Autor: Lic.

Reinaldo Vargas Soto, CPA

Costa Rica, correo: vargasfallas@ice.co.cr
Página 1 de 4

Advertencia Eje de la Tercera

Línea de Defensa
En el desarrollo de las diversas instituciones públicas a través del tiempo, estas se han
preocupado por mejorar su gestión, para lo cual el Control Interno y más recientemente la
identificación de Riesgos, se convierten en la base para la emisión de diferentes
pronunciamientos para establecer el marco de acción del control interno y riesgos, como
por ejemplo: las versiones de COSO a nivel internacional o en Costa Rica la Ley N°8292
“Ley General de Control Interno”.
Dentro de esta perspectiva, la Ley N°8292 norma en su artículo 22 Competencias de la
Auditoría Interna, inciso “d) Asesorar, en materia de su competencia, al jerarca del cual
depende; además, advertir a los órganos pasivos que fiscaliza sobre las posibles
consecuencias de determinadas conductas o decisiones, cuando sean de su
conocimiento” (el subrayado no pertenece al original). Asimismo, la Contraloría General
de la República Resolución R-DC-119-2009 del 16/12/2009 (Gaceta N° 28, miércoles 10
de febrero, 2010) Normas para el ejercicio de la auditoría interna en el Sector Público, en
su apartado 1. Normas sobre Atributos, 1.1.4 Servicios de la Auditoría Interna: “Los
servicios preventivos incluyen la asesoría, la advertencia y la autorización de libros” (el
resaltado no es del original), definiendo el servicio de Advertencia de la siguiente manera:
“Es un servicio dirigido a los órganos sujetos a la competencia institucional de la auditoría
interna, y consiste en señalar los posibles riesgos y consecuencias de determinadas
conductas o decisiones, cuando sean de conocimiento de la auditoría interna”, como se
observa dicha definición es coherente con la Ley N°8292.
A este respecto, el Instituto de Auditores Internos (IIA por sus siglas en inglés) promulga
en enero de 2013, “Las Tres Líneas de Defensa para una efectiva Gestión de Riesgos y
Control” con el objetivo de lograr asignar roles específicos y coordinar con eficacia y
eficiencia entre las tres líneas para que se eliminen las "brechas" en la cobertura de los
controles y las duplicaciones innecesarias, logrando esto mediante una adecuada
definición de responsabilidades, estableciendo para cada uno de los actores los límites de
las mismas, en la estructura general de riesgo y control de la organización.
El documento indicado en el párrafo anterior, define estas tres líneas de defensa como
sigue:

DERECHOS RESERVADOS © 2015 por Reinaldo Vargas Soto estrictamente reservados.

Ninguna parte de este material puede reproducirse de ninguna forma sin el permiso por escrito del Autor
 Autor: Lic. Reinaldo Vargas Soto, CPA
Costa Rica, correo: vargasfallas@ice.co.cr
Página 2 de 4

Primera línea de defensa Gestión Operativa: Áreas de Negocio tienen la propiedad, la

responsabilidad y la obligación de evaluar, controlar y mitigar los riesgos, a la vez que
mantiene controles internos eficaces.
Segunda línea de defensa Funciones de Gestión de Riesgos y
Cumplimiento: Control Interno, Gestión de Riesgo Corporativa y otras similares facilitan y
supervisan la implementación de prácticas de gestión de riesgos eficaces por parte de la
gerencia operativa y ayudan a los responsables de riesgos a distribuir la información
adecuada sobre riesgos hacia arriba y hacia abajo en la organización.
Tercera línea de defensa Auditoria Interna: Los auditores internos proporcionan a los
organismos de gobierno corporativo y a la alta dirección un aseguramiento comprensivo
basado en el más alto nivel de independencia y objetividad dentro de la organización.
Para ilustrar lo descrito anteriormente, se presenta la siguiente imagen:

Órgano de Gobierno/Comité de Auditoría

Ente Regulador (ej: Contraloría General de la República)

Alta Dirección

Auditor Externo
1a Línea de defensa: La Gestión 2a Línea de defensa: Funciones de 3a Línea de defensa: Auditoría
Operativa Gestión de Riesgos y Cumplimiento Interna

Controles financieros
Los auditores internos
Controles de Medidas de Seguridad
gerencia Control Interno proporcionan a los organismos de
Gestión de Riesgos gobierno corporativo y a la alta
dirección un aseguramiento
Calidad comprensivo basado en el más
alto nivel de independencia y
La Gerencia operativa, es la Inspección
responsable de los controles que están objetividad dentro de la
diseñados dentro de los sistemas y Cumplimiento organización.
procesos bajo su dirección.

Fuente: Elaboración propia

Por lo anterior, la advertencia, como instrumento de carácter técnico preventivo y

proactivo, se convierte en el eje principal para cumplir con la tercera línea de defensa, en
los servicios de la Auditoría Interna, con el fin generar valor a los servicios prestados,

DERECHOS RESERVADOS © 2015 por Reinaldo Vargas Soto estrictamente reservados.

Ninguna parte de este material puede reproducirse de ninguna forma sin el permiso por escrito del Autor
 Autor: Lic. Reinaldo Vargas Soto, CPA
Costa Rica, correo: vargasfallas@ice.co.cr
Página 3 de 4

mediante la un monitoreo continuo de las operaciones de la institución, basado en las dos

primeras líneas de defensa.
Es así que el Instituto de Auditores Internos (IIA por sus siglas en inglés) emite, en marzo
2015, Guía de Auditoría de Tecnología (GTAG®) 3, La coordinación de Auditoría Continua
y Monitoreo para proporcionar Aseguramiento continuo, segunda edición, define lo
siguiente:
Aseguramiento continuo - realizado por la Auditoría Interna, aseguramiento continuo es
una combinación de auditoría continua y pruebas de las líneas primera y segunda de
defensa monitoreo continuo.
Auditoría Continua - la combinación de la tecnología- riesgos actuales y las
evaluaciones de control. Está diseñada para permitir al auditor interno reportar en la
materia en un plazo mucho más corto que bajo el enfoque retrospectivo tradicional.
Monitoreo continuo - un proceso de gestión que monitorea de forma continua si los
controles internos son operados con eficacia.
Así las cosas, el Monitoreo Continuo se convierte en la interface entre el modelo de las
tres líneas de defensa y el paso hacia una Auditoría Continua y el Aseguramiento
Continuo, como se muestra en el siguiente esquema:
Aseguramiento continuo logrado a través de la de la actividad de auditoría interna:

• Pruebas de Auditoría de la primera y segunda líneas de Defensa monitoreo continuo.

• Auditoría Continua.
Defensa monitoreo continuo
primera y segunda líneas de
Pruebas de Auditoría de la

3a Línea de defensa:
Auditoría Interna

2a Línea de defensa:
Auditoría Continua

Funciones de Gestión
de Riesgos y
Cumplimiento
Monitoreo Continuo

1a Línea de defensa:
La Gestión Operativa

Fuente: Elaboración propia

DERECHOS RESERVADOS © 2015 por Reinaldo Vargas Soto estrictamente reservados.

Ninguna parte de este material puede reproducirse de ninguna forma sin el permiso por escrito del Autor
 Autor: Lic. Reinaldo Vargas Soto, CPA
Costa Rica, correo: vargasfallas@ice.co.cr
Página 4 de 4

Como se puede inferir, la Auditoría Interna manteniendo un monitoreo continuo, mediante

pruebas sobre los controles establecidos en la dos primeras líneas de defensa, puede
identificar situaciones de riesgos futuro a los que están expuestas las instituciones o
empresas y es mediante la Advertencia, que se puede prevenir a la Administración Activa,
que de no adoptarse medidas correctivas oportunas, eventualmente se pueden generar
disminución, pérdida, menoscabo, otros, de los recursos públicos. Por otra parte, es
relevante resaltar que lo indicado por medio de la Advertencia, debe de estar sin juicios
que le sugieran acciones de lo que debe o debería hacer la administración, para minimizar
el riesgo o amenaza, toda vez, que tales acciones son responsabilidad de la
Administración Activa, esto por cuanto la Advertencia es la indicación de las situaciones
observadas durante las pruebas de auditoría aplicadas al Monitoreo Continuo de las dos
primeras líneas de defensa, lo adecuado es manifestarle a la administración que valore la
conducta o decisión, de ser posible señalar las eventuales consecuencias, cualquier otra
recomendación podría encuadrarse como coadministración.
Cabe considerar, por otra parte, que al realizar la Advertencia la Auditoría Interna, no
delimita su acción, esto por cuanto posteriormente puede realizar un estudio de auditoría
sobre el tema que advirtió, sin comprometer su objetividad.
Es por las razones anteriores, que se considera que la Advertencia es el eje principal de
la tercera línea de defensa, permitiendo a la Auditoría Interna intervenir en forma proactiva
y preventiva, colaborando con la Administración Activa a identificar, minimizar o corregir
los riesgos potenciales, antes que estos se materialicen. Asimismo, la Auditoría Interna,
cumple con su función asignada en la tercera línea de defensa, proporcionando un
aseguramiento sobre la eficacia, gestionando riesgos y mejorando el control interno en la
entidad, cubriendo así los elementos del enfoque de gestión de riesgos de la institución:
identificación de riesgo, evaluación de riesgo y respuesta a comunicaciones de
información relativa a riesgos. Logrando agregar valor y una comunicación asertiva con
las diferentes áreas de la Administración Activa.
Por lo indicado en este documento se puede concluir que con la Advertencia:
1- Se cumple con la función asignada en la Tercera Línea de defensa, a la
Auditoría Interna.

2- Se minimiza el desperdicio de recursos, al tener la Administración la posibilidad

de realizar las medidas preventivas o correctivas en un tiempo oportuno.

3- Se genera una mejor aceptación de los servicios de auditoría al generar un

producto que colabora con la administración al mejoramiento continuo y al
logro de sus objetivos.

DERECHOS RESERVADOS © 2015 por Reinaldo Vargas Soto estrictamente reservados.

Ninguna parte de este material puede reproducirse de ninguna forma sin el permiso por escrito del Autor