Auditoría interna y la segunda línea de defensa

Introducción

El Instituto de Auditores Internos (IIA – Institute of Internal Auditors) emitió un nuevo Marco Internacional para la Práctica Profesional de Auditoria Interna (MIPP) el cual entró en vigor el 1 de enero de 2017.

Dentro de dicho Marco de Auditoría Interna (MIPP), el IIA incluye diversos lineamientos o guías recomendadas, las cuales las secciona en A) Guías de implementación y, B) Guías suplementarias.

Desde enero de 2013, el IIA emitió un documento de posición titulado “Las tres líneas de defensa para una efectiva gestión de riesgo y control interno”. El documento describe responsabilidades de riesgo y control, así como consideraciones de separación de funciones:

  • Primera línea de defensa: funciones de gestión operativa que tienen la propiedad de los riesgos y los administran.
  • Segunda línea de defensa: funciones de gestión de riesgo y cumplimiento que hacen un seguimiento de los riesgos.
  • Tercera línea de defensa: una función de auditoría interna que proporciona aseguramiento independiente.

De manera específica declara que, en caso de asignar responsabilidades duales a una misma persona o departamento, debe considerarse la separación de esas funciones en algún momento posterior.

A continuación, presentamos conceptos relevantes sobre “Auditoría interna y la segunda línea de defensa”.

Auditoría interna y la segunda línea de defensa

Esta guía para la práctica ofrece orientación para asegurar que la independencia y objetividad no se vean comprometidas en situaciones en las que la auditoría interna podría asumir responsabilidad por ciertas funciones de segunda línea de defensa.

Si partimos de la base que en la primera línea de defensa se ha realizado la identificación de riesgos, se han definido los dueños de los riesgos y las medidas de control interna; podemos entender que pueden no ser los óptimos y sí que existen en diferentes niveles de acuerdo con el grado de madurez de gestión de las diferentes organizaciones.

Luego entonces, la segunda línea de defensa que es el nivel de supervisión con funciones como control de riesgos, cumplimiento, finanzas e inspección puede encontrarse en el escenario en que detecte la falta de aplicación de controles importantes que pueden implicar a la alta dirección y le obligue a reportar al consejo de administración y/o comités de apoyo.

Otro escenario sería que el Director Ejecutivo de Auditoría (DEA) identifique durante la evaluación de funciones de la segunda línea de defensa conflictos o duplicidad de esfuerzos. Estos escenarios atendiendo nuevamente a los grados de madurez de gestión de las organizaciones.

Ahora bien, la tercera línea de defensa, que es la función de auditoría interna, busca lograr el aseguramiento independiente, aunque se encuentre dentro de la misma organización.

Auditoría interna debe ayudar al mejoramiento de los procesos de gobierno, gestión de riesgos y control según lo establece la Norma 2100 de las normas internacionales para el ejercicio profesional de la auditoría interna.

Uno de los objetivos es lograr la colaboración entre las áreas de la organización para reducir la duplicidad de funciones, establecer la separación de responsabilidades y mantener la correcta independencia y objetividad.

Sin embargo, en muchas organizaciones (nuevamente derivado de los niveles de madurez de gestión o por circunstancias coyunturales) requieren que la función de auditoría interna (tercera línea de defensa) asuma responsabilidades que corresponden a la segunda línea de defensa.

Este último escenario constituye un reto para mantener la independencia y objetividad que se han mencionado son cruciales para el aseguramiento a la alta dirección y el Consejo.

Cabe señalar, que inclusive en organizaciones con una robusta gestión de riesgos, las responsabilidades de auditoría interna y las funciones de segunda línea de defensa pueden no ser claras o se superpongan.

Casos en que auditoría interna puede asumir funciones de la segunda línea de defensa

Para ejemplificar de manera específica casos en que auditoría interna puede ser requerido para asumir funciones de la segunda línea de defensa se exponen los siguientes casos:

  • La entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP): Este nuevo requisito regulatorio pudo requerir un esfuerzo especial respecto a nuevas políticas, procedimientos y gestión de riesgos.
  • Limitación de recursos: las PYMEs por tamaño, no tienen la capacidad de implementar funciones de control y aseguramiento distintas.
  • Cambios en escenario económico: La organización tiene que responder a presiones de reducción de costos.
  • Expansiones o crecimiento: Un nuevo proyecto requiere de la organización el cumplimiento de nuevas regulaciones.

Fundamentalmente estamos en un contexto en que auditoría interna asuma funciones de la segunda línea de defensa, se asume un riesgo por la alta dirección y/o el Consejo. Este escenario contemplado en la guía práctica, tema de este artículo, considera una serie de salvaguardas para no comprometer la independencia y la objetividad. Algunas de ellas son:

  • Analizar los riesgos de la decisión.
  • Aceptación y propiedad de los riesgos por parte de la alta dirección.
  • Clara definición y asignación de roles para cada actividad.
  • Evaluación periódica (por lo menos anual) de líneas de reporte y responsabilidades por la dirección y el Consejo.

Es viable, en este contexto, adoptar el concepto de una cuarta línea de defensa con la participación de auditoría externa.

También la guía propone la alternativa de tercerizar a un proveedor externo las responsabilidades de la segunda línea de defensa cuando no es posible que la organización implemente las salvaguardas sugeridas.

Consideraciones para el plan de transición

Si auditoría interna asumirá temporalmente las responsabilidades de la segunda línea de defensa, se proponen las siguientes consideraciones para el plan de transición:

  • Necesidades de cambios en la estructura de la organización.
  • Recursos de capacitación necesarios para los nuevos roles o responsabilidades.
  • Mantener la independencia durante la transición (la Norma 1130.A1, las personas deben abstenerse de evaluar cuestiones específicas por las que antes eran responsables, por un periodo de por lo menos un año).
  • Línea de tiempo y tareas requeridas, así como el seguimiento de los avances.

Otras normas relacionadas a considerar

  • 1100 – Independencia y objetividad
  • 1110 – Independencia dentro de la organización.
  • 1120 – Objetividad individual.
  • 1130 – Impedimentos a la independencia u objetividad.
  • 1322 – Declaración de incumplimiento
  • 2050 – Coordinación
  • 2100 – Naturaleza del trabajo
  • 2500 – Seguimiento del proceso
  • 2600 – Comunicación de la aceptación de los riesgos por la dirección

Conceptos clave

Con la finalidad de rescatar y clarificar algunos conceptos clave, nos permitimos definir los siguientes conceptos:

  • Actividad de auditoría interna: Un departamento, división, equipo de consultores, u otro/s practicante/s que proporciona/n servicios independientes y objetivos de aseguramiento y consulta, concebidos para agregar valor y mejorar las operaciones de una organización.
  • Consejo: El cuerpo de gobierno de más alto nivel de una organización, que tiene la responsabilidad de dirigir y/o supervisar las actividades y la gestión de la organización.
  • Director ejecutivo de auditoría: El director ejecutivo de auditoría (DEA) describe a la persona en un puesto de alto directivo (senior) responsable de la gestión efectiva de la actividad de auditoría interna de acuerdo con el estatuto de auditoría interna y la definición de auditoría interna, el Código de Ética y las Normas.
  • Funciones de aseguramiento: Funciones que proporcionan aseguramiento sobre la efectividad de los procesos de gestión de riesgos, control y gobierno.
  • Impedimentos o menoscabos: Un impedimento o menoscabo a la independencia de la organización y a la objetividad individual pueden incluir conflicto de intereses personales; limitaciones al alcance; restricciones al acceso a los registros, al personal y a los bienes; y limitaciones de recursos (fondos).
  • Independencia: Libertad de condicionamientos que amenazan la capacidad de la actividad de auditoría interna para llevar a cabo sus responsabilidades de forma imparcial.
  • Objetividad: Una actitud mental independiente, que permite que los auditores internos lleven a cabo sus trabajos con confianza en el producto de su labor y sin comprometer su calidad.
  • Servicios de aseguramiento: Un examen objetivo de evidencias con el propósito de proveer una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización.

Conclusión

Las organizaciones pueden optar por mantener ciertas responsabilidades de la segunda línea de defensa integradas dentro de auditoría interna. Las razones para que esto suceda son diversas como se mencionado (tamaño de organización, condiciones de mercado, táctica temporal).

En cualesquiera de estos supuestos, hay riesgos aceptados por la asignación de actividades de la segunda línea de defensa a la función de auditoría interna; por esta razón el tiempo de asignación de dichas actividades debe ser temporal.

Se recomienda realizar revisiones anuales para actualizar los riesgos y evaluar el desempeño en caso de haber adoptado este tipo de prácticas.

Bibliografía
Guía para la práctica– Auditoría Interna y la Segunda Línea de Defensa – The Institute of Internal Auditors – IIA
Normas internacionales para el ejercicio profesional de la auditoría interna – The Institute of Internal Auditors – IIA
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *