EL MODELO DE LAS TRES LÍNEAS DE DEFENSA Y LAS EVALUACIONES DE CALIDAD (QA)


 

El modelo de las tres lineas de defensa y las Evaluciones de Calidad (QA)

 

Autor: Orobaldo Martinez

Director QA’s IIA España
1. INTRODUCCIÓN

 

En los últimos años se ha incrementado la utilización del modelo de tres líneas de defensa como un marco para demostrar los distintos roles dentro de gobierno corporativo, que deben realizar las diferentes funciones de control de una organización, así como la interacción entre ellas. Este modelo ha sido impulsado por el ECIIA-European Confederation of Institutes of Internal Auditing y aceptado por el IIA Global. Se trata de tener una idea clara de lo que hace cada uno. Las tres primeras líneas de defensa son internas a la organización y la cuarta línea de defensa es externa y llevada a cabo por auditores externos y reguladores.

2. GOBIERNO CORPORATIVO Y COMISIÓN DE AUDITORÍA

Según la OCDE – Organización para la Cooperación y el Desarrollo Económicos, el Gobierno Corporativo es el sistema a través del cual las corporaciones empresariales son dirigidas y controladas. Es un elemento clave para aumentar la eficacia económica y potenciar el crecimiento, así como para fomentar la confianza de los inversores.  Proporciona la estructura a través de la cual se fijan los objetivos y los medios para lograr que esos objetivos se cumplan y supervisar su cumplimiento. Implica un sistema de relaciones entre la dirección de una compañía, sus consejeros, sus accionistas y demás personas con intereses en la sociedad. Una pieza clave del Gobierno Corporativo es la Comisión de Auditoría, en su relación con los auditores externos y con el departamento de auditoría interna.

 

3. PRIMERA LINEA DE DEFENSA

La primera línea de defensa de una organización está formada por los Gestores y el Control Interno. Las unidades operacionales tienen la propiedad y responsabilidad para evaluar, controlar y mitigar los riesgos junto con el mantenimiento de controles internos efectivos.

El Control Interno (COSO I) es un proceso efectuado por el Consejo de Administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: eficacia y eficiencia de las operaciones, fiabilidad de la información, cumplimiento de las leyes y normas aplicables y salvaguarda de activos.

Los Gestores deben desarrollar en su área de responsabilidad cada uno de los cinco componentes de COSO I (entorno de control, evaluación de riesgos, actividades de control, información y comunicación y supervisión) y ello es de aplicación a cada uno de los procesos del esquema universal de procesos, tanto los operativos como los de gestión y soporte, elaborando controles directivos, detectivos, preventivos y correctivos.

El Control Interno no es un monopolio de Auditoría Interna sino algo que fluye a lo largo de toda la organización. Corresponde a Auditoría Interna supervisar que esta 1ª línea de defensa está funcionando adecuadamente.

 

4. SEGUNDA LINEA DE DEFENSA

Como parte de esta segunda línea de defensa algunas organizaciones han establecido funciones especializadas como la de Cumplimiento, para controlar los riesgos de no conformidad con la aplicación de leyes y reglamentos externos e internos. Otras funciones especializadas son Control Financiero, Seguridad, Calidad, Inspección, y Gestión de Riesgos, todas ellas con una característica de control transversal de los procesos.

La función de Gestión de Riesgos facilita y vigila la aplicación de las prácticas efectivas de gestión de riesgos, por los gestores operativos y ayuda a los propietarios de los riesgos a definir la exposición al riesgo y a reportar información adecuada de los riesgos a la organización. Esta función podrá gestionar los riesgos más transversales y a esta segunda línea de defensa es aplicable el marco de COSO II – Enterprise Risk Management (ERM).

 

5. TERCERA LINEA DE DEFENSA

Auditoría Interna constituye la tercera línea de defensa y es el control de los controles. El Departamento de Auditoría Interna, como soporte a la Comisión de Auditoría, basándose en un enfoque de riesgo, proporciona aseguramiento a los órganos de gobierno de la organización y a la alta dirección sobre la efectividad de la evaluación y gestión de riesgos, incluyendo la forma en que la primera y la segunda línea operan.

El IIA ha establecido un esquema de abanico que ilustra la actuación para Auditoría Interna dentro de la Gestión de Riesgos, de forma que delimita claramente su rol a las funciones de aseguramiento, y como mucho a las funciones de consultoría, pero en ningún caso debe asumir funciones ejecutivas en la definición, respuesta y gestión de los riesgos.

En este punto es de aplicación el marco de COSO III – Supervisión de Sistemas de Control Interno, el cual establece que un sistema de supervisión adecuadamente diseñado y ejecutado, proporciona información convincente respecto a su efectividad y permite la identificación de las deficiencias de control de manera oportuna y su comunicación a los responsables de tomar las acciones correctivas, así como a la dirección y al consejo, cuando se estime apropiado.

Lo anterior facilitará la corrección de las deficiencias antes de que pudiesen afectar de manera significativa a la consecución de los objetivos de la organización. Las organizaciones deben contemplar el empleo de supervisión continua, cuando sea factible, en contraposición a las evaluaciones puntuales, ante la existencia de riesgos y disponibilidad de información que merezcan este planteamiento.

El Marco Internacional para la Práctica Profesional de Auditoría Interna es la guía para desarrollar la función de forma eficiente, incorporando una parte obligatoria en su definición, código de ética y normas y otra parte muy recomendada, como los documentos de posicionamiento, guías prácticas y consejos para la práctica.

 

6. CUARTA LINEA DE DEFENSA

La auditoría externa puede ser considerada una cuarta línea de defensa y ofrece garantías a los accionistas de la organización, junta directiva y la alta gerencia con respecto a la imagen fiel de los estados financieros de la organización.

Otras funciones externas como Inspectores, Auditores Gubernamentales, Peritos, Técnicos Evaluadores de Calidad, ofrecen garantías sobre el cumplimiento de las leyes y obligaciones específicas.

Concretamente, las Evaluaciones de Calidad (QA) se pueden considerar como pertenecientes a la cuarta línea de defensa ya que sirven para certificar el buen funcionamiento de auditoría interna, de acuerdo a las Normas Internacionales y otorgan a los auditores externos mayores garantías para que puedan apoyarse en el trabajo de auditoría interna.

Las dos normas que evalúan como línea de defensa externa la certificación de la calidad de auditoría son la 1312 y 1321, ambas pertenecientes a la serie 1300-Programa de Aseguramiento y Mejora de la Calidad. La norma 1312 establece la obligación de realizar evaluaciones externas, al menos una vez cada cinco años por un equipo de revisión cualificado e independiente, proveniente de fuera de la organización. La norma 1321 permite la utilización del “cumple con las normas” en los documentos de la unidad de auditoría, de forma que sirvan de soporte para los trabajos de otros supervisores externos de la cuarta línea de defensa.

 

7. CONCLUSIONES

No hay buen gobierno corporativo sin una buena Comisión de Auditoría y no hay una buena Comisión de Auditoría sin una buena Auditoría Interna, de acuerdo con el Modelo de las Tres Líneas de Defensa.

La Evaluación de Calidad de Auditoría Interna, QA, forma parte de la cuarta línea de defensa de las organizaciones, y proporciona mayores garantías respecto al nivel de excelencia del trabajo de auditoría interna y la posibilidad de que tanto los auditores externos como el regulador se apoyen en sus trabajos.

 

Si esta interesado en saber mas sobre Evaluaciones de Calidad QA, acompáñenos en nuestras próximas jornadas de capacitación online aquí: http://bit.ly/QAx3_tab1

 

Si desea información en relación a los servicios de Evaluación de Calidad de la Función de la Auditoria Interna que permitan aumentar el valor de sus organizaciones y evaluar su cumplimiento con las Normas, los estatutos del comité de auditoría y de la propia función de auditoría interna, así como las evaluaciones de riesgo y control y el uso de mejores prácticas, solicite información adicional, sin compromiso lo mas pronto posible y vea ¡como una Evaluación Externa de la Calidad puede ayudarle! 

Complete y envié su formulario de consulta aqui: http://bit.ly/QA_cuest

o envienos un correo electronico a info@vhgconsulting.com o llame al +1-407-439-VHG1 (8441) 

 

Etiquetas: , , , , ,

Volver
5 Comentarios en“EL MODELO DE LAS TRES LÍNEAS DE DEFENSA Y LAS EVALUACIONES DE CALIDAD (QA)”
  1. Nikolay Trujillo Dice:

    Sr. Orobaldo Martinez:
    Es un articulo excelente. Muy claro y conciso. Mil gracias.
    Saludos,
    Nikolay Trujillo, MBA, CIA, CRMA, CGAP
    Quito – Ecuador

  2. Rafael Jorge Nicolás Dice:

    Muy interesante y propio de un buen control interno y de gestión.Lo que si esto requiere primero de un análisis por Departamento de “Debilidades y Fortalezas” y luego aplicar como estrategia la cuatros líneas de Defensa.
    Atte.
    RJNICOLÁS

  3. vhgeditor Dice:

    Estimados Colegas les invitamos a participar de la jornada de Capacitacion a Distancia el proximo dia jueves 29 de noviembre 2012, donde nuestro experto, Don Orobaldo Martinez estara dictando su charla con relacion a ¿Como mejorar la eficiencia de la Auditoria Interna a traves de una Evaluacion de Calidad. Informacion adicional aqui: http://bit.ly/qa-vhg

    ¡Los esperamos!

    Cualquier pregunta adicional pueden escribirnos a capacitacion.distancia@vhgconsulting.com

  4. Orobaldo Martínez Meroño Dice:

    Agradezco el interés y comentarios sobre el artículo. En él se destacan los tres Marcos de aplicación para la actividad de auditoría interna: COSO I y II que definen DONDE participa auditoría interna en el Control Interno y en el ERM, los Códigos de Buen Gobierno Corporativo que describen QUÉ debe hacer auditoría interna y las Normas del IIA que desarrollan CÓMO debe hacer su actividad auditoría interna.

  5. Edison Estrella Dice:

    Muy buena síntesis sobre control interno, desde luego para las corporaciones grandes, en países de América Latina el mayor porcentaje de empresas son PYMES y desde luego el pensar en estas cuatro líneas de control interno es interesante, no obstante, hay que pensar en que las PYMES no tienen una estructura tan grande y los recursos financieros son limitados. Además, las PYMES son manejadas con criterios cerrados, el funcionamiento de los organismos directivos tienen cierto grado de relación con la administración y de forma parecida con los gestores del control interno en la base, son causas que no permiten el avance o desarrollo de estas organizaciones. Los conceptos del IAI Global son excelentes, pero no aplican para las pequeñas, aplican para el gobierno, pero estos no lo utilizan, pues se constituyen en monopolios por sectores que evitan transparentar la información, esto es visible al comparar la información de los bancos privados y los datos de la banca estatal, bueno así son las cosas en AL., algo similar ha ocurrido en Europa y bueno las consecuencias son calamitosas…
    Existen varios ejemplos en donde resido, pero es complicado decirlo..

Deje su comentario: