Tercera línea de defensa: Auditoría interna

Tercera línea de defensa: Auditoría interna

Esta línea proporciona a los organismos del gobierno corporativo y a la alta dirección una visión independiente y objetiva con respecto al control de riesgos, esto mediante el proceso de auditoría interna, el cual aporta una supervisión neutral de la primera y segunda línea de defensa.

Evalúa el sistema de control interno de la organización para lograr así identificar debilidades y amenazas, y poder recomendar mejoras.

[pic 1]
[pic 2]

El proceso de auditoría interna ejecutado en esta tercera línea, proporciona una garantía de la  eficacia y razonabilidad de la gestión de riesgos así como de los controles internos aplicados. A su vez, analiza las buenas prácticas que aplican las dos primeras líneas con base en los objetivos de la organización.

Esta línea delimita claramente su rol a las funciones de aseguramiento, y como mucho a las funciones de consultoría, pero en ningún caso debe asumir funciones ejecutivas en la definición, respuesta y gestión de los riesgos.

Además, el alto nivel de independencia que maneja esta línea, no lo tienen las otras dos y su actividad debe reportarse a la Alta Dirección, pero también a estamentos superiores de manera directa, como puede ser el Comité de Dirección o el Consejo de Administración.[pic 3]

[pic 4]

En esta línea de defensa la mejor práctica es establecer y mantener una función de auditoría interna independiente, como lo mencionamos anteriormente, con personal adecuado y competente, esto incluye:

• Actuar en concordancia con el marco normativo reconocidas para la práctica de la auditoría interna,
• Reportar a un nivel suficientemente alto para ser capaz de desempeñar sus funciones de manera independiente, y
• Tener una activa y efectiva línea de reporte con los organismos de gobierno corporativo.

[pic 5]

[pic 6]

El alcance del aseguramiento del cual se encarga la Auditoría y que es reportado a los organismos de gobierno corporativo y alta dirección, usualmente cubrirá:

• Un amplio rango de objetivos, que incluyen la eficiencia y efectividad de las operaciones, salvaguarda de activos, confiabilidad e integridad de los procesos de reporte, y cumplimiento con leyes, regulaciones, políticas, procedimientos y contratos.
• Todos los elementos del marco de administración de riesgos y control interno, que incluyen: el entorno de control interno, los elementos del marco de la administración de riesgos, la información y comunicación, y la supervisión.
• La entidad en su conjunto, divisiones, subsidiarias, unidades operativas y funciones incluyendo procesos de negocios, tales como ventas, producción, marketing, seguridad, funciones de clientes, y operaciones como también funciones de soporte.

Contar con una función profesional de auditoría interna debe ser, por tanto, un requisito indispensable para promover la integridad, prevenir fraudes y mejorar el desempeño en todas las entidades del sector público y privado.

La auditoría interna es responsable ante el organismo de gobierno y a veces se describe como los "ojos y oídos".

Relación entre la auditoría interna y el organismo de gobierno.

El Instituto de Auditores Internos IIA nos menciona que el organismo de gobierno es el responsable de supervisar la auditoría interna, por lo cual es necesario:

• Garantizar el establecimiento de una función de auditoría interna independiente, lo que incluye la contratación y el despido del director ejecutivo de auditoría (DEA);
• Servir de línea principal de presentación de informes para el DEA;
• Aprobar y dotar de recursos el plan de auditoría;
• Recibir y examinar los informes del DEA; y permitir el libre acceso del DEA al organismo de gobierno, incluyendo sesiones privadas sin la presencia de la dirección.

Estos son algunos ejemplos de la manera en la cual la primera y tercera línea de defensa se relacionan.

[pic 7][pic 8]

Conclusión:

Podemos concluir que la implementación y el establecimiento de esta tercera línea de defensa debería ser un requerimiento del gobierno corporativo para todo tipo de organizaciones: Grandes, medianas y pequeñas. Ya que todas estas de igual manera pueden enfrentarse a amenazas y por tanto necesitan asegurar la efectividad de los procesos que lleva a cabo el gobierno corporativo y alta dirección, y la gestión de riesgos.

...