Risk Governance, defensa a tres bandas

Hace unos días recibí la revista de ISACA “ISACA Journal Vol. 5 Governance, tying together the three lines of defense”. En esta publicación encontramos un artículo sobre el Risk Governance (en adelante, Gobierno del riesgo). El artículo me pareció interesante pero un poco alejado de la realidad con la que solemos encontrarnos. Si me permitís la expresión, creo que está redactado un poco “a la Americana“. En más de una ocasión, al leer sobre estos temas de gestión “de tan alto nivel” me quedo con una sensación un tanto extraña, es como si esas empresas con increíbles estructuras organizacionales no existieran por aquí. Eso me lleva a preguntarme: ¿tan distintas son unas organizaciones de otras? ¿O simplemente es que usamos distintos términos para referirnos a lo mismo? Gobernar, gestionar, administrar… el lenguaje es caprichoso.

En lo que resta de entrada quiero aportar mi interpretación sobre el artículo “The three lines of defense related to Risk Governance” (Las tres líneas de defensa relacionadas con el Gobierno del Riesgo) procurando ofrecer una visión más cercana y similar a la que nos podemos encontrar en nuestras empresas. Pero antes de centrarnos en el artículo creo que es conveniente revisar algunos conceptos para situarnos en contexto.

Gobierno corporativo: Conjunto de principios y normas que regulan el diseño, integración y funcionamiento de los órganos de gobierno de la empresa […]. Un buen Gobierno Corporativo provee los incentivos para proteger los intereses de la compañía y los accionistas, monitorizar la creación de valor y uso eficiente de los recursos […]. (Wikipedia).

Particularizando un poco esta definición para que se ajuste mejor a nuestro propósito, diremos que el “Gobierno corporativo” está formado por políticas, directrices y normativas que regulan cómo debe funcionar la organización para poder alcanzar unos objetivos (objetivos de negocio).

Gobierno TI: Parte del gobierno corporativo que consiste en que el liderazgo, las estructuras organizativas y los procesos para asegurar que la TI sostiene y extiende los objetivos y estrategias de la Organización. (IT Governance institute).

Gobierno del Riesgo: Aproximación sistemática al proceso de toma de decisiones asociado a los riesgos naturales o tecnológicos basada en los principio de cooperación, participación, mitigación y sostenibilidad para alcanzar una gestión de riesgos más efectiva. (Wikipedia).

Esta definición queda un poco alejada del contexto en el que nos movemos. En nuestro caso, tal y como hemos descrito el Gobierno TI, consideraremos el Gobierno del Riesgo como una parte más del Gobierno corporativo que, a través de estructuras organizativas y procesos, permitirá gestionar adecuadamente los riesgos (tecnológicos o no tecnológicos) facilitando que la organización alcance sus objetivos.

Una vez expuestos y particularizados algunos conceptos nos centramos en estudiar la estructura de Gobierno del Riesgo que plantea el autor del citado artículo. Se trata de una estructura compuesta por tres líneas de defensa, veamos en qué consisten, cuáles son sus funciones y cómo podríamos implementarlas en nuestra organización:

1ª Línea: Departamentos

La primera línea de defensa hace referencia a los departamentos de la organización y a los distintos empleados que realizan las tareas operativas. Sobre ellos recae la responsabilidad de gestionar el riesgo día a día. Para ello, deben conocer las implicaciones que tiene sobre la organización el correcto desempeño de sus tareas.

Implementación: Para trasladar esta línea a nuestras organizaciones será necesario habilitar unos canales de comunicación entre los departamentos y la 2ª línea de defensa para que cualquier información relevante desde el punto de vista del riesgo se comunique eficientemente. Evidentemente, se debe llevar a cabo un programa de formación en el que se indicará qué aspectos se deben controlar, cómo realizar las comunicaciones, etc.

2ª Línea: Comité de Riesgos

La segunda línea de defensa está formada por un comité multidisciplinar (Comité de Riesgos). Este grupo debe tener conocimientos sobre las distintas áreas de la organización. Puede haber un responsable que represente a cada departamento y, si se considera oportuno, se puede contar con asesoría externa.

Este comité tiene dos funciones principales. La primera de ellas consiste en prestar soporte a la Alta Dirección y, conjuntamente, decidir cuál es el nivel riesgo aceptable. Para ello lo más recomendable es realizar sesiones de trabajo en las que, a través de un caso de estudio, se plantean situaciones adversas a fin de determinar si la organización puede o no asumir determinados riesgos. La segunda función consiste en supervisar las tareas que se realizan los distintos departamentos y comprobar que el riesgo se mantiene bajo los umbrales fijados por la Alta Dirección.

Implementación: Es habitual que las organizaciones dispongan de un Comité de Gestión que dé soporte a la Alta Dirección o incluso que parte de la Alta Dirección forme parte de este órgano de gobierno. No tenemos que partir de cero ni reinventar la rueda. Las funciones y responsabilidades del Comité de Gestión se pueden ampliar para que adopten el rol del Comité de Riesgos.

3ª Línea: Grupo de auditoría

La tercera y última línea de defensa está formada por el grupo de auditoría. En el artículo al que hacemos referencia habla del US Sarbanes-Oaxley Act compliance team (grupo para verificar el cumplimiento de la Ley Sarbanes-Oaxley). En nuestro caso es más conveniente tener una visión más amplia. Para ello, indicaremos en las directrices de auditoría de nuestra organización que se debe verificar el cumplimiento legal en general, es decir, LOPD, LSSI, y/o cualquier ley o marco regulatorio del sector que sea de aplicación para nuestra organización.

El nombre del grupo nos permite deducir cuáles serán sus funciones. Únicamente remarcar que aparte de verificar el cumplimiento legal, deberá evaluar la efectividad global del marco establecido para el gobierno del riesgo.

Implementación: En la práctica muchas organizaciones cuentan con personal encargado de realizar las auditorías internas y, habitualmente se recurre a organizaciones externas para que las auditorías sean más objetivas e independientes. Estas personas serán las encargadas de comprobar que el Gobierno del Riesgo es el adecuado.

A estas alturas no creo que nadie se plantee diseñar, establecer y operar una estructura para el Gobierno del Riesgo partiendo desde cero. Probablemente esa no sea la mejor opción ya que la empresa en cuestión tendrá su propia estructura organizativa, se habrán definido roles, asignado responsabilidades, implantado procesos, etc. Por eso, considero que la clave para establecer sistemas de Gobierno (si lo podemos llamar así) radica en realizar un análisis y ver qué analogías encontramos entre el modelo propuesto en los estándares, guías o normas y nuestra organización. Seguramente encontremos más similitudes de las que a priori podríamos pensar. Nos sorprenderemos al comprobar que cuando unos hablan de ”tres líneas de defensa”, nosotros hablamos de “defensa a tres bandas”.