Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRES
Por
La información contenida en este documento es de carácter general y se basa en autoridades que están sujetas a cambios. La aplicabilidad de la información a situaciones específicas debe
determinarse consultando a su asesor profesional, y este documento no debe considerarse un sustituto.
para los servicios de dichos asesores, ni debe utilizarse como base para ninguna decisión o acción que pueda afectar a su organización.
Autores
Douglas J. Anderson, CIA, CPA, CRMA, CMA Director ejecutivo Gina Eubanks, CIA, CISA, CRMA, CCSA
de auditoría Consultor en la materia de la I yo A's Audit Executive Vicepresidente de servicios profesionales
Center®
Agradecimientos
Nos gustaría reconocer a Richard J. Anderson, Richard Chambers, Sally Dix, Jim DeLoach, Hal Gar y n, y Paul Marshall por
Prefacio
Este proyecto fue encargado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), que se dedica a proporcionar
liderazgo intelectual a través del desarrollo de marcos integrales y orientación sobre gestión de riesgos empresariales, control interno y disuasión
del fraude diseñados para mejorar el desempeño organizacional y gobernanza y para reducir el alcance del fraude en las organizaciones. COSO es
una iniciativa del sector privado patrocinada y financiada conjuntamente por las siguientes organizaciones:
TRES
Reesseeaarrcchh CCoom
mm ennordeste
miissssiio eddbpory
Julio de 2015
Copyright © 2015, Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). 1234567890 PIP 198765432
Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, redistribuida, transmitida o mostrada en cualquier forma o por cualquier medio sin
permiso por escrito. Para obtener información sobre licencias y permisos de reimpresión, comuníquese con el agente de licencias y permisos del Instituto Americano de
Contadores Públicos Certificados para materiales con derechos de autor de COSO. Dirija todas sus consultas a copyright@aicpa.org o AICPA, Attn: Manager, Rights and
Permissions, 220 Leigh Farm Rd., Durham, NC 27707. Las consultas telefónicas pueden dirigirse al 888-777-7077.
Contenido Página
Introducción 1
Resumen Ejecutivo 1
IV.conclusión 14
Observaciones clave 14
Apéndice 15
Sobre COSO 24
Sobre el IIA 24
Gráficos obtenidos de Las tres líneas de defensa en la gestión y el control eficaces del riesgo,
Instituto de Auditores Internos, enero de 2013.
Introducción
Este documento es una colaboración entre el Comité de Organizaciones Patrocinadoras (COSO) y el Instituto de Auditores Internos, Inc. El propósito de este documento
es ayudar a las organizaciones a mejorar sus estructuras generales de gobierno proporcionando orientación sobre cómo articular y asignar roles y responsabilidades
específicos. respecto al control interno relacionando el COSO
Control interno - Marco integrado 1 al modelo de las tres líneas de defensa. 2
Resumen Ejecutivo
Toda organización tiene objetivos que se esfuerza por lograr. En la búsqueda de ni “lagunas” en el tratamiento del riesgo y el control, ni duplicación
estos objetivos, la organización se encontrará con eventos y circunstancias que de esfuerzos innecesaria o involuntaria.
pueden amenazar el logro de estos objetivos. Estos eventos y circunstancias
potenciales crean riesgos que una organización debe identificar, analizar, definir y Las Tres Líneas de Defensa (el Modelo) abordan cómo se podrían asignar y
abordar. Algunos riesgos pueden aceptarse (en su totalidad o en parte) y algunos coordinar tareas específicas relacionadas con el riesgo y el control dentro de una
pueden mitigarse total o parcialmente hasta un punto en el que estén a un nivel organización, independientemente de su tamaño o complejidad. Los directores y la
aceptable para la organización. Hay varias formas de mitigar los riesgos, siendo un gerencia deben comprender las diferencias críticas en los roles y
método clave el diseño e implementación de un control interno efectivo. responsabilidades de estos deberes y cómo deben asignarse de manera óptima
para que la organización tenga una mayor probabilidad de lograr sus objetivos. En
particular, el Modelo aclara la diferencia y la relación entre el aseguramiento de las
organizaciones y otras actividades de monitoreo; actividades que pueden
malinterpretarse si no se definen claramente.
El COSO Control interno - Marco integrado ( la
Marco de referencia) describe los componentes, principios y factores necesarios para
que una organización administre eficazmente sus riesgos a través de la implementación
del control interno; sin embargo, guarda silencio respecto de quién es responsable de los A medida que avanzamos, tenemos la intención de extraer tanto Marco de referencia
deberes específicos descritos en el Marco de referencia. Deben definirse y el Modelo con el supuesto de que el lector ya ha obtenido una comprensión básica de
responsabilidades claras de modo que cada grupo comprenda su papel a la hora de la Marco de referencia. Para aquellos que no están familiarizados con el Marco de
abordar el riesgo y el control, los aspectos por los que son responsables y cómo referencia, más información está disponible en COSO.org. El modelo se describe con
coordinarán sus esfuerzos entre sí. Debería haber más detalle en
Sección I, más adelante en este artículo.
Establece la organización
Junta de la organización
Objetivos
Marco de referencia
solía administrar
riesgo y control
cumplir
objetivos
Control financiero
Seguridad Organizativo
estructura a
administración Control interno Gestión de riesgos Interno ejecutar riesgo
Control S Medidas Calidad
Auditoría y control
deberes
Inspección
Conformidad
wwwwbañocoo ss oo .. oo rr ggramo
2 | Aprovechamiento de COSO en las tres líneas de defensa | El Instituto de Auditores Internos
El Modelo mejora la comprensión de la gestión y el control de riesgos al Todos en una organización tienen alguna responsabilidad por el control interno,
aclarar los roles y deberes. Su premisa subyacente es que, bajo la pero para ayudar a asegurar que las tareas esenciales se realicen según lo
supervisión y dirección de la alta dirección y la junta directiva 3, tres grupos previsto, el Modelo aporta claridad a las funciones y responsabilidades
separados (o líneas de defensa) dentro de la organización son necesarios específicas. Cuando una organización ha estructurado adecuadamente las tres
para una gestión eficaz del riesgo y el control. Las responsabilidades de líneas y operan de manera efectiva, no debe haber brechas en la cobertura, no
cada uno de los grupos (o “líneas”) son: debe haber duplicación innecesaria de esfuerzos, y el riesgo y el control tienen
una mayor probabilidad de ser administrados de manera efectiva. La junta
directiva tendrá más oportunidades de recibir información imparcial sobre los
1. Poseer y administrar riesgo y control (gestión operativa de primera línea). riesgos más importantes de la organización y sobre cómo está respondiendo la
administración a esos riesgos.
Gerencia senior
Control financiero
Seguridad
Inspección
Conformidad
3 De acuerdo con otras publicaciones de COSO, este documento utiliza el término "junta directiva" para referirse a los órganos de gobierno
como consejos de administración, consejos de administración, socios generales, propietarios o consejos de supervisión.
Independientemente de cómo una organización en particular estructura sus tres El objetivo de cualquier organización es lograr sus objetivos. La consecución
líneas de defensa, hay algunos principios críticos implícitos en el Modelo: de estos objetivos implica adoptar
oportunidades, perseguir el crecimiento, asumir riesgos y gestionar esos riesgos, todo
para hacer avanzar la organización. No poder
1. La primera línea de defensa se encuentra en los propietarios de procesos y asumir los riesgos adecuados y no gestionar adecuadamente el logro de sus
negocios cuyas actividades crean y / o gestionan los riesgos que pueden facilitar o y controlar los riesgos asumidos, puede evitar que una organización lo sea, la
evitar que se logren los objetivos de una organización. Esto incluye tomar los objetivos. Hay, y siempre habrá, actividades para proteger el valor
riesgos correctos. La primera línea es dueña del riesgo y del diseño y ejecución de tensión entre las actividades para crear valor empresarial proporciona una
los controles de la organización para responder a esos riesgos. empresarial. los Marco de referencia
estructura para considerar el riesgo y el control para garantizar que proporcione
son apropiados y se gestionan adecuadamente. El Modelo implementado,
2. La segunda línea se establece para respaldar la gestión aportando experiencia, orientación sobre una estructura organizativa que aumentará el éxito de una
excelencia en los procesos y supervisión de la gestión junto con la primera línea asignando roles y responsabilidades a las partes de riesgo y control.
para ayudar a garantizar que el riesgo y el control se gestionen de forma eficaz. gestión eficaz de
Las funciones de la segunda línea de defensa están separadas de la primera
línea de defensa, pero aún están bajo el control y la dirección de la alta
dirección y normalmente realizan algunas funciones de gestión. La segunda
línea es esencialmente una función de gestión y / o supervisión que posee
muchos aspectos de la gestión del riesgo.
Roles de la Alta Dirección y del Consejo de Administración en el Modelo de las Tres Líneas de Defensa
La alta dirección y el consejo de administración tienen roles integrales en el los Marco de referencia ayuda a aclarar estas responsabilidades del consejo de
Modelo. La alta gerencia es responsable de la selección, desarrollo y evaluación administración y la alta dirección. Como se indica en
del sistema de control interno con la supervisión de la junta directiva. Aunque ni figura 3 a continuación, la alta dirección y el consejo de administración tienen la
la alta dirección ni el consejo de administración se consideran parte de una de responsabilidad principal del entorno de control de una organización, que está
las tres líneas, estas partes tienen colectivamente la responsabilidad de respaldado por los cinco principios que establecen el tono en la cima de la
establecer los objetivos de una organización, definir estrategias de alto nivel organización.
para lograr esos objetivos y establecer estructuras de gobierno para gestionar
mejor el riesgo. . También son las partes mejor posicionadas para garantizar la El modelo proporciona una estructura bajo el Marco de referencia
estructura organizativa óptima para los roles y responsabilidades relacionados detallando cómo se asignan los roles y responsabilidades. Se
con el riesgo y el control. La alta dirección debe respaldar plenamente una implementa mejor con el apoyo activo y la orientación de la junta
gobernanza, una gestión de riesgos y un control sólidos. Adicionalmente, tienen directiva y la alta gerencia.
la responsabilidad última de las actividades de la primera y segunda líneas de
defensa. Su compromiso es fundamental para el éxito del modelo general.
Gerencia senior
La primera línea de defensa en el Modelo es manejada principalmente por gerentes La alta dirección tiene la responsabilidad general de todas las actividades de primera
de primera línea y de línea media que tienen la propiedad diaria y la administración del línea. Para ciertas áreas de alto riesgo, la alta gerencia también puede proporcionar
riesgo y el control. Los gerentes operativos desarrollan e implementan los procesos de supervisión directa de la gerencia de primera línea y de la línea media, incluso en la
control y gestión de riesgos de la organización. Estos incluyen procesos de control medida en que ellos mismos desempeñen algunas de las responsabilidades de primera
interno diseñados para identificar y evaluar riesgos significativos, ejecutar actividades línea.
deben estar adecuadamente capacitados para realizar estas tareas dentro de su área relacionadas con las secciones de Evaluación de Riesgos, Actividades de Control e
Evaluación de riesgos
Información y comunicación
Actividades de seguimiento
La segunda línea de defensa incluye varias funciones de gestión de riesgos y Bajo la supervisión de la gerencia, el personal de segunda línea monitorea controles
cumplimiento implementadas por la administración para ayudar a garantizar que los específicos para determinar si los controles están funcionando como se espera. Las
controles y los procesos de gestión de riesgos implementados por la primera línea de actividades de seguimiento realizadas por la segunda línea cubren típicamente las
defensa estén diseñados de manera adecuada y operen según lo previsto. Estas son tres categorías de objetivos descritos por el Marco de referencia:
funciones de gestión; separada de la gestión operativa de primera línea, pero aún
bajo el control y la dirección de la alta dirección. Las funciones de la segunda línea operativo, de informes y de cumplimiento.
suelen ser responsables del seguimiento continuo del control y el riesgo. A menudo
trabajan en estrecha colaboración con la administración operativa para ayudar a Las responsabilidades de las personas dentro de la segunda línea de defensa varían
definir la estrategia de implementación, proporcionar experiencia en riesgos, ampliamente, pero generalmente incluyen:
implementar políticas y procedimientos y recopilar información para crear una visión • Asistir a la gerencia en el diseño y desarrollo de procesos y
de riesgo y control de toda la empresa. controles para gestionar riesgos.
• Definición de actividades para monitorear y cómo medir el éxito en comparación
con las expectativas de la gerencia.
• Seguimiento de la adecuación y eficacia de las actividades de control
interno.
La composición de la segunda línea puede variar significativamente según el tamaño • Escalada de problemas críticos, riesgos emergentes y valores atípicos
de la organización y la industria. En organizaciones grandes, que cotizan en bolsa, • Proporcionar marcos de gestión de riesgos.
complejas y / o altamente reguladas, estas funciones pueden ser todas separadas y • Identificar y monitorear problemas conocidos y emergentes que afectan los
distintas. En organizaciones más pequeñas, de propiedad privada, menos complejas y / riesgos y controles de la organización.
o menos reguladas, algunas de las funciones de segunda línea pueden estar • Identificar cambios en el apetito y la tolerancia al riesgo implícitos de la
combinadas o no existir. Por ejemplo, algunas organizaciones pueden combinar las organización.
funciones legales y de cumplimiento en un solo departamento o pueden combinar un • Brindar orientación y capacitación relacionada con los procesos de
departamento de salud y seguridad con una función ambiental. Algunos o todos los control y gestión de riesgos.
deberes de la segunda línea también pueden ser retenidos por los gerentes dentro de
la primera línea de defensa en ciertas organizaciones. El monitoreo por parte de la segunda línea de defensa debe adaptarse a las
independientes de las actividades operativas del día a día. En muchos casos, las
actividades de seguimiento están dispersas por toda la organización. En algunas
organizaciones, sin embargo, las funciones de monitoreo pueden estar limitadas a una
Las funciones típicas de segunda línea incluyen grupos de expertos especializados o pocas áreas.
como:
• Seguridad física línea puede variar siguen siendo funciones de gestión. Segundo-
• Cadena de suministro actividades operacionales. En la medida en que el papel de las funciones de segunda
• Otro (según las necesidades específicas de la industria o línea requiera que estén directamente involucradas en una actividad de primera línea,
de la empresa) esa función puede no ser completamente independiente de esa actividad de primera
línea de defensa.
Si bien no es independiente, no se puede subestimar la importancia de controlar la información a la alta dirección y al consejo de administración que
funciones de segunda línea sólidas y capaces. Se espera que operen con un no se esperaría de la primera línea. Para ser eficaz como línea de defensa,
grado adecuado de objetividad y proporcionen información importante y útil a la debe tener suficiente estatura entre los líderes y la administración operativa en
alta dirección y al consejo de administración sobre la gestión del riesgo y el toda la organización. La estatura proviene de la autoridad y las líneas
control por parte de la primera línea de defensa. También pueden proporcionar jerárquicas directas que imponen respeto.
riesgo para toda la entidad y
Monitoreo continuo
Control financiero
Seguridad
Gestión de riesgos
Actividades de seguimiento
Calidad
dieciséis. Lleva a cabo de forma continua y / o separada
Inspección
evaluaciones
Los auditores internos sirven como la tercera línea de defensa de una Entre otras funciones, la auditoría interna proporciona garantía con respecto a la
organización. El IIA define la auditoría interna como una “actividad eficiencia y eficacia del gobierno, la gestión de riesgos y el control interno. El
independiente y objetiva de aseguramiento y consultoría diseñada para agregar alcance del trabajo de auditoría interna puede abarcar todos los aspectos de las
valor y mejorar las operaciones de una organización. Ayuda a una organización operaciones y actividades de una organización.
a lograr sus objetivos aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los procesos de gestión, control y gobernanza de
riesgos ". 4
4 Marco de prácticas profesionales internacionales (IPPF) ®, (Altamonte Springs, FL: The Institute of Internal Auditors Inc, 2013), 2.
También disponible en na.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx .
Lo que distingue a la auditoría interna de las otras dos líneas de defensa es su alto fortalecido por una relación de reporte directo entre el director ejecutivo de La auditoría interna contribuye activamente a la gobernanza organizativa eficaz siempre procesos y puede carecer de una segunda línea de defensa eficaz. Toda
nivel de independencia y objetividad organizacional. Los auditores internos no auditoría y el consejo de administración. Debido a este alto nivel de que se cumplan determinadas condiciones que fomenten su independencia y organización debería establecer y mantener un personal de auditoría interna
diseñan ni implementan controles como parte de sus responsabilidades normales y independencia organizacional, los auditores internos están en una posición profesionalismo. Por tanto, establecer una actividad profesional de auditoría interna independiente, adecuado y competente; informar a un nivel suficientemente alto en la
no son responsables de las operaciones de la organización. En la mayoría de las óptima para brindar garantías confiables y objetivas a la junta directiva y a la debería ser una prioridad para todas las organizaciones. Esto es importante no solo organización para poder realizar sus funciones de forma independiente; y operando
organizaciones, la independencia de la auditoría interna alta gerencia con respecto a la gobernanza, el riesgo y el control. para organizaciones más grandes sino también para entidades más pequeñas. Las de acuerdo con un conjunto adecuado de estándares reconocidos a nivel mundial
organizaciones más pequeñas pueden enfrentarse a entornos igualmente complejos (como los Normas internacionales para el ejercicio profesional de la auditoría
con una estructura organizativa menos formal y sólida para garantizar la eficacia de la interna.
gobernanza y la gestión de riesgos.
Evaluación de diseño
e implementación Auditores externos, reguladores y otros organismos externos
Control medioambiental
Aunque no se considera formalmente que las partes externas se encuentren entre las Cuando se coordinan de manera eficaz, los auditores externos, los
1. Demuestra compromiso con la integridad. tres líneas de defensa de una organización, los grupos como los auditores externos y los reguladores y otros grupos externos a la organización podrían
y valores éticos reguladores suelen desempeñar un papel importante con respecto a la estructura considerarse líneas de defensa adicionales, proporcionando puntos
2. Ejercer la responsabilidad de supervisión general de gobierno y control de la organización. Los reguladores establecen requisitos de vista y observaciones importantes a las partes interesadas de la
3. Establece estructura, autoridad y a menudo destinados a fortalecer la gobernanza y el control, y revisan e informan organización, incluida la junta directiva y la alta dirección. Sin
responsabilidad activamente sobre las organizaciones que regulan. De manera similar, los auditores embargo, el trabajo de estos grupos tiene objetivos diferentes y
4. Demuestra compromiso con la competencia externos pueden proporcionar observaciones y evaluaciones importantes de los generalmente más focalizados o estrechos, por lo que las áreas
5. Hace cumplir la responsabilidad controles de la organización sobre los informes financieros y los riesgos relacionados. abordadas son menos extensas que las evaluadas por las líneas de
Garantía en
Eficacia defensa internas de la organización. Por ejemplo, las auditorías
Evaluación de riesgos regulatorias específicas pueden centrarse únicamente en cuestiones
3ra línea de defensa de cumplimiento, seguridad u otras cuestiones de alcance limitado;
6. Especifica objetivos adecuados
mientras que las tres líneas de defensa están destinadas a abordar
7. Identifica y analiza el riesgo
toda la gama de riesgos operativos, de informes y de cumplimiento
8. Evalúa el riesgo de fraude
que enfrenta una organización. Partes como auditores externos y
9. Identifica y analiza cambios significativos reguladores,
Interno
Auditoría
Actividades de control
Información y comunicación
Actividades de seguimiento
La auditoría interna contribuye activamente a la gobernanza organizativa eficaz siempre procesos y puede carecer de una segunda línea de defensa eficaz. Toda
que se cumplan determinadas condiciones que fomenten su independencia y organización debería establecer y mantener un personal de auditoría interna
profesionalismo. Por tanto, establecer una actividad profesional de auditoría interna independiente, adecuado y competente; informar a un nivel suficientemente alto en la
debería ser una prioridad para todas las organizaciones. Esto es importante no solo organización para poder realizar sus funciones de forma independiente; y operando
para organizaciones más grandes sino también para entidades más pequeñas. Las de acuerdo con un conjunto adecuado de estándares reconocidos a nivel mundial
organizaciones más pequeñas pueden enfrentarse a entornos igualmente complejos (como los Normas internacionales para el ejercicio profesional de la auditoría
con una estructura organizativa menos formal y sólida para garantizar la eficacia de la interna.
gobernanza y la gestión de riesgos.
Aunque no se considera formalmente que las partes externas se encuentren entre las Cuando se coordinan de manera eficaz, los auditores externos, los
tres líneas de defensa de una organización, los grupos como los auditores externos y los reguladores y otros grupos externos a la organización podrían
reguladores suelen desempeñar un papel importante con respecto a la estructura considerarse líneas de defensa adicionales, proporcionando puntos
general de gobierno y control de la organización. Los reguladores establecen requisitos de vista y observaciones importantes a las partes interesadas de la
a menudo destinados a fortalecer la gobernanza y el control, y revisan e informan organización, incluida la junta directiva y la alta dirección. Sin
activamente sobre las organizaciones que regulan. De manera similar, los auditores embargo, el trabajo de estos grupos tiene objetivos diferentes y
externos pueden proporcionar observaciones y evaluaciones importantes de los generalmente más focalizados o estrechos, por lo que las áreas
controles de la organización sobre los informes financieros y los riesgos relacionados. abordadas son menos extensas que las evaluadas por las líneas de
defensa internas de la organización. Por ejemplo, las auditorías
regulatorias específicas pueden centrarse únicamente en cuestiones
de cumplimiento, seguridad u otras cuestiones de alcance limitado;
mientras que las tres líneas de defensa están destinadas a abordar
toda la gama de riesgos operativos, de informes y de cumplimiento
que enfrenta una organización. Partes como auditores externos y
reguladores,
El modelo de las Tres Líneas de Defensa está diseñado específicamente para ser claramente separados. Por ejemplo, cuando se inicia por primera vez una función de
flexible. Cada organización debe implementar el modelo de manera adecuada para su gestión de riesgos, algunas organizaciones pueden utilizar otra función como
industria, tamaño, estructura operativa y enfoque de gestión de riesgos. Sin embargo, catalizador para la implementación. Sin embargo, en situaciones en las que las
el entorno general de gobernanza y control normalmente es más sólido cuando hay funciones de las diferentes líneas no están claramente separadas, la junta directiva
tres líneas de defensa separadas y claramente definidas. Las organizaciones deben debe considerar cuidadosamente los impactos potenciales de la estructura. Siempre
esforzarse por implementar una estructura de gobierno que sea consistente con el que sea posible, estas situaciones en las que las líneas de defensa no están
Modelo, de modo que las tres líneas existan de alguna forma, independientemente del claramente separadas deben ser a corto plazo y, a medida que maduran las funciones,
tamaño o la complejidad de la organización. Las "líneas" deben ser distintas, con roles debe establecerse la separación adecuada. Si es más largo que a corto plazo o
y responsabilidades separados, claramente articuladas en las políticas y temporal, el consejo de administración debe comprender el impacto de no separar las
procedimientos apropiados de la organización, y reforzadas con un "tono desde funciones de administración y aseguramiento por no mantener tres líneas de defensa
arriba" consistente. separadas.
El lugar exacto en el que se trazan las líneas variará según las necesidades Al considerar o asignar deberes específicos y coordinar entre las
específicas de cada organización. En algunas situaciones, como algunas empresas diversas funciones de control y riesgo de la organización, puede ser
más pequeñas o donde algunas de las funciones están en transición, las líneas de útil tener en cuenta el papel subyacente de cada grupo en el modelo.
defensa pueden no ser
Auditoría interna
Independencia limitada
Gestión operativa Mayor independencia
Reporta principalmente a la gerencia
Informes al Consejo de Administración
Debido a que la independencia y la objetividad de la organización son operaciones que auditan; y en las organizaciones donde la auditoría interna está
características esenciales de la tercera línea de defensa, se debe tener especial involucrada en actividades de segunda línea, esta participación debe ser generalmente a
cuidado si la organización combina la función de auditoría interna con cualquier corto plazo con roles en conflicto asignados a diferentes individuos o grupos. Si la
función de la segunda línea de defensa. Si la función de auditoría interna se participación de la auditoría interna en las funciones de segunda línea no es a corto
combina con cualquiera de las funciones de segunda línea, la alta dirección y el plazo, la alta dirección y el consejo de administración deben reconocer la limitación en la
consejo de administración deben asegurarse de que las funciones no se combinen capacidad de la auditoría interna para proporcionar una garantía independiente y
o coordinen de manera que pueda comprometer la independencia organizativa u objetiva y es posible que deban recurrir a partes externas para obtener una garantía
objetividad de la función de auditoría interna. Los auditores internos normalmente actividades específicas afectadas.
no deberían asumir ninguna responsabilidad de gestión
Las tres líneas tienen cada una el mismo objetivo final: ayudar a la organización a Al hacer operativa esta coordinación, es fundamental que las funciones clave de los
alcanzar sus objetivos con una gestión eficaz del riesgo. Sirven a las mismas ejecutivos, como un director de riesgos, un director de cumplimiento o un director
partes interesadas finales y, a menudo, se enfrentan a los mismos riesgos y ejecutivo de auditoría, se revisen y estructuran cuidadosamente para que cada uno
problemas de control. La alta gerencia y la junta directiva deben comunicar pueda cumplir con sus responsabilidades únicas mientras coordina y
claramente la expectativa de que la información se comparta y las actividades se
coordinen entre cada una de las tres líneas cuando esto respalde la efectividad comunicarse con los demás ejecutivos de control y riesgo.
general del esfuerzo y no disminuya ninguna de las funciones clave de la línea. Por
ejemplo, muchas organizaciones han puesto en marcha políticas de riesgo a nivel La primera línea de defensa tiene la propiedad principal de los riesgos y los métodos
de directorio o de gestión para articular estas expectativas. utilizados para gestionar esos riesgos. La segunda línea proporciona experiencia en
La coordinación y la comunicación no deben confundirse con la estructura otra y aprovechen un conjunto común de herramientas y procesos cuando sea posible.
organizativa. Si bien tienen el mismo objetivo, cada línea tiene sus propios
roles y responsabilidades. Son líneas separadas pero no deben operar en
silos. Deben compartir información y coordinar esfuerzos en materia de
riesgo, control y gobernanza. En muchas situaciones podría haber una
perspectiva compartida con respecto al riesgo y el control.
5 Marco de prácticas profesionales internacionales (IPPF) ®, (Altamonte Springs, FL: The Institute of Internal Auditors Inc, 2013). También disponible en na.theiia.org/standards-guidance
.
La función de auditoría interna de la organización, la tercera línea de defensa, debe Para ayudar a establecer que el trabajo se puede coordinar de manera eficiente, el
incluir en su alcance todas las actividades de riesgo y control importantes de la estatuto de auditoría interna debe especificar que auditoría interna tiene la
organización. La comunicación con las funciones de la primera y segunda línea de responsabilidad de evaluar el desempeño y la efectividad del trabajo de otras
defensa ayudará a auditoría interna a utilizar una terminología de riesgo similar y funciones de segunda línea de defensa o cualquier actividad proporcionada por un
comprenderá la comprensión del riesgo de estas dos líneas de defensa. tercero.
La coordinación puede extenderse más allá de las tres líneas de defensa, para
incluir a otras partes externas, como auditores externos. Los auditores internos
Auditoría interna también debe coordinar sus esfuerzos con los de la pueden confiar o utilizar
segunda línea de defensa. Esta coordinación podría tomar diversas el trabajo de otros proveedores internos o externos para proporcionar garantía de
formas dependiendo de la naturaleza de la organización, el trabajo gobierno, gestión de riesgos y control si tienen un conocimiento suficiente del
específico realizado por cada parte, la independencia organizativa de trabajo realizado, los resultados detallados y la independencia y competencia de la
las funciones de segunda línea y las expectativas de la alta dirección parte externa. Por el contrario, el trabajo de auditoría interna podría planificarse y
y el consejo de administración. En algunos casos, la auditoría interna realizarse intencionalmente para cumplir con los requisitos de las partes externas.
puede basar una parte de su evaluación en el trabajo realizado por La coordinación de esfuerzos con partes externas puede conducir a una mayor
una función de segunda línea. En esta situación, auditoría interna eficiencia; sin embargo, los directores ejecutivos de auditoría y la junta directiva
debe confirmar que el trabajo está diseñado, planificado, supervisado, deben considerar los costos así como los beneficios potenciales de diseñar el
documentado y revisado de manera adecuada. El alcance del uso y el trabajo de auditoría interna en beneficio de las partes externas.
nivel de dependencia del trabajo de otras funciones variará según las
circunstancias específicas. La auditoría interna también debe prestar
especial atención a la independencia organizativa de las funciones de
segunda línea en las que planean basar una parte de su trabajo de
evaluación. Dado que la auditoría interna está estructurada con
independencia organizacional para proporcionar evaluaciones
imparciales y objetivas, la función que realiza el trabajo en el que
planea basarse la auditoría interna debe exhibir un nivel
suficientemente alto de independencia y objetividad organizacional. La
capacidad y la eficiencia no son los únicos criterios. La capacidad de
la primera o segunda línea de defensa para realizar trabajos de
auditoría interna no significa que aporten el nivel necesario de
independencia y objetividad. Similar,
deloitte.wsj.com/riskandcompliance/2014/08/04/good-riddance-to-bad-data-data-governance-gains-momentum/ .
los Marco de referencia define cinco componentes de control interno y 17 La información del Apéndice tiene por objeto proporcionar un ejemplo de cómo se
principios que representan los conceptos fundamentales asociados con estos pueden distribuir las funciones entre las tres líneas de defensa. Dado que cada
componentes. La publicación COSO, organización es única, las organizaciones pueden tener razones sólidas para definir
Control interno - Marco integrado establece que debido a que los 17 principios roles y responsabilidades de manera diferente. Independientemente de cómo se
se extraen directamente de los cinco componentes del control interno, se puede asignen las funciones dentro de una organización, las funciones y responsabilidades
lograr un control interno efectivo aplicando cada uno de estos principios. La específicas con respecto a los 17 principios deben establecerse claramente y
gerencia tiene la responsabilidad de asignar las tareas esenciales relacionadas comunicarse a todas las partes relevantes para mitigar las brechas en la cobertura
con los 17 principios y confirmar que las tareas se realizan según lo previsto. de los controles internos y evitar la duplicación innecesaria de esfuerzos.
IV.conclusión
Cada organización debe definir claramente las responsabilidades relacionadas con la Observaciones clave
gobernanza, el riesgo y el control para ayudar a minimizar las "brechas" en los
controles y las duplicaciones innecesarias de las tareas asignadas relacionadas con el 1. La alta dirección y el consejo de administración tienen la
riesgo y el control. El modelo de las tres líneas de defensa proporciona una manera responsabilidad última de garantizar la eficiencia y eficacia de los
eficaz de mejorar las comunicaciones con respecto al riesgo y el control al aclarar los procesos de gobierno, gestión de riesgos y control.
roles y deberes esenciales. El modelo puede ser útil para aclarar cómo se pueden
organización. 2. La gestión de riesgos es más sólida cuando hay tres líneas de defensa separadas
• Monitor riesgo y control en apoyo de la gestión (funciones de riesgo, esfuerzos, al tiempo que se garantiza que todos los riesgos importantes se
control y cumplimiento establecidas por la dirección).
aborden de manera adecuada.
Apéndice
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
Se debe esperar que todas las líneas de defensa demuestren a través de sus directivas, acciones y comportamiento la importancia de la integridad y los valores éticos.
• Lidera con el ejemplo en la • Miembros específicos de los 2 Dakota del Norte Se • Evalúa el estado de la • La junta supervisa el clima ético y garantiza que la administración
implementación de valores, puede solicitar una línea para respaldar las el clima ético de la organización y la tenga programas y objetivos sólidos relacionados con la ética.
filosofía y estilo operativo de la líneas directas de cumplimiento, efectividad de sus estrategias, tácticas,
organización. investigar el potencial comunicaciones y otros procesos para lograr
irregularidades, o realizar otras tareas el nivel deseado de cumplimiento legal y • La junta es responsable de establecer un "tono en la parte
• Implementa relacionados con la ética específicas relacionadas con la integridad y ético. superior" eficaz. Esto incluye comunicar expectativas sobre
objetivos, programas y los valores éticos. integridad, ética
ocupaciones. • Evalúa el diseño, implementación y efectividad de valores y normas de conducta.
los programas y objetivos relacionados con la ética
• Diseños e implementos de la organización.
procesos para evaluar el y actividades.
desempeño de las personas
y equipos contra los estándares de • Proporciona garantía de que los programas de ética
conducta esperados. logran los objetivos establecidos, los riesgos clave se
gestionan de forma eficaz y los controles siguen
funcionando de forma eficaz.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Proporciona al tablero • La supervisión de la junta está respaldada • Brinda seguridad con respecto al desarrollo y • El directorio es responsable de asegurar que tenga suficientes
información adecuada sobre por estructuras y procesos que la desempeño de los controles internos, miembros que sean independientes de la gerencia y objetivos en
desarrollo y desempeño administración establece a nivel de ejecución evaluando si los controles están diseñados o las evaluaciones y la toma de decisiones.
de controles internos para que la junta empresarial. Esta no
pueda cumplir con sus deberes fiduciarios. El apoyo puede ser proporcionado por la apropiadamente, implementado
primera o la segunda línea de defensa. Por eficazmente y funcionando según lo previsto. • La junta conserva la responsabilidad de supervisar el diseño, la
ejemplo, un comité de gestión o un grupo implementación y la conducción del control interno por parte de la
de segunda línea de defensa pueden • Puede ayudar a la junta sugiriendo puntos específicos administración:
centrarse en temas como TI o de la agenda relacionados con el Principio 2 para su - Control medioambiental - Establecer integridad y valores
cumplimiento. discusión en las reuniones de la junta directiva. éticos, estructuras de supervisión, autoridad y
responsabilidad, expectativas de competencia y rendición de
cuentas a la junta.
Principio 3. La gerencia establece, con la supervisión de la junta, estructuras, líneas jerárquicas y autoridades y responsabilidades apropiadas en el
persecución de objetivos.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Establece estructuras, informes • Trabajar con la gerencia, las estructuras • Proporciona seguridad con respecto a • La junta aprueba los objetivos de toda la
líneas, y autoridades y responsabilidades organizacionales, las líneas jerárquicas y las la idoneidad y eficacia organización y es responsable de supervisar el
adecuadas en la consecución de los objetivos. autoridades apropiadas y de las estructuras operativas de la desarrollo y mantenimiento de las estructuras, las
responsabilidades apropiadas para que organización, líneas jerárquicas, líneas jerárquicas y la asignación de las autoridades
ejecuten sus responsabilidades. autoridades y responsabilidades en la y responsabilidades apropiadas en la búsqueda de
• Comunica información sobre consecución de objetivos. los objetivos.
estructuras, líneas jerárquicas y autoridades y
responsabilidades con la junta, para permitir que la • Implementa políticas y prácticas para ejecutar
junta cumpla con sus responsabilidades de sus actividades de acuerdo con su estatuto, • La junta emite los estatutos apropiados para
supervisión. incluidas las líneas jerárquicas y las autoridades establecer sus comités, incluido el comité de
correspondientes. auditoría.
Principio 4. La organización demuestra un compromiso para atraer, desarrollar y retener a personas competentes alineadas con los objetivos.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Atrae, desarrolla y retiene individuos • Atrae y desarrolla talento competente • Atrae, desarrolla y retiene personas • La junta supervisa para asegurar que la
competentes alineados con los objetivos. para lograr sus objetivos. competentes y capacitadas para cumplir con su gerencia demuestre un compromiso para atraer,
misión y sus estatutos. desarrollar y retener a personas competentes en
• Asegura que su gente y actividades estén
adecuadamente alineadas con la administración. • Puede evaluar y proporcionar seguridad con alineación con los objetivos.
Esto puede incluir la rotación de personas a través respecto a la eficiencia.
de varias funciones de gestión. y efectividad de políticas y procesos • Los comités de la junta se aseguran de que las
tales como: funciones que supervisa tengan talento competente.
- Políticas de recursos humanos.
- Prácticas de contratación.
- Formación y desarrollo • Comité de compensación de la junta
programas. asegura que el incentivo y la compensación
- Sistemas de evaluación del desempeño. Los planes están alineados con el apetito por el
- Planes de compensación. riesgo y los objetivos a largo plazo de la
- Planes de sucesión. organización.
Principio 5. La organización responsabiliza a las personas por sus responsabilidades de control interno en la búsqueda de objetivos.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Hace que las personas rindan cuentas de sus • Según lo delegado por la gerencia, los • Proporciona seguridad con respecto • La junta es responsable de asegurar que la
responsabilidades de control interno en la búsqueda de individuos de la segunda línea de defensa cumplimiento de responsabilidades administración responsabilice a las personas por
objetivos. Esta responsabilidad incluye la comunicación monitorean e informan sobre el cumplimiento específicas de control interno. sus responsabilidades de control interno.
de responsabilidades específicas, la implementación de de responsabilidades específicas de control
interno. • Los auditores internos pueden hacer
sistemas de evaluación del desempeño, recomendaciones sobre • El comité de compensación de la junta asegura
e implementación de procesos de personal responsabilidad, pero normalmente no tienen que los incentivos y
diseñados para responsabilizar a las personas por autoridad directa para tomar decisiones con Los planes de compensación están alineados con los
sus acciones. respecto a las acciones del personal u otros objetivos de la organización.
procesos diseñados para responsabilizar a las
personas por sus responsabilidades de control
interno.
Principio 6. La organización especifica objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados con los objetivos.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
Todas las personas que forman parte del sistema de control interno deben comprender las estrategias y los objetivos generales establecidos por la organización.
• Establecer objetivos es una parte clave del proceso • No es responsable de establecer o aprobar los objetivos a nivel • Verifica que los objetivos estén establecidos y que sean • El tablero tiene
de gestión relacionado con la planificación de entidad en su conjunto; pero puede ser llamado a redactar, específicos, medibles u observables, alcanzables, responsabilidad de supervisión
estratégica. implementar, monitorear e informar sobre objetivos o relevantes y de duración determinada. de establecimiento de objetivos,
subobjetivos relacionados con sus áreas específicas de ayudando a asegurar que los
• Con la supervisión de la junta, establece objetivos a experiencia, tales como objetivos relacionados con el - Las revisiones de toda la entidad del proceso de objetivos de alto nivel
establecimiento de objetivos pueden realizarse como
nivel de entidad que se alinean con cumplimiento o el control de calidad.
trabajos independientes separados.
reflejar decisiones sobre
misión, visión y estrategias de la como la organizacion
organización. - Los objetivos o subobjetivos específicos también busca crear, preservar y realizar
pueden revisarse durante otros trabajos de
• Evaluar si se consideran las tolerancias y los apetitos de valor para sus grupos de interés.
auditoría interna.
• Especifica los objetivos adecuados con el detalle riesgo adecuados.
adecuado para que los riesgos para el logro de
los objetivos se puedan identificar y evaluar. • Para mantener la independencia organizativa de auditoría • El tablero con
interna, los auditores normalmente no desarrollan la gerencia establece
objetivos (distintos de los específicos de la función de tolerancias de riesgo adecuadas
• Aplicar tolerancias a riesgos específicos. auditoría interna). y apetito y
asegúrese de que son
• Vincula los objetivos a nivel de entidad con más comunicados a través del
subobjetivos específicos que se distribuyen en organización.
cascada en toda la organización.
Principio 7. La organización identifica los riesgos para el logro de sus objetivos en toda la entidad y analiza los riesgos como base para determinar
cómo deben gestionarse los riesgos.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Identifica y controla los riesgos relacionados con el • A una función de gestión de riesgos corporativos se le pueden • Toma en cuenta el marco de riesgo de la • La junta establece la
logro de objetivos. delegar responsabilidades significativas con respecto a los organización para realizar estrategia general de la
riesgos y controles. Las tareas típicas pueden incluir: plan de auditoría basado en riesgos para toda la organización. organización y su
• Define el apetito y las tolerancias de riesgo de la objetivos incluidos
organización, establece sistemas de gestión de - Establecimiento de un lenguaje o glosario común de • Puede facilitar determinadas actividades de gestión comprender los riesgos
riesgos.
riesgos y establece responsabilidades para controlar de riesgos empresariales siempre que no se afecten asociados con la estrategia.
riesgos específicos bajo la supervisión de la junta. - Describir el apetito y las tolerancias de riesgo de la la independencia y la objetividad.
organización.
• El tablero proporciona
- Identificación y descripción de riesgos en un "inventario de supervisión y retenciones
riesgos".
• Las consideraciones para desarrollar un plan gestión responsable
- Implementar una metodología de clasificación de riesgos para de auditoría interna pueden incluir: para identificar y
priorizar los riesgos dentro y entre funciones.
- Identificación y evaluación de riesgos gestionar los riesgos para el
inherentes y residuales.
- Establecimiento de un comité de riesgos y / o director de riesgos consecución de objetivos.
para coordinar determinadas actividades de otras funciones de
- Controles de mitigación, planes de contingencia y
gestión de riesgos.
actividades de seguimiento vinculadas a riesgos
específicos.
- Establecer la propiedad de riesgos y respuestas
particulares.
- Exactitud e integridad de los registros de riesgos.
- Desarrollar planes de acción para asegurar que los riesgos se
gestionen adecuadamente.
- Adecuación de la documentación relativa al riesgo y
control de la dirección
- Elaboración de informes consolidados para diversos grupos de
interés.
ocupaciones.
- Seguimiento de los resultados de las acciones realizadas
para mitigar el riesgo.
Principio 8. La organización considera el potencial de fraude al evaluar los riesgos para el logro de los objetivos.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Implementa procesos para identificar, disuadir y detectar • Garantiza que las evaluaciones de riesgos • los Normas requerir que los auditores internos ejerzan • La junta es responsable de
fraudes. y controles incluyan el debido cuidado profesional al considerar la supervisión de sistemas y procesos destinados a
consideración del riesgo de fraude. probabilidad de fraude significativo en las áreas bajo disuadir y detectar el fraude.
• Revisa las exposiciones de la organización al fraude con revisión.
los auditores internos y externos de la organización. • Los grupos, como las unidades de • El consejo y la alta dirección marcan la
investigación, pueden desempeñar un papel • Se requiere que los auditores internos tengan pauta para la prevención y detección del
importante para disuadir y detectar el fraude. conocimientos suficientes para evaluar el riesgo de fraude.
Estos grupos pueden estar encargados de fraude y la manera en que la organización lo
desarrollar y monitorear las políticas y gestiona, pero no se espera que tengan la • La junta debe recibir informes periódicos sobre las
experiencia de una persona cuya responsabilidad exposiciones de la organización al fraude, incluido
procedimientos relacionados con el fraude. principal sea detectar e investigar el fraude. el fraude en los informes financieros.
Principio 9. La organización identifica y evalúa los cambios que podrían tener un impacto significativo en el sistema de control interno.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
Debido a que el cambio puede surgir de una amplia variedad de fuentes internas y externas, las personas dentro de las tres líneas de defensa deben estar alertas a los problemas emergentes que podrían afectar significativamente el sistema de
control interno.
• Tiene la responsabilidad principal del sistema de control • Se le puede pedir que ayude • Identifica y evalúa los cambios que podrían tener un • La junta tiene la responsabilidad de asegurar
interno y de la identificación y evaluación de los cambios gestión con evaluaciones impacto significativo en el sistema de control interno que la administración haya establecido
que podrían tener un impacto significativo en el sistema de del impacto de los cambios en el sistema durante las evaluaciones periódicas de riesgos y procesos para permitir la identificación y
control interno. de control interno. durante el curso del trabajo de auditoría interna. evaluación de cambios que podrían impactar
significativamente el sistema de control
• Necesita ser proactivo para adaptarse a los interno.
• Comunica información sobre cambios. • Se comunica regularmente con
cambios que podrían tener un impacto significativo en el gestión para anticipar cambios y el impacto en la
sistema de control interno de la junta con suficiente detalle • Monitorea y considera con regularidad los evaluación de riesgos organizacionales.
para permitir que la junta cumpla con sus responsabilidades cambios en los aspectos legales, regulatorios
de supervisión. y
riesgo de cumplimiento.
Principio 10. La organización selecciona y desarrolla actividades de control que contribuyan a mitigar los riesgos para el logro de los objetivos
niveles aceptables.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Mantiene controles internos efectivos y para la • Las funciones dentro de la segunda línea de • Proporciona garantía de que los controles • La junta evalúa la información y proporciona
ejecución de procedimientos de control y riesgo en defensa normalmente son establecidos por la administración están diseñados e supervisión para ayudar a garantizar que el
el día a día. La gestión operativa identifica, evalúa, responsable del seguimiento implementados de manera adecuada sistema de control interno de la administración sea
controles específicos en nombre de la de manera eficaz y operando según lo previsto para adecuado para mitigar los riesgos para el logro de
controla y mitiga riesgos, orientando el desarrollo e dirección. mitigar los riesgos para el logro de los objetivos a los objetivos a niveles aceptables.
implementación de políticas y procedimientos internos y niveles aceptables.
asegurando que las actividades sean consistentes con las • Según lo asignado por la gerencia, los
metas y objetivos establecidos. A través de una estructura individuos de la segunda línea de defensa • Proporciona sugerencias destinadas a
de responsabilidad en cascada, los gerentes de nivel medio también pueden participar en la selección y mejorar la eficiencia y
diseñan e implementan procedimientos detallados que desarrollo de controles específicos; sin efectividad de los controles internos; sin
sirven como controles y supervisan la ejecución de esos embargo, embargo, la gerencia retiene
procedimientos por parte de sus empleados. la gerencia retiene responsabilidad del sistema de controles
responsabilidad del sistema de controles internos.
internos.
Principio 11. La organización selecciona y desarrolla actividades de control general sobre la tecnología para apoyar el logro de los objetivos.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Diseña e implementa actividades de control • A las personas de la segunda línea de defensa a menudo • Evalúa si los procesos de gobierno de TI de la • La junta tiene importantes
relacionadas con la tecnología. Esto incluye crear y se les asignan tareas relacionadas con el seguimiento de organización apoyan las estrategias y los objetivos responsabilidades de supervisión
comunicar políticas y procedimientos relacionados controles tecnológicos específicos. de la organización. en cuanto a dirigir, evaluar,
con la tecnología y garantizar que los controles de y seguimiento de controles. La función de
TI sean adecuados para respaldar el logro de los • Brindar garantías sobre la eficiencia, supervisión de la junta debe abarcar
objetivos. • Los grupos como los departamentos de seguridad de efectividad y aspectos del gobierno de TI como:
la información también pueden desempeñar un papel integridad de los controles de tecnología y, según
importante en la selección, desarrollo y mantenimiento corresponda, puede recomendar mejoras a - Organización y gobernanza
• Establece procesos para monitorear y evaluar las de controles sobre la tecnología, según lo designe la actividades de control específicas. estructuras.
exposiciones al riesgo en desarrollo relacionadas con administración. - Liderazgo ejecutivo y
tecnologías nuevas y emergentes. apoyo.
• Para preservar la auditoría interna - Estratégico y operativo
independencia y objetividad, los auditores internos planificación.
normalmente no seleccionan ni desarrollan actividades - Prestación de servicios y
de control general sobre la tecnología; sin embargo, medición.
pueden hacer recomendaciones sobre tecnología - Organización de TI y gestión de
riesgos.
control S.
auditoría de tecnología.
Principio 12. La organización despliega actividades de control a través de políticas que establecen lo que se espera y procedimientos que ponen las políticas en acción.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Establece actividades de control que están integradas • Supervisa el cumplimiento de políticas y procedimientos • Brinda seguridad con respecto al diseño e • La junta supervisa para garantizar que
en los procesos comerciales y las actividades diarias específicos según lo designado por la gerencia. implementación de políticas, procedimientos y exista un sistema sólido de políticas y
de los empleados. otros controles. procedimientos para guiar las
mediante políticas que establecen lo que se espera y operaciones y ayudar a garantizar la
procedimientos relevantes que especifican acciones. • Ayuda a la gerencia en el desarrollo y • Hace recomendaciones sobre
comunicación de políticas y procedimientos. políticas y procedimientos, pero normalmente no tiene cumplimiento de objetivos.
autoridad para diseñar o implementar políticas y
• Establece responsabilidad y procedimientos para operaciones que residen fuera de
responsabilidad de las actividades de control con la • Asegura que los riesgos sean monitoreados en relación con la función de auditoría interna.
dirección (u otro personal designado) de la unidad de el apetito de riesgo establecido por la organización.
negocio o función en la que residen los riesgos
relevantes.
Principio 13. La organización obtiene o genera y utiliza información relevante y de calidad para respaldar el funcionamiento del control interno.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Crea y mantiene datos para monitorear las • Recopila información de toda la organización para • Proporciona seguridad con respecto • La alta gerencia y el directorio
actividades diarias, compartiendo información su uso en actividades de seguimiento. confiabilidad e integridad de la información y aprovechan la información para tomar
entre, arriba y abajo de la organización. exposiciones de riesgo asociadas. Esto incluye decisiones para monitorear el éxito de
exposiciones al riesgo tanto internas como externas, y la organización, anticipar riesgos y
exposiciones relacionadas con las relaciones de la
• Considera los costos y beneficios, asegurando organización con entidades externas. comunicarse con el externo
que la naturaleza, cantidad y precisión de la partes interesadas como inversores.
información comunicada sean proporcionales y
apoyen el logro de los objetivos. • Evalúa periódicamente las prácticas de confiabilidad e • Recibir informes periódicamente
integridad de la información de la organización y sobre el funcionamiento y la
recomienda eficacia de la
• La confiabilidad e integridad de la información es una apropiadas, mejoras o implementación de nuevos sistema de organización de
responsabilidad de la gerencia. Esta responsabilidad controles y salvaguardas. Dichas evaluaciones control interno.
incluye toda la información crítica de la organización, pueden llevarse a cabo como trabajos
independientemente de cómo se almacene la independientes separados o integrarse en otras
información. La confiabilidad e integridad de la auditorías o trabajos realizados como parte del
información incluye precisión, plan de auditoría interna.
integridad y seguridad.
Principio 14. La organización comunica internamente información, incluidos los objetivos y responsabilidades del control interno, necesaria para
apoyar el funcionamiento del control interno.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Desarrolla y mantiene procesos para • Supervisa, recopila información y comunica • Proporciona garantía con respecto a la integridad, • La junta establece y
comunicar la información requerida. información resumida a la 1ª y 3ª línea de precisión y calidad de la comunicación en comunica el tono que espera
Permitir que todo el personal comprenda y lleve a defensa y al tablero con respecto a controles consonancia con las necesidades de la junta y la alta en todos los
cabo sus responsabilidades de control interno. específicos. dirección. organización.
Principio 15. La organización se comunica con partes externas sobre asuntos que afectan el funcionamiento del control interno.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Garantiza que se implementen procesos para comunicar • Con la excepción de ciertos • Garantiza que las • La junta debe recibir información
información relevante y oportuna a partes externas, incluidos comunicaciones a reguladores, auditores comunicaciones esenciales de e informes de la gerencia sobre
accionistas, socios, propietarios, reguladores, clientes, externos y otros grupos específicos, otros son precisos. el
analistas financieros y otras partes externas. normalmente la segunda línea de defensa no se funcionamiento y efectividad
comunica con terceros sobre asuntos que • Normalmente, la función de auditoría del control interno y la base
afecten el funcionamiento del control interno. interna no se comunica con partes para la gestión
• Establece y asegura canales de comunicación abiertos para externas sobre asuntos que afectan a la opiniones antes de
permitir el aporte de clientes, consumidores, proveedores, comunicaciones con
auditores externos, reguladores, analistas financieros y otros, • Si la organización informa externamente sobre sus funcionamiento del control interno. partes externas.
proporcionando a la gerencia y al consejo de administración controles internos, las funciones de segunda línea de
información relevante. defensa proporcionan a la administración los resultados • La junta debe discutir con los auditores
de sus actividades en apoyo de las opiniones de la externos sus puntos de vista y opiniones
administración. que se incluirían en cualquier informe
• Comunica información relevante de evaluaciones externo sobre los sistemas de control de
realizadas por partes externas a la junta directiva. la organización.
Principio 16 . La organización selecciona, desarrolla y realiza evaluaciones continuas y / o separadas para determinar si los componentes de
el control está presente y funcionando.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Selecciona y desarrolla un balance de evaluaciones • Realiza evaluaciones continuas y separadas para • Proporciona la seguridad de que • La junta proporciona supervisión
continuas y separadas, considerando la tasa de cambio en monitorear el estado de varios componentes del gestión continua y gestiona
negocios y negocios. sistema de control interno según lo indique la Las evaluaciones están integradas responsable de la selección,
procesos, y variando el alcance y la frecuencia de evaluaciones administración. en los procesos comerciales y desarrollar y realizar
separadas dependiendo del riesgo. (Estas evaluaciones pueden ajustado a cambiar evaluaciones de los componentes del
ser realizadas por 2 Dakota del Norte línea de defensa.) condiciones según corresponda. control interno.
• Realiza evaluaciones continuas y separadas para
monitorear si el logro de los objetivos está dentro • Proporciona la seguridad de que • Recibe informes periódicos
• Garantiza que los evaluadores que realizan evaluaciones continuas y de las tolerancias de riesgo establecidas. información proporcionada por sobre el riesgo de la organización y la
separadas tengan el conocimiento suficiente para comprender lo que evaluaciones de gestión es eficacia de sus actividades de gestión
se está evaluando. presentado de forma justa y precisa. de riesgos.
• El diseño y el estado actual del sistema de control interno se pueden • Proporciona garantía de que el sistema de
utilizar para establecer una línea de base para evaluaciones control interno está funcionando como se
continuas y separadas. espera y los riesgos se gestionan dentro del
apetito y tolerancia al riesgo de la
• Informa periódicamente al consejo sobre el desempeño organización.
de las actividades de gestión de riesgos de la
organización.
Principio 17. La organización evalúa y comunica las deficiencias de control interno de manera oportuna a las partes responsables de tomar
acción correctiva, incluida la alta dirección y la junta directiva, según corresponda.
Primera línea de defensa 2da línea de defensa 3ra línea de defensa Otro
(Propietarios / administradores de riesgos) (Riesgo, Control y Cumplimiento) (Auditoría interna)
• Comunica información sobre • A los individuos de la segunda línea de defensa se • Los auditores internos establecen y mantienen un sistema • La junta debe asegurarse de
deficiencias a las partes responsables de tomar las les puede delegar la responsabilidad de para monitorear la disposición de los hallazgos y recibir información sobre
acciones correctivas y a la alta dirección y al monitorear e informar sobre tipos específicos de recomendaciones de auditoría interna comunicados a la controlar las deficiencias de manera oportuna
consejo de administración, según corresponda. deficiencias de control. gerencia. Este sistema normalmente aborda: y que las acciones correctivas sean oportunas
y suficientes para abordar las deficiencias de
- El plazo dentro del cual se requiere la respuesta de la control significativas.
administración a las observaciones y recomendaciones
• Realiza un seguimiento de si las deficiencias se
del trabajo.
subsanan oportunamente.
- Evaluación de la respuesta de la dirección. • La gerencia y la junta directiva, según
- Verificación de la respuesta (si procede). corresponda, evalúan los resultados de
- Realización de un trabajo de seguimiento (si evaluaciones continuas y separadas.
procede).
Douglas J. Anderson, CIA, CPA, CRMA, CMA , es Consultor de Asuntos Ejecutivos en Jefe de
Auditoría para el Centro Ejecutivo de Auditoría del IIA ®, un Ejecutivo en Residencia en la Universidad
Estatal de Saginaw Valley, y brinda servicios de consultoría centrados en la gobernanza, el riesgo y el
control. Anderson tiene más de 30 años de experiencia en auditoría interna, auditoría externa,
contabilidad y finanzas. Sus responsabilidades laborales lo han llevado por todo el mundo y le han
proporcionado experiencia en una amplia variedad de organizaciones. Anderson ha ocupado varios
puestos de voluntario en el Instituto de Auditores Internos, incluido instructor, miembro / presidente del
Comité de Orientación Profesional y vicepresidente de Orientación Profesional en el Comité Ejecutivo
de la Junta Directiva. También sirvió en el Grupo Asesor Permanente de la Junta de Supervisión
Contable de Empresas Públicas y ha sido miembro de grupos de supervisión para dos proyectos
COSO.
Gina Eubanks, CIA, CISA, CRMA, CCSA, es la vicepresidenta de Servicios Profesionales del IIA, donde
dirige los programas de Calidad, Jefe Ejecutivo de Auditoría y Servicios de la Industria. Tiene más de 20
años de experiencia en auditoría interna, incluidos 15 años en una de las 4 grandes firmas en servicios de
riesgo empresarial global. La experiencia de Eubanks ha sido tanto dentro de los Estados Unidos como en el
extranjero, habiendo pasado un tiempo significativo en la India. También ha sido practicante y directora en
los sectores minorista y de servicios financieros. Eubanks también es miembro del comité de auditoría de
una institución financiera local y fue líder voluntario del IIA durante casi 15 años.
Sobre COSO
Originalmente formada en 1985, COSO es una iniciativa conjunta de cinco organizaciones del sector privado y se dedica a brindar liderazgo innovador a través
del desarrollo de marcos y orientación sobre gestión de riesgos empresariales (ERM), control interno y disuasión del fraude. Las organizaciones de apoyo de
COSO son el Institute of Internal Auditors (IIA), la American Accounting Association (AAA), el American Institute of Certified Public Accountants (AICPA),
Financial Executives International (FEI) y el Institute of Management Accountants (IMA).
Sobre el IIA
El Instituto de Auditores Internos (IIA) es el defensor, educador y proveedor de normas, orientación y certificaciones más reconocido de la profesión de
auditoría interna. Establecido en 1941, el IIA atiende hoy a más de 180.000 miembros de 170 países. La sede mundial de la asociación se encuentra en
Altamonte Springs, Florida. Para obtener más información, visite theiia.org .
Centro Ejecutivo de Auditoría del Instituto de Auditores Internos ® es el recurso esencial para empoderar a los DEA para que tengan más éxito. El conjunto de
información, productos y servicios del Centro permite a los DEA responder a los desafíos únicos y los riesgos emergentes de la profesión. Para obtener más
información sobre el Centro, visite theiia.org/cae .
Esta publicación contiene información general solamente y ninguno de COSO, cualquiera de sus organizaciones constituyentes o cualquiera de los autores de esta publicación está, por
medio de esta publicación, brindando asesoría o servicios contables, comerciales, financieros, de inversión, legales, tributarios u otros profesionales. . La información contenida en este
documento no sustituye a dicho asesoramiento o servicios profesionales, ni debe utilizarse como base para cualquier decisión o acción que pueda afectar su negocio. Los puntos de vista,
las opiniones o las interpretaciones expresadas en este documento pueden diferir de las de los reguladores pertinentes, las organizaciones autorreguladoras u otras autoridades y pueden
reflejar leyes, reglamentos o prácticas que están sujetas a cambios con el tiempo.
La evaluación de la información contenida en este documento es responsabilidad exclusiva del usuario. Antes de tomar cualquier decisión o acción que pueda afectar su negocio con
respecto a los asuntos descritos en este documento, debe consultar con los asesores profesionales calificados relevantes. COSO, sus organizaciones constituyentes y los autores
expresamente renuncian a cualquier responsabilidad por cualquier error, omisión o inexactitud contenida en este documento o cualquier pérdida sufrida por cualquier persona que confíe
en esta publicación.
LÍNEAS DE DEFENSA