil de riesgo y la situación macroeconómica y de los mercados. Esto incluye políticas y procesos prudentes para identificar, cuantificar, evaluar, vigilar, informar y controlar o mitigar el riesgo de crédito (incluido el riesgo de crédito de contraparte) en el momento oportuno. El ciclo de vida completo del crédito deberá quedar contemplado, incluida la concesión del crédito, la evaluación del crédito y la gestión continua de las carteras de préstamos e inversiones.
Este principio determina cómo las instituciones bancarias deben gestionar el riesgo de crédito, cumpliendo con sus políticas, procesos, límites, tolerancia, así como su perfil de riesgos, todo alineados a las normas que emite la autoridad. Es sumamente importante que las instituciones cuenten con sistemas de información eficaces para informar al consejo y a la alta dirección de las exposiciones al riesgo de crédito de forma sistemática.
Principio 18: Activos dudosos, provisiones y reservas. El supervisor verifica que los bancos cuentan con adecuadas políticas y procesos para una pronta identificación y gestión de los activos dudosos y para el mantenimiento de suficientes provisiones y reservas.
Este principio responde a que las instituciones bancarias deben contar con políticas o procesos adecuados que permitan identificar activos problemáticos, la supervisión continua de activos dudosos y el cobro de los créditos vencidos. Se deberá contar con un sistema de información permanente que notifique sobre estos temas al consejo, la alta dirección y a las autoridades cuando sea requerido.
Principio 19: Concentración de riesgos y límites de exposición a grandes riesgos. El supervisor verifica que los bancos cuentan con políticas y procesos adecuados para identificar, cuantificar, evaluar, vigilar, informar y controlar o mitigar concentraciones de riesgo en el momento oportuno. Los supervisores establecen límites prudenciales que acotan las posiciones del banco frente a una misma contraparte o grupos de contrapartes conectadas.
Este principio señala que las instituciones deben implementar políticas y procesos para los riesgos de concentración y de grandes riesgos, además de la forma en la que deben ser administrados e informados. Esto debe estar apegado a la normativa que emita la autoridad.
Principio 20: Transacciones con partes vinculadas. A fin de evitar abusos en las transacciones con partes vinculadas y reducir el riesgo de un conflicto de intereses, el supervisor exige a los bancos realizar, con total imparcialidad, cualquier transacción con partes vinculadas; vigilar estas transacciones; adoptar medidas adecuadas para controlar o mitigar los riesgos, y reconocer contablemente las pérdidas en las exposiciones frente a terceras partes vinculadas con arreglo a las políticas y procesos habituales.
Este principio menciona que las instituciones deben tener políticas y procesos para identificar las transacciones que se realizan con partes vinculadas e informarlas a la alta dirección y al consejo, cuidando las reglas que emite la autoridad en esta materia.
Principio 21: Riesgo país y riesgo de transferencia. El supervisor verifica que los bancos cuentan con políticas y procesos adecuados para identificar, cuantificar, evaluar, informar y controlar o mitigar el riesgo país y el riesgo de transferencia en sus préstamos e inversiones internacionales en el momento oportuno.
Este principio hace mención de que, adicional a las políticas y procesos, se debe contar con sistemas de información, gestión de riesgo y control interno para agregar, vigilar y notificar correcta y oportunamente estas posiciones, así como garantizar el cumplimiento de los límites establecido por cada país.
Principio 22: Riesgo de mercado. El supervisor verifica que los bancos cuentan con un adecuado proceso de gestión del riesgo de mercado que tiene en cuenta su apetito por el riesgo, su perfil de riesgo, la situación macroeconómica y de los mercados y el riesgo de un deterioro sustancial de la liquidez de mercado. Esto incluye políticas y procesos prudentes para identificar, cuantificar, evaluar, vigilar, informar y controlar o mitigar los riesgos de mercado en el momento oportuno.
Este principio hace énfasis en que las políticas, los procesos y la estrategia para el riesgo de mercado deben ser aprobados y supervisados por el consejo de tal forma que se garantice que se cumplan las políticas y el correcto control del riesgo de mercado.
Principio 23: Riesgo de tasa de interés en la cartera de inversión. El supervisor verifica que los bancos cuentan con sistemas adecuados para identificar, cuantificar, evaluar, vigilar, informar y controlar o mitigar el riesgo de tasa de interés en la cartera de inversión en el momento oportuno. Estos sistemas tienen en cuenta el apetito por el riesgo y el perfil de riesgo del banco, así como la situación macroeconómica y de los mercados.
Este principio se refiere a que la institución cuente con una adecuada estrategia en materia de riesgo de tasa de interés, políticas y procesos que deben ser aprobados y supervisados por el consejo de tal forma que se garantice que se cumplan las políticas y el correcto control del riesgo de tasa de interés.
Principio 24: Riesgo de liquidez. El supervisor exige a los bancos unos requerimientos de liquidez prudentes y adecuados (de tipo cuantitativo, cualitativo o de ambos tipos) que reflejen las necesidades de liquidez del banco. El supervisor verifica que los bancos disponen de una estrategia que les permite la gestión prudente del riesgo de liquidez y el cumplimiento de los requerimientos de liquidez. La estrategia tiene en cuenta el perfil de riesgo del banco, así como la situación macroeconómica y de los mercados incluye políticas y procesos prudentes, acordes con el apetito por el riesgo de la entidad para identificar, cuantificar, evaluar, vigilar, informar y controlar o mitigar el riesgo de liquidez a lo largo de un conjunto relevante de horizontes temporales.
En este principio se hace referencia a que la institución cuente con una adecuada estrategia en materia de riesgo de liquidez, políticas y procesos, los cuales deben ser aprobados y supervisados por el consejo, a fin de que se garantice que se cumplan las políticas y el correcto control del riesgo de liquidez.
Principio 25: Riesgo operacional. El supervisor verifica que los bancos cuentan con un marco adecuado de gestión del riesgo operacional que tiene en cuenta su apetito por el riesgo, su perfil de riesgo y la situación macroeconómica y de los mercados. Esto incluye políticas y procesos prudentes para identificar, cuantificar, evaluar, vigilar, informar y controlar o mitigar el riesgo operacional en el momento oportuno.
Este principio se refiere a que la institución cuente con una adecuada estrategia en materia de riesgo operacional, políticas y procesos que deben ser aprobados y supervisados por el consejo para que se garantice el cumplimiento de las políticas y el correcto control del riesgo operacional.
Dentro del riesgo operacional se incluyen los planes de recuperación ante desastres y de continuidad del negocio en escenarios de graves alteraciones de la actividad que puedan afectar a la entidad. También se consideran el riesgo tecnológico y el riesgo legal. Se debe contar con una base de datos para recopilar y analizar el comportamiento del riesgo operacional.
Asimismo, se debe informar al consejo, a la alta dirección y a las líneas de negocio de la entidad sobre la gestión proactiva del riesgo operacional.
Principio 26: Control y auditoría internos. El supervisor verifica que los bancos cuenten con adecuados controles internos para establecer y mantener un entorno operativo correctamente controlado que facilite la gestión de su negocio, teniendo en cuenta su perfil de riesgo. Dichos controles incluyen procedimientos claros sobre delegación de autoridad y atribuciones; separación de las funciones que implican compromisos del banco, desembolsos de sus fondos y contabilidad de sus activos y pasivos; conciliación de estos procesos; protección de los activos del banco, y funciones independientes de auditoría interna y de cumplimiento para verificar la observancia de estos controles, así como de la legislación y regulación aplicables.
Este principio menciona tres grandes componentes:
- El primero se refiere a que el consejo y/o la alta dirección son responsables de los controles internos que permitan la correcta operación de la gestión del negocio, considerando el perfil de riesgo.
- El segundo, que se cuente con una función de cumplimiento, permanente e independiente, que apoye a la alta dirección en la gestión de los riesgos de cumplimiento.
- El tercero, que se tenga una función de auditoría interna independiente, permanente y eficaz que sea responsable de evaluar el control interno, la gestión de los riesgos, cumplimiento y el gobierno corporativo.
Principio 27: Información financiera y auditoría externa. El supervisor verifica que los bancos y grupos bancarios mantienen registros adecuados y fiables, elaboran estados financieros conforme las políticas y prácticas contables ampliamente aceptadas a escala internacional y publican anualmente información que refleja razonablemente su situación financiera y resultados y está sujeta a la opinión de un auditor externo independiente. El supervisor también verifica que los bancos y las sociedades matrices de los grupos bancarios cuentan con adecuados sistemas de buen gobierno y vigilancia de la función de auditoría externa.
Este principio menciona que el consejo y la dirección son responsables de que los estados financieros se elaboren conforme a las prácticas y las políticas contables aceptadas a nivel internacional y de que éstas se basen en sistemas de registro de la información financiera que generan datos adecuados y fiables. La autoridad hace responsable al consejo y a la dirección del banco de que los estados financieros anuales sean verificados por expertos externos independientes conforme a las prácticas y las normas internacionales aceptadas.
Principio 28: Divulgación y transparencia. El supervisor verifica que los bancos y grupos bancarios publican regularmente información en base consolidada y, cuando corresponda, a título individual, que resulta de fácil acceso y refleja razonablemente su situación financiera, resultados, exposiciones al riesgo, estrategias de gestión del riesgo y políticas y procesos de gobierno corporativo.
Este principio se refiere a que la autoridad supervisora exige a la institución la divulgación de la información consolidada en forma periódica o en forma individual, como es la información financiera, así como la cualitativa y cuantitativa de sus resultados, estrategias y prácticas de gestión del riesgo, además del buen gobierno.
Principio 29: Utilización abusiva de servicios financieros. El supervisor verifica que los bancos cuentan con políticas y procesos adecuados, incluidas estrictas reglas de diligencia de vida con la clientela (CDD) para promover normas éticas y profesionales de alto nivel en el sector financiero e impedir que el banco se ha utilizado, intencionalmente o no, con fines delictivos.
En este principio se menciona que los bancos deben contar con suficientes controles y sistemas para prevenir, identificar y denunciar la utilización abusiva de servicios financieros, incluidos el blanqueo de capitales y la financiación del terrorismo. La autoridad es responsable de actuar con las instituciones que no cumplan con estos elementos. Es responsabilidad de las instituciones informar a las autoridades competentes de las operaciones sospechosas.
El Modelo de las Tres Líneas del IIA
Una vez comentados los 29 pilares del gobierno corporativo, y partiendo del modelo de las tres líneas, podemos comentar que este modelo puede ser adoptado por las instituciones bancarias, ya que permite una clara segmentación en los temas de los órganos de gobierno, las áreas que operan (primera línea), las áreas de control y cumplimiento (segunda línea), y la función de auditoría interna en forma independiente y objetiva (tercera línea).
El modelo de las tres líneas se define de esta manera:
El modelo ayuda a las organizaciones a identificar estructuras y procesos que mejor contribuyan a alcanzar los objetivos y faciliten un gobierno sólido y una gestión de riesgos. El modelo se aplica a todas las organizaciones y se optimiza mediante:- Adoptar un enfoque basado en principios y adaptar el modelo a los objetivos y circunstancias de la organización.
- Centrarse en la contribución de la gestión de riesgos a la obtención de objetivos y la creación de valor, así como en cuestiones de "defensa" y protección del valor.
- Comprender claramente los roles y las responsabilidades representadas en el modelo y las relaciones entre ellas.
- La aplicación de medidas para garantizar que las actividades y los objetivos estén en consonancia con los intereses prioritarios de las partes interesadas.
El modelo describe en forma holística todos los elementos de un buen gobierno que debe adoptar cualquier organización y éstos encajan con los 29 principios.
Los principios, a manera de resumen del modelo de las tres líneas, son:
Principio 1: Gobierno. Se proveen de todos los elementos y recursos para que exista la rendición de cuentas, se cumplan los objetivos de la empresa y se dé la independencia de la función de auditoría interna.
Principio 2: Roles del órgano de gobierno con claras definiciones que permite la rendición de cuentas en toda la organización.
Principio 3: Dirección y roles de primera y segunda línea. Clara división y segregación de funciones que minimiza el conflicto de intereses. La dirección es responsable de coordinar la primera y segunda línea.
Principio 4: Roles de tercera línea. Función de auditoría interna, independiente y objetiva que revisa el gobierno y la gestión de riesgos.
Principio 5: Independencia de tercera línea. Función de auditoría interna independiente de la administración que garantiza su objetividad, autoridad y credibilidad.
Principio 6: Creación y protección del valor. Es un modelo holístico en el que el gobierno y las tres líneas contribuyen en la generación de valor.
A continuación, se presenta la gráfica del modelo de las tres líneas:
4. Conclusiones
Los 29 principios, en su conjunto, representan los aspectos que por una parte deben cuidar las organizaciones del sector financiero para cumplir con las leyes y regulaciones de las autoridades que las supervisan y, por otra parte, la adopción de los temas de gobierno, riesgo, control, cumplimiento y auditoría interna que deben tener implementadas como elementos que coadyuvan al logro de la estrategia del negocio, la rendición de cuentas a las partes interesadas y con las propias autoridades. Se hace mucho énfasis en contar con un sistema efectivo de gestión de riesgos y de control interno que ayude al consejo y alta dirección en la vigilancia de la marcha del negocio y la adecuada toma de decisiones.
Incorporando el modelo de las tres líneas se genera una sinergia natural, ya que con sus seis principios, de manera holística, se permite cubrir el tema de gobierno, riesgo, control cumplimiento y auditoría interna y el logro de los objetivos de la estrategia, además, por consiguiente, de la rendición de cuentas para los accionistas y los terceros interesados y la interacción entre los roles de la primera y segunda líneas, que en su conjunto mantienen una segregación natural de funciones que permite que la tercera línea -en forma independiente y objetiva- evalúe el funcionamiento del sistema de gestión de riesgos, control interno y el funcionamiento del gobierno corporativo.
5. Referencias
- Principios básicos para una supervisión bancaria eficaz. Comisión de Supervisión Bancaria de Basilea, 2011.
- El Modelo de las Tres Líneas del IIA. The Institute of Internal Auditors, 2020.
