Professional Documents
Culture Documents
En las organizaciones del siglo XXI, no es raro encontrar diversos equipos de auditores
internos, especialistas en gestin de riesgos corporativos, oficiales de cumplimiento,
especialistas en control interno, inspectores de calidad, investigadores de fraude y otros
profesionales del riesgo y del control, trabajando juntos para ayudar a sus organizaciones
a gestionar el riesgo. Cada una de estas especialidades tiene una perspectiva nica y
habilidades especficas que pueden ser invaluables para las organizaciones donde
prestan sus servicios, pero las responsabilidades relacionadas con la gestin de riesgos y
el control estn cada vez ms distribuidas en mltiples departamentos y divisiones, y las
obligaciones deben ser coordinadas cuidadosamente para asegurar que los procesos de
riesgo y control funcionen de forma satisfactoria.
Hay mucho en juego. Sin un enfoque cohesionado y coordinado, los limitados recursos de
riesgo y control podran no ser desplegados efectivamente, y riesgos significativos podran
no ser identificados o gestionados adecuadamente. En el peor de los casos, las
comunicaciones entre los diversos grupos de riesgo y control pueden caer en un debate
permanente sobre qu tareas especficas deben ser cumplidas por cada grupo.
IIA DECLARACIN DE POSICIN: LAS TRES LNEAS DE DEFENSA PARA UNA EFECTIVA GESTIN DE RIESGOS Y CONTROL / 1
Afortunadamente, estn surgiendo buenas prcticas que pueden ayudar a las
organizaciones a delegar y coordinar las tareas esenciales de la gestin de riesgos mediante
un enfoque sistemtico. El modelo de las Tres Lneas de Defensa proporciona una manera
simple y efectiva para mejorar las comunicaciones en la gestin de riesgos y control
mediante la aclaracin de las funciones y deberes esenciales relacionados. Este modelo
proporciona una mirada nueva a las operaciones, ayudando a asegurar el xito continuo de
las iniciativas de gestin del riesgo, y este modelo es apropiado para cualquier organizacin
independientemente de su tamao o complejidad. An en organizaciones donde un marco
o sistema de gestin de riesgos formal no existe, el modelo de Las Tres Lneas de Defensa
puede aumentar la claridad respecto a los riesgos y los controles y ayudar a mejorar la
efectividad de los sistemas de gestin de riesgos.
Aunque ni los organismos de gobierno corporativo ni la alta direccin figuran entre las tres
"lneas" en este modelo, no hay discusin de que el sistema de gestin de riesgos no estara
completo sin considerar primero las funciones esenciales de los organismos de gobierno
corporativo (es decir, los consejos de administracin u rganos equivalentes) y de la alta
direccin. Los organismos de gobierno corporativo y la alta direccin son los principales
interesados en ser atendidos por las "lneas", y son las partes que mejor estn posicionadas
2 / IIA DECLARACIN DE POSICIN: LAS TRES LNEAS DE DEFENSA PARA UNA EFECTIVA GESTIN DE RIESGOS Y CONTROL
para ayudar a asegurar que el modelo de las Tres Lneas Defensa est reflejado en los
procesos de gestin de riesgos y control de la organizacin.
El modelo de las Tres Lneas de Defensa distingue tres grupos (o lneas) que participan en
una efectiva gestin de riesgos:
Como primera lnea de defensa, las gerencias operativas son propietarias de los riesgos y
los gestionan. Estas gerencias tambin son responsables de la implementacin de
acciones correctivas para hacer frente a deficiencias de proceso y control.
La gerencia operativa sirve naturalmente como primera lnea de defensa porque los
controles estn diseados dentro de los sistemas y procesos bajo su direccin como
administracin operacional. Deberan estar implementados adecuados controles de
gestin y supervisin para asegurar su cumplimiento y para destacar excepciones de control,
procesos inadecuados y eventos inesperados.
IIA DECLARACIN DE POSICIN: LAS TRES LNEAS DE DEFENSA PARA UNA EFECTIVA GESTIN DE RIESGOS Y CONTROL / 3
LA SEGUNDA LINEA DE DEFENSA: FUNCIONES DE GESTIN DE RIESGOS Y
CUMPLIMIENTO
En un mundo perfecto, tal vez slo una lnea de defensa sera necesaria para asegurar una
gestin de riesgos efectiva. En el mundo real, sin embargo, una sola lnea de defensa con
frecuencia puede resultar insuficiente. La gerencia establece diversas funciones de gestin
de riesgos y cumplimiento para ayudar a crear y/o monitorear los controles de la primera
lnea de defensa. Las funciones especficas varan segn la organizacin e industria, pero
las funciones tpicas de esta segunda lnea de defensa comprenden:
La Gerencia establece estas funciones para asegurar que la primera lnea de defensa est
apropiadamente diseada, implementada y operando segn lo previsto. Cada una de estas
funciones tiene algn grado de independencia respecto de la primera lnea de defensa, pero
son por naturaleza funciones gerenciales. Como funciones gerenciales, pueden intervenir
directamente en la modificacin y desarrollo de los sistemas de control interno y riesgos.
Por lo tanto, la segunda lnea de defensa tiene un propsito vital, pero no puede ofrecer
anlisis del todo independientes a los organismos de gobierno corporativo respecto a la
gestin de riesgos y a los controles internos.
4 / IIA DECLARACIN DE POSICIN: LAS TRES LNEAS DE DEFENSA PARA UNA EFECTIVA GESTIN DE RIESGOS Y CONTROL
Asistir a la administracin en el desarrollo de procesos y controles
para la gestin de riesgos y problemas.
Proporcionar gua y entrenamiento en procesos de gestin de riesgos.
Facilitar y monitorear la implementacin de prcticas efectivas de gestin de
El estableci-
riesgos por parte de la gerencia operativa
miento de
una actividad
Alertar a la gerencia operativa de asuntos emergentes y de cambios en los
de auditora
escenarios regulatorios y de riesgos. interna
Monitorear la adecuacin y efectividad del control interno, la exactitud e profesional
integridad de la informacin, el cumplimiento de las leyes y regulaciones, y debera ser un
la remediacin oportuna de deficiencias. requerimiento
de gobierno
LA TERCERA LINEA DE DEFENSA: AUDITORIA INTERNA corporativo
Los auditores internos proporcionan a los organismos de gobierno para todas las
corporativo y a la alta direccin un aseguramiento comprensivo basado en organizacio-
el ms alto nivel de independencia y objetividad dentro de la organizacin. nes. Esto no
Este alto nivel de independencia no est disponible en la segunda lnea de slo es impor-
tante para las
defensa. Los auditores internos proveen aseguramiento sobre la efectividad
grandes y
del gobierno corporativo, la gestin de riesgos y el control interno, medianas
incluyendo la manera en que la primera y segunda lnea de defensa organizacio-
alcanzan sus objetivos de gestin de riesgos y control. El alcance de este nes, sino
aseguramiento, que es reportado a los organismos de gobierno corporativo tambin
y alta direccin, usualmente cubre: puede ser
igualmente
Un amplio rango de objetivos, incluyendo la eficiencia y efectividad importante
de las operaciones, salvaguarda de activos, confiabilidad e para las
integridad de los procesos de reporte, y cumplimiento con leyes, pequeas
entidades, ya
regulaciones, polticas, procedimientos y contratos. que ellas
Todos los elementos de los marcos de gestin de riesgos y control igualmente
interno, que incluyen: ambiente de control interno, todos los pueden
componentes del marco de gestin de riesgos de la organizacin (por enfrentar
ejemplo, identificacin de riesgos, evaluacin de riesgos y ambientes
respuesta), informacin y comunicacin, y monitoreo. complejos,
La entidad en su conjunto, divisiones, subsidiarias, unidades con una
operativas y funciones incluyendo procesos de negocios, tales menos formal
pero robusta
como ventas, produccin, marketing, seguridad, funciones de
estructura
clientes, y operaciones como tambin funciones de soporte (por organizacio-
ejemplo, contabilizacin de ingresos y gastos, recursos humanos, nal, para
adquisiciones, remuneraciones, presupuestos, gestin de asegurar la
infraestructura y activos, inventario, y tecnologa de la informacin) efectividad de
sus procesos
de gobierno
corporativo y
gestin de
riesgos.
IIA DECLARACIN DE POSICIN: LAS TRES LNEAS DE DEFENSA PARA UNA EFECTIVA GESTIN DE RIESGOS Y CONTROL / 5
El establecimiento de una actividad de auditora interna profesional debera
ser un requerimiento de gobierno corporativo para todas las organizaciones.
Esto no slo es importante para las grandes y medianas organizaciones,
sino tambin puede ser igualmente importante para las pequeas
entidades, ya que ellas igualmente pueden enfrentar ambientes complejos,
con una menos formal pero robusta estructura organizacional, para
asegurar la efectividad de sus procesos de gobierno corporativo y gestin
de riesgos.
6 / IIA DECLARACIN DE POSICIN: LAS TRES LNEAS DE DEFENSA PARA UNA EFECTIVA GESTIN DE RIESGOS Y CONTROL
COORDINACION DE LAS TRES LINEAS DE DEFENSA
Debido a que cada organizacin es nica y puede variar segn situaciones especficas,
no hay una forma "correcta" para coordinar las Tres Lneas de Defensa. Sin embargo, al
asignar las responsabilidades especficas y de coordinacin entre las funciones de
gestin de riesgos, puede ser til tener en cuenta el papel fundamental de cada grupo
en el proceso de gestin de riesgos.
IIA DECLARACIN DE POSICIN: LAS TRES LNEAS DE DEFENSA PARA UNA EFECTIVA GESTIN DE RIESGOS Y CONTROL / 7
Las tres lneas deberan existir de alguna forma en todas las organizaciones,
independientemente de su tamao o complejidad. La gestin del riesgo
normalmente es ms fuerte si existen tres lneas de defensa separadas y
claramente identificadas. Sin embargo, en situaciones excepcionales,
especialmente en organizaciones pequeas, ciertas lneas de defensa pueden
estar combinadas. Por ejemplo, existen ocasiones donde a auditora interna se le
ha solicitado establecer y/o administrar actividades de gestin de riesgos o de Las tres lneas
deberan
cumplimiento. En esas situaciones, auditora interna debera comunicar existir de
claramente a los organismos de gobierno corporativo y a la alta direccin el alguna forma
impacto de la combinacin. Si responsabilidades duales se asignan a una sola en todas las
persona o departamento, sera apropiado considerar la separacin de la organizacio-
responsabilidad de estas funciones ms adelante, para establecer las tres lneas. nes, indepen-
dientemente
Independientemente de cmo el modelo de las Tres Lneas de Defensa es de su tamao
implementado, la alta direccin y los organismos de gobierno corporativo deben o compleji-
comunicar claramente que esperan que la informacin sea compartida y las dad. La
actividades coordinadas entre cada uno de los grupos responsables de la gestin gestin del
riesgo
de riesgos y controles de la organizacin. Bajo las Normas Internacionales para normalmente
la Prctica Profesional de Auditora Interna, los directores ejecutivos de auditora es ms fuerte
son especficamente requeridos a "compartir informacin y coordinar las si existen tres
actividades con otros proveedores internos y externos de servicios de lneas de
aseguramiento y consultora, para asegurar una cobertura adecuada y minimizar defensa
la duplicacin de esfuerzos. separadas y
claramente
PRACTICAS RECOMENDADAS identificadas
8 / IIA DECLARACIN DE POSICIN: LAS TRES LNEAS DE DEFENSA PARA UNA EFECTIVA GESTIN DE RIESGO Y CONTROL
this translation, which is the same in all material transmitted in any form, or by any means
respects, as the original unless approved as electronic, mechanical, photocopying, recording,
changed. No part of this document may be or otherwise, without prior written permission of
reproduced, stored in any retrieval system, or IIA, Inc.