Del 4-4-2 al 1-2-7

Actualizado: 20 de mar de 2019




Sí, así es, me gusta el fútbol, qué le voy a hacer, nadie es perfecto....


Continuando con el símil futbolístico de artículos anteriores, la organización clásica de la gestión de riesgos en una empresa se asemeja a la disposición táctica de un equipo de fútbol sobre el terreno de juego: defensa, medio campo y ataque.


Es decir, tres líneas de juego, o en la literatura relativa a la gestión de riesgos tres líneas de defensa.


Sin embargo, la distribución de recursos en cada una de las líneas es claramente diferente.


Y ¿cuál es el papel y la importancia de cada una de esas líneas de defensa?


1.-En primer lugar, lo que se asemejaría a los delanteros, sería la línea operativa: los primeros encargados de asegurar la correcta gestión de los riesgos en cualquier compañía.


La línea operativa, la más numerosa, es la responsable de los procesos y de los riesgos en el sentido de que son los dueños de los mismos; y esto necesariamente es así, porque son los que más cerca están de la acción, los que tienen el principal contacto con clientes, proveedores y otros interlocutores de las compañías, los que conocen de primera mano sus impresiones, los que capturan datos, gestionan emociones e introducen el negocio en las empresas, y los que por tanto obtienen información de primera mano y en tiempo real de posibles incidencias, quejas, reclamaciones, ineficiencias, o cualquier otro tipo de mal funcionamiento de los procesos, herramientas o comunicaciones. 


Por tanto, toda esta información debidamente recogida, tabulada y analizada debe ser la fuente principal de conocimiento de la compañía; la que posteriormente será explotada a través de los canales adecuados por el resto de herramientas y áreas de control y gestión de riesgos.


2.-En segundo lugar, las áreas de soporte configuran la segunda línea defensiva, lo que sería la línea de medios en un equipo de fútbol.

En función del tamaño, cultura, organización, sector de la compañía, la composición de esta línea defensiva puede variar entre una organización centralizada en torno a la figura de un CRO o Director Global de Riesgos que incluye bajo su responsabilidad, la gestión de todos los riesgos no financieros (Cumplimiento Normativo, Riesgo de Crédito, Riesgo Operacional, Protección de Datos, CiberRiesgos, Seguridad de la Información, Control Interno, Riesgo de Proveedores); o una gestión atomizada de los mismos en la que cada una de las áreas está dispersa en la organización y tiene dependencias funcionales distintas. 


Personalmente, apuesto más por el primer tipo organizativo. Por mi experiencia, creo firmemente que la gestión de riesgos debe ocupar un lugar organizativo a la altura de cualquier otra función en la compañía y que debe estar jerárquicamente arropada y a la misma altura que cualquier otro servicio dentro del catálogo que ofrece la empresa, con una característica adicional: ésta función debe ser independiente del resto de áreas operativas de la compañía para poder ejecutar correctamente su labor de servicio y vigilancia.


Esta segunda línea debe hacer tareas de educación, toma de conciencia, supervisión, en relación a la gestión de riesgos y captura de la información que realiza la primera línea; proporciona la metodología adecuada, y genera la información útil para la toma de decisiones a la dirección en materia de gestión de riesgos. Realiza los mapas de riesgos, los informes de seguimiento, gestiona el gobierno de las incidencias, los eventos de pérdidas y proporciona la formación adecuada y las claves necesarias para que los niveles directivos y los distintos comités del Consejo puedan obtener una visión holística del nivel de riesgo de la entidad.


3.-La tercera línea de defensa que no siempre existe en las compañías, pero que proporciona un nivel de seguridad imprescindible en la gestión de riesgos es la Auditoría Interna; en nuestro ejemplo serían los defensas del equipo de fútbol.


Si es importante que la segunda línea sea independiente de la operativa de la compañía, resulta imprescindible de acuerdo a la propia definición de los principios de auditoría interna demostrar la independencia de esta función de los órganos de gestión de las entidades.


Auditoría Interna sólo debe depender del Comité/Comisión de Auditoría o del Consejo de Administración en su caso, aunque manteniendo una línea de reporte funcional con el Consejero Delegado o Director General.


Esta área utiliza metodologías propias y estandarizadas para realizar análisis y diagnósticos sobre la situación de los riesgos principales de la entidad, en base a los distintos planes anuales y estratégicos.


Adicionalmente, destacaría en mi opinión la existencia de una cuarta línea de defensa, que normalmente no aparece como tal en la literatura clásica pero que juega un papel fundamental en toda la organización defensiva de una compañía: el comité de dirección y sobre todos ellos, el Director General / Consejero Delegado.


Asimilándolo al portero de un equipo de fútbol, debe ser el que lidere con su ejemplo, disposición, comportamiento, y mensajes continuos la organización defensiva de la entidad.


Sin duda alguna, más allá de la disposición táctica y asignación de recursos, lo más importante es que todas funcionen como un equipo en el que cada línea aporta lo mejor de sí misma a los objetivos comunes del negocio.

6 vistas0 comentarios

Entradas Recientes

Ver todo