Asociación Internacional de Profesionales de la Gestión de Riesgos
Compartimos Conocimiento, Agregamos Valor
Blog

Blog

Las cuestiones que abordaremos en este artículo son las siguientes:

  • Cuáles son las necesidades que han dado lugar a la formulación de un modelo de tres líneas de defensa por parte del IIA?
  • En qué consiste dicho modelo? Qué habilidades deben adquirir los auditores internos para actuar en el marco del modelo de tres líneas de defensa?
  • Qué implica un abordaje integral por parte de la auditoría interna, y qué relación tiene con el modelo de tres líneas de defensa?

1. Necesidad de una reformulación del control interno – el modelo de tres líneas de defensa

A lo largo del tiempo, diversas entidades en distintos países han formulado pronunciamientos para definir el marco de actuación del control interno, con la pretensión de integralidad. Esto es, una definición de control interno que contemplara todos sus aspectos, y fuera útil para todas las partes interesadas en el debido funcionamiento del control interno:

  • Propietarios de empresas e inversores
  • Reguladores estatales: societarios, impositivos, de la Banca, Seguros, Títulos Valores
  • Gerentes y administradores
  • Auditores externos
  • Auditores internos

Así, a lo largo del tiempo, fueron surgiendo distintos marcos de control interno como las sucesivas versiones de COSO y CoCo. También algunos países latinoamericanos definieron su propio marco de control interno, principalmente aplicables al sector público.

Sin entrar en el análisis de estos marcos, lo cual no es el propósito de este trabajo, podemos decir que todos ellos tienen un aspecto en común. Enfatizan en QUÉ debe hacerse. En tal sentido, el modelo de tres líneas de defensa del IIA resulta transversal a (y compatible con) todos ellos, porque aborda esencialmente la cuestión de QUIÉN debe hacer qué tarea para lograr un eficiente funcionamiento del control interno.

Por qué resultaba necesaria esta definición? Porque la complejidad de las organizaciones actuales llevó a que los órganos de gobierno, en su intención de obtener aseguramiento sobre la gestión, incorporaran cada vez más funciones de aseguramiento, incrementando los costos, complicando las operaciones y generando duplicación de funciones, diagnósticos contradictorios y confusión.

2 En qué consiste el modelo de tres líneas de defensa?

Una imagen vale más que mil palabras, y este caso no es la excepción. Veamos la formulación gráfica del modelo de tres líneas de defensa:

La auditoría integral en el marco del modelo de tres líneas de defensa del IIA

Como se advierte, las funciones de línea operativa se dividen ahora entre las de primera línea, operativas, y las de segunda línea, aseguramiento específico en ciertos temas. La auditoría interna debe proveer el aseguramiento integral sobre la gestión de primera y segunda línea de defensa.. El modelo es sofisticado y complejo, porque:

  1. deben delimitarse debidamente las tareas entre mayor cantidad de actores.
  2. la auditoría interna debe decidir cuándo es confiable o no una función de segunda línea de defensa, y, en caso de no serlo, cómo impactará esto sobre su propia labor:
    1. ejerciendo un monitoreo más intenso sobre funciones de primera línea gerencial, y/o
    2. ofreciendo asistencia y consultoría a las funciones de segunda línea para lograr su fortalecimiento

2.b Las nuevas habilidades que deben adquirir los auditores internos para ejercer auditoría integral en un marco de tres líneas de defensa

Este nuevo modelo organizacional, más sofisticado, requiere como lógica consecuencia, de auditores también más sofisticados. Por tanto, el IIA complementó su pronunciamiento sobre tres líneas de defensa con otro documento referido a las habilidades que necesitarán los auditores internos para actuar en el marco de un modelo de tres líneas de defensa. Se describen diez áreas clave a fortalecer que, nuevamente, es más simple de evaluar gráficamente:

La auditoría integral en el marco del modelo de tres líneas de defensa del IIA

  1. Mejora e innovación
  2. Entrega de servicios de auditoría interna
  3. Comunicaciones
  4. Persuasión y colaboración
  5. Pensamiento crítico
  6. Marco de prácticas profesionales
  7. Gobierno corporativo, riesgo y control
  8. Perspicacia en los negocios
  9. Administración de la Auditoría interna
  10. Ética profesional

3. La actuación de la Auditoría Interna en el marco del Modelo de Tres Líneas de Defensa

Migrar hacia un modelo de tres líneas de defensa supone grandes ventajas para la organización, y también superar ciertos desafíos y desarrollar ciertas tareas, que los auditores internos pueden ejecutar ventajosamente respecto de otras áreas de la organización.

Ventajas:
  • Alineamiento estratégico de toda la organización en pos de metas comunes y métodos integrados para la mitigación de riesgos
  • Mejor fluir de la información desde y hacia el órgano de gobierno y las áreas operativas
  • Reducción de tareas redundantes y diagnósticos contradictorios
  • Reducción de “sorpresas” indeseadas por desatención de riesgos
Desafíos:
  • Superar la resistencia al cambio de quienes temen perder poder o prefieren la modalidad operativa tradicional
  • Contar con recursos de cantidad y calidad necesaria para la implementación de:
    • Cambios en la estructura y funciones de las áreas
    • Cambios informáticos necesarios para ejercer las modificaciones de tareas impuestas por el modelo En este contexto, los auditores internos encuentran también una oportunidad y desafío para:
  • Liderar y/o participar de un proyecto mayor de cambio en la organización, que implicará el rediseño de operaciones e información
  • Ejercer un rol más consultivo una vez implementado el modelo
  • Proveer un aseguramiento integral sobre todos los aspectos de la organización y la interrelación entre las áreas de primera y segunda línea de defensa

Conclusiones

Una vez más, como ya sucedió con cambios de paradigma anteriores, a los auditores internos se nos presenta un nuevo desafío, que es el de crecer y capacitarnos para implementar el modelo de tres líneas de defensa, y/o actuar posteriormente con un enfoque de auditoría integral para el monitoreo de todas las áreas de riesgo de la organización. Si no lo hacemos, alguien más lo hará, más temprano que tarde.

Asociación Internacional de Profesionales de la Gestión de Riesgos

Buscar

@CKP_Training

  • Asociación Internacional de Profesionales de la Gestión de RiesgosEducación profesional en:

    Asociación Internacional de Profesionales de la Gestión de Riesgos
    Educación profesional en:

    Gestión de Riesgos
    Auditoría Interna

  • Asociación Internacional de Profesionales de la Gestión de RiesgosEducación profesional en:

    Asociación Internacional de Profesionales de la Gestión de Riesgos
    Educación profesional en:

    Gobierno Organizacional
    Procesos y Controles

  • Asociación Internacional de Profesionales de la Gestión de RiesgosEducación profesional en:

    Asociación Internacional de Profesionales de la Gestión de Riesgos
    Educación profesional en:

    Contabilidad Financiera
    Tecnología de la Información
    Certificaciones Profesionales

  • 1
  • 2
  • 3