Heyddy Escobar

Bienvenid@s a este espacio donde compartiremos información y experiencias sobre: Auditoría Interna, Gobierno, Riesgo, Control, Coaching Ejecutivo, Crecimiento Personal . © 2025. Todos los derechos reservados. Heyddy Escobar.

Auditoría Interna

Diseño de un Mapa de Aseguramiento para Fortalecer la Gestión de Riesgos

PorHeyddy Escobar

Mar 3, 2024

El Modelo de Tres Líneas del IIA lanzado el 21 de julio de 2020 sustituye al Documento de Posición de 2013 Las Tres Líneas de dfensa en la Gestión y el Control Efectivos de los Riesgos.

El modelo de las tres líneas nace en 2013 con la intención de proporcionar una base solida en el control y la gestión de riesgos de las organizaciones, estructurando procesos eficaces que permitan alcanzar los objetivos de las mismas, así también, brindando un apoyo importante a los órganos de gobierno:

El Modelo de las tres líneas se aplica a todas las organizaciones y se optimiza mediante:

  • Adoptar un enfoque basado en principios y adaptar el Modelo a los objetivos y circunstancias de la organización.
  • Enfocar la contribución de la gestión de riesgo en la obtención de objetivos y la creación de valor, así como en cuestiones de «» y protección del valor.
  • Comprender claramente los roles y responsabilidades representados en el Modelo y las relaciones entre ellos.
  • Implementar medidas para garantizar que las actividades y los objetivos estén alineados con los intereses prioritarios de las partes interesadas.

La responsabilidad de las actividades de aseguramiento se comparte entre las tres líneas

Distintos proveedores de servicios de aseguramiento contribuyen a la estructura de riesgo y control de toda la organización, y juntos garantizan que los riesgos se identifiquen y se aborden en un nivel aceptable.

Sin embargo, los proveedores se diferencian unos de otros en materia de las responsabilidades sobre reportes, los niveles de independencia de las actividades sobre las que proveen aseguramiento y la confiabilidad del aseguramiento dado.

El Modelo Consta de tres principios detallados a continuación:

Principio 1: Gobierno

El gobierno corporativo es el conjunto de normas, principios y procedimientos que regulan la estructura y el funcionamiento de los órganos de gobierno de una empresa.  En concreto, establece las relaciones entre la junta directiva, el consejo de administración, los accionistas y el resto de partes interesadas, y estipula las reglas por las que se rige el proceso de toma de decisiones sobre la compañía para la generación de valor. El gobierno de una organización requiere estructuras y procesos apropiados que permitan lo siguiente:

  • Responsabilidad por parte de un organismo de gobierno a las partes interesadas para la supervisión de la organización a través de la integridad, el liderazgo y la transparencia.
  • Acciones (incluyendo la gestión de riesgo) por parte de la dirección para lograr los objetivos de la organización a través de la toma de decisiones basada en el riesgo y la aplicación de recursos.
  • Aseguramiento y asesoramiento por parte de una función de auditoría interna independiente para proporcionar claridad y confianza y para promover y facilitar la mejora continua a través de una investigación rigurosa y comunicación perspicaz.

Rol del Auditor Interno dentro del modelo de las tres líneas

  • La independencia de la auditoría interna de la dirección asegura que esté libre de obstáculos y sesgos en su planificación y en la realización de su trabajo, disfrutando de un acceso sin restricciones a las personas, los recursos y la información que requiere. Es responsable ante el organismo de gobierno.
  • La auditoría interna es responsable ante el organismo de gobierno y a veces se describe como los «ojos y oídos». El organismo de gobierno es responsable de supervisar la auditoría interna, para lo cual es necesario: garantizar el establecimiento de una función de auditoría interna independiente.
  • Sin embargo, la independencia no implica aislamiento. Debe haber una interacción regular entre la auditoría interna y la dirección para garantizar que la labor de la auditoría interna sea pertinente y esté en consonancia con las necesidades estratégicas y operacionales de la organización.
  • A través de todas sus actividades, la auditoría interna construye su conocimiento y comprensión de la organización, lo que contribuye al aseguramiento y el asesoramiento que proporciona como asesor de confianza y socio estratégico. Se necesita colaboración y comunicación entre los roles de primera y segunda línea de la dirección y la auditoría interna para garantizar que no haya duplicaciones, superposiciones ni brechas innecesarias.

Auditoría Interna está cualificada para actuar como promotor, e incluso, como líder de un proyecto de ERM, por su amplio conocimiento de la compañía y sus procesos, su posicionamiento organizativo y su expertise respecto de las interconexiones entre riesgos y gobernanza. Sin embargo, este rol solo debe desempeñarse cuando Auditoría Interna no asuma la responsabilidad de gestionar los riesgos, actividad que corresponde, en exclusiva, a los actores de la Primera Línea.

En las primeras etapas de desarrollo del proceso de gestión de riesgos, Auditoría Interna puede apoyar a la compañía sirviendo como catalizador de la iniciativa, asistiendo a la Segunda Línea o asumiendo algunas de sus actividades. Conforme la madurez de la gestión de riesgos aumente, este rol deberá ir disminuyendo y su papel como prestador de servicios de aseguramiento o de Tercera Línea será consolidado.

Cuando Auditoría Interna asume un papel activo en las actividades de gestión de riesgos, su objetividad e independencia para identificar y reportar deficiencias de los procesos de gestión de riesgos podría verse comprometida. La publicación en 2016 del documento Guía Práctica – Auditoría Interna y la Segunda Línea establece unos principios de actuación para mantener la independencia y objetividad de Auditoría Interna mientras realiza actividades de Segunda Línea. En concreto, en este documento se establece que:

  • El Director de Auditoría Interna tiene la responsabilidad de proteger la independencia y la objetividad de la auditoría. Por lo tanto, si la asunción de las responsabilidades de Segunda Línea pone en riesgo una, otra o ambas, el director deberá comunicarlo a la alta dirección y al órgano de gobierno y corroborar su entendimiento y aceptación de dicho riesgo.
  • Se deberán establecer medidas de salvaguarda y controles adicionales para proteger esa independencia y objetividad verificar periódicamente qué características existen en el trabajo de Auditoría Interna. Cuando estas salvaguardas no sean posibles y se quiera mantener la independencia y objetividad, las responsabilidades de Segunda Línea se asignarán a otra área de la compañía, o bien se externalizarán.

Auditoría Interna y responsabilidades de la segunda línea

Muchas organizaciones han solicitado o requerido al DEA asumir responsabilidades adicionales que corresponden a la segunda línea de . Esta situación en general se debe al tamaño o la madurez de la organización, o el resultado de nuevas iniciativas de gestión de riesgos o cumplimiento asumidas por la organización. Puede ser que al DEA se le pida asumir actividades de segunda línea de  en situaciones tales como:

  • Nuevo requisito regulatorio: Una nueva regulación requiere un esfuerzo sustancial asociado con nuevas políticas, procedimientos, pruebas y actividades de gestión de riesgos.
  • Cambio en el negocio: Una organización puede introducirse en un nuevo mercado geográfico o lanzar un nuevo segmento de negocio y verse sometida a nuevas regulaciones o actividades de gestión de riesgos.
  • Limitaciones de recursos: Una organización puede enfrentar limitaciones de recursos o cambios en su personal, como es el caso cuando el líder de una función de la segunda línea de deja su cargo.

Salvaguardas para mantener la independencia y objetividad

Si la dirección y el Consejo aceptan el riesgo de que auditoría interna asuma actividades de la segunda línea de , deben procurarse una serie de salvaguardas y controles para que no se comprometa la independencia y objetividad. Ejemplos de salvaguardas:

  • Impacto y riesgos a la organización y a auditoría interna.
  • Roles, responsabilidades y segregación de funciones.
  • Controles implementados para validar que las salvaguardas acordadas  funcionen eficazmente.
  • Determinación de si la asignación es temporaria o de largo plazo. Si es temporaria, se necesita un plan de transición
  • Aceptación y aprobación documentada de la alta dirección y el Consejo.
  • Las actividades de la segunda línea realizadas por auditoría interna deben estar mencionadas en el estatuto y/o incluidas en el informe al Consejo,  por lo menos anualmente.
  • Evaluación periódica (por lo menos anual) de líneas de reporte y responsabilidades por la dirección y el Consejo.
  • La naturaleza de los roles de auditoría interna debe estar claramente enunciada en el estatuto de auditoría.
  • Evaluación independiente periódica de los roles de segunda línea de auditoría interna y la eficacia de las disposiciones de independencia, objetividad y aseguramiento.
  • El CAE debe incluir una revisión de los roles de segunda línea de auditoría interna, junto con su programa de aseguramiento y mejora de la calidad o con una frecuencia menor, según el nivel de riesgo.
  • Cuando las salvaguardas para mantener la independencia y objetividad de auditoría interna no son posibles, las Normas requieren que la responsabilidad de llevar a cabo la actividad de segunda línea sea reasignada a otro sector de la organización o tercerizada un proveedor externo.

El plan de transición cuando los trabajos de segunda línea son temporales, se debe considerar lo siguiente:

  • Necesidades estructurales/de la organización: Auditoría interna tal vez tenga que ajustar relaciones de reporte conforme las personas o grupos dejan sus puestos en actividades de la segunda línea. Si estas responsabilidades pasan a otra área de la organización, puede ser necesario introducir cambios estructurales para garantizar la independencia y objetividad.
  • Recursos: Puede ser necesario contar con recursos para capacitar a personas en otras áreas de la organización para actividades de segunda línea o para hacer la transición del personal de auditoría interna a esos roles.
  • Línea de tiempo y tareas: Las responsabilidades y las fechas objetivo para hitos clave deben estar documentadas.
  • Mantener la independencia durante la transición: De acuerdo con la Norma 1130.A1, las personas deben abstenerse de evaluar cuestiones específicas por las que antes eran responsables, por un periodo de por lo menos un año. Esto se aplicaría a personas que intervinieron en actividades de la segunda línea de mientras trabajaban dentro de auditoría interna.
  • Seguimiento de avances: El DEA deberá hacer el seguimiento de los avances del plan de transición.
  • Transparencia: Comunicación continua con la dirección y el Consejo en cuanto a adhesión al plan de transición y cronograma. Todo cambio o retraso significativo debe ser evaluado y aprobado por el Consejo.

Aceptación por parte de la dirección de riesgos a la independencia y objetividad

Desarrollo de un Mapa de Aseguramiento

Un mapa de aseguramiento es una matriz que comprende una representación visual de los riesgos de la organización, y todos los proveedores internos y externos de los servicios de aseguramiento que cubren esos riesgos.

El desarrollo de un mapa de aseguramiento debe ser un trabajo colectivo que involucre a cada uno de los proveedores de servicios de aseguramiento.

Todos los riesgos que pueden ocurrir dentro de una organización se pueden llamar, colectivamente, el universo de riesgos. Existen incontables perspectivas y medidas relativas a los riesgos, muchas de las cuales son específicas de unidades o funciones de negocio individuales de la organización. Sin embargo, para evitar brechas o duplicaciones en la provisión de aseguramiento al consejo, deben organizarse los riesgos de la organización de manera que permitan un panorama general integral y cohesivo.

  • Identificación de las fuentes de información sobre riesgos

Declaraciones de riesgo asumido / apetito de riesgo.

  • Documentación de estrategias.
  • Evaluaciones de riesgo.
  • Políticas.
  • Informes de control u otros informes de gestión que contienen información sobre el desempeño.
  • Actas del consejo.
  • Actas del comité de auditoría.
  • Casos de negocio para proyectos de capital significativos.
  • Informes periódicos (por ejemplo, el formulario 10K de compañías que cotizan en bolsa)
  • Organización de Riesgos en Categorías de Riesgo

En un nivel superior, las categorías de riesgo se deben alinear con los objetivos estratégicos de la organización. Las categorías de riesgo adicionales pueden cubrir áreas o procesos operativos, y riesgos de cumplimiento y preparación de informes. Esto garantiza que se incluyan todas las áreas significativas.

  • Identificar a los Proveedores de los Servicios de Aseguramiento

El modelo de las tres líneas de , que clasifica fuentes de gestión de riesgos en tres grupos internos principales (o líneas de ) que se basan en funciones y responsabilidades esenciales. Las primeras dos líneas de están formadas por personas internas responsables del riesgo (risk owners), quienes responden ante la alta dirección. La tercera línea de (la actividad de auditoría interna) responde tanto a la alta dirección como al consejo. Las fuentes externas, como los consultores, pueden proveer servicios de aseguramiento adicionales.

  • Recolectar información y registrar las actividades de aseguramiento por categoría de riesgo

En la primera columna del mapa de aseguramiento, se registran las categorías de riesgo. Se crean columnas adicionales para registrar la cobertura de aseguramiento que realiza cada proveedor de estos servicios. La auditoría interna puede hallar útil organizar las columnas por proveedores internos y externos, y luego agrupar a los proveedores según el modelo de las tres líneas.

  • Revisión y actualización periódica del mapa de aseguramiento

Los riesgos, la gestión de riesgos y el proceso de aseguramiento son continuos y dinámicos, y el mapa de aseguramiento debe reflejar ese dinamismo.

La organización debe adoptar un proceso de mantenimiento para revisar y actualizar de manera regular el mapa con los aportes de todos los proveedores de aseguramiento internos y externos. Algunos acontecimientos que pueden cambiar el mapa de aseguramiento son:

  • Fusiones y adquisiciones.
  • Incorporación de una nueva línea de productos.
  • Cambios económicos.
  • Cambios regulatorios.
  • Cambios en la conducta de los consumidores.

¿Por qué desarrollar un mapa de aseguramiento?

  • Las organizaciones se beneficiarán de un enfoque óptimo que asegura cubrir los riesgos clave a los que se enfrenta e indica cómo están siendo tratados estos riesgos, información que estará disponible para la alta dirección.
  • La realización del mapa se lleva a cabo en toda la empresa a comprender en dónde residen los roles y responsabilidades de los riesgos y su aseguramiento.
  • Mejora los flujos de comunicación e in­formación, logrando una mayor sinergia en toda la entidad para la gestión de riesgos y control.
  • Permite coordinar los servicios de aseguramiento interno, su oportunidad y alcance.

Por Heyddy Escobar

Entrada relacionada

Auditoría Interna Gestión de Riesgos Empresariales

El Rol del Auditor Interno en el Aseguramiento de la Gestión de Riesgos Empresariales

May 12, 2024
Auditoría Interna Gestión de Riesgos Empresariales

Análisis de Datos para la Detección y Prevención del Fraude en Auditoría

Sep 9, 2023
Auditoría Interna Control Interno

Técnicas para la Evaluación del Control Interno en una Auditoría de Estados Financieros

Jul 16, 2023