AuditoriaNegociosTributación

LA AUDITORIA INTERNA COMO TERCERA LÍNEA DE DEFENSA EN LAS ORGANIZACIONES CORPORATIVAS.

La importancia de la auditoria en la gestión de cumplimiento pasa a ser muy relevante incluso para los organismos de regulación  a nivel internacional, siendo un punto fundamental dentro de un proceso de revisión por parte de ellos.

Para no encontrar observaciones, se debe tener en cuenta que los auditores debe estar debidamente capacitados en las tareas de cumplimiento, debe contar con un plan específico para esta área , como también la debida documentación de respaldo que pueda evidenciar que los controles han sido verificados,  los procesos de mejora y aquellos relacionados con subsanación.

Mantener estos principios mitiga los riesgos importantes de los cuales la empresa pueda estar sujeta, porque integra un segundo nivel de control que monitorea que la gestión del departamento de cumplimiento se esté llevando a cabo.

La auditoría interna proporciona a los organismos de gobierno corporativo y a la alta dirección un aseguramiento con el más alto grado de objetividad y de independencia.

Los auditores internos proveen aseguramiento sobre la efectividad del gobierno corporativo, este alcance lleva a cabo la función de auditoria interna que se reporta a la alta dirección y a los organismos de gobierno corporativo, no es cerrado y depende de cada organización pero generalmente incluye:

  • Un rango amplio de objetivos, incluyendo la eficiencia de las operaciones, la salvaguarda de activos, la integridad y fiabilidad de los procesos de reporte de información, así como el cumplimiento de normativa legal, políticas y procedimientos, o el cumplimiento de contratos.
  • La totalidad de los elementos de los marcos de gestión de riesgo y control interno, lo que incluye todos los componentes del marco de gestión de riesgos de la organización, ambiente de control interno, información, comunicación y monitorización.
  • La organización en su conjunto, incluyendo todas sus divisiones, filiales unidades operativas y funciones, sus procesos de negocio (ventas, producción, marketing, operaciones) y sus procesos de soporte (como contabilidad, recursos humanos, compras, presupuestos, gestión de infraestructuras y activos, inventarios, tecnologías de la información, etc.

El establecimiento de una función de auditoria interna es un punto crucial para el gobierno corporativo de las organizaciones, no solo para las grandes empresas, sino también para las de reducido tamaño, pues no están exentas de tener que enfrentarse a entornos complejos con una estructura que será quizás menos formal, pero debe ser igualmente robusta a fin de garantizar los procesos de gobierno corporativo y de gestión de riesgos.

La auditoría interna contribuye activamente a la efectividad del gobierno corporativo en una organización, pues su independencia y profesionalismo son condiciones para dicha efectividad.

Dentro de las opciones que puede tomar una organización, la mejor practica es la del establecimiento y mantenimiento de una función de auditoria interna independiente que cuente con personal adecuado y competente.

El modelo de las tres líneas de Defensa

El modelo de las Tres líneas de defensa es una parte importante del control y la gestión de riesgos de la organización, y atrae tanto a críticos como a admiradores. En un momento en el cual la confianza en las organizaciones está bajo ataque y en una era de conmoción y cambio prácticamente constante, utilidad hacia el futuro.

El modelo actual tiene el beneficio de ser simple, fácil de comunicar y fácil de comprender. Describe los roles respectivos del consejo/órgano de gobierno, la alta dirección y la dirección operativa, las funciones de riesgo y cumplimiento y la auditoría interna. Ayuda a que las organizaciones eviten confusiones, brechas y superposiciones cuando asignan responsabilidades para actividades de control y gestión de riesgos. También destaca la influencia de la auditoría externa y los organismos de control.

Si bien el modelo ha sido adoptado ampliamente por organizaciones y gobiernos de todo el mundo, la principal crítica a este enfoque es que el modelo de las Tres líneas de defensa es muy limitado y muy restrictivo. Se enfoca exclusivamente en las acciones defensivas, en lugar de adoptar un enfoque más proactivo para la identificación, el análisis y la preparación para oportunidades y amenazas. Sugiere estructuras rígidas y genera una tendencia a silos operativos, que pueden ser menos eficientes y eficaces. En conclusión, no logra reflejar las realidades actuales.

¿Cuáles son las líneas de Defensa?

Para comprender la importancia de la 3era línea de defensa que es la Auditoria Interna, es preciso conocer las anteriores estas son:

  • Línea 1 (El Negocio):   Son los que tienen el contacto principal con los clientes, son los que piden y reciben toda la información necesaria.  Estas personas tienen que estar bien capacitadas para entender no solo lo que tienen que solicitar, sino también porque, con esto una vez se cuente con la información, se pueda identificar al cliente, conocer su fuente de fondos y entender su riesgo.
  • Línea 2 (Cumplimiento): Para obtener que suceda lo anterior, existe esta segunda línea que es el oficial de cumplimiento. Su responsabilidad comprende la implementación  de políticas, procedimientos y controles que mitiguen el riesgo del uso indebido de los productos y servicios que ofrece la empresa. Dichas tareas deben ir reforzadas con constantes adiestramientos, una estructura robusta y herramientas que ayuden a automatizar el control y monitoreo.
  • Línea 3 (Auditoria interna): Esta línea de defensa es la encargada de auditar las labores que realizan las dos primeras líneas de defensa. Para su buen funcionamiento, debe mantenerse como un ente independiente de la empresa, el cual debe revisar el buen funcionamiento del departamento de cumplimiento y la aplicación por parte de la empresa.

Dos and don’t de la Tercera Línea

Hablamos también del principio de proporcionalidad, que era aquel que nos valíamos para aportar más o menos recursos a cada una de las líneas de defensa en función del tamaño de la organización, de sus características individuales y de las necesidades específicas de control que requiera.

A la hora de implantar un sistema de control en una organización, o de evaluar el sistema de que dispone, hay que fijarse siempre en que control lleva a cabo la primera línea de  defensa ( la gerencia ), y no debería ser el último eslabón.

Es importante que la organización cuente con una segunda línea de defensa, pues la subjetividad es inherente a la naturaleza humana, y la gerencia operativa no tiene una imagen de su trabajo y control tan objetiva como la puede tener una unidad de control más alejada que es la de cumplimiento normativo.

Esta función de auditoria interna debe aportar a la alta dirección y a los organismos de gobierno corporativo un punto de vista independiente y objetivo, es decir lo que no se ha logrado con los dos líneas de defensa anteriores

De esta forma hay que cuidad que la función de auditoria interna tenga una dependencia suficientemente elevada dentro de la organización como para que pueda desarrollar sus tareas de una manera libre, y consiga una independencia y libertad de movimiento e información suficiente para que pueda emitir informes objetivos.

Si establecemos una independencia de menor altura, la función de auditora corre el riesgo de convertirse en un área de control más, o bien  en una herramienta de gestión e información al servicio ( no objetivo) de algunas áreas de la organización.

Generalmente el establecimiento de una función de independencia y objetividad no es bien vista por todos los otros elementos de la organización. Por ese motivo, el apoyo de la alta dirección es crucial para que el actuar de la auditoria interna sea efectivo.

Hay organizaciones que para evitar esas fricciones, y problemas con otras áreas, delegan la función de auditoria interna en otra entidad, que puede parecer más independiente por no encontrarse dentro de la organización, pero es una solución parcial porque el auditor interno se encuentra en una posición de proveedor de servicios para la organización , considerando el conflicto de intereses que pudiera surgir.

Auditoría interna independiente 

La misión de la auditoría interna es “mejorar y proteger el valor de la organización al brindar aseguramiento objetivo y basado en riesgos, asesoramiento y perspectiva” y es un colaborador directo para permitir que la organización alcance su objetivo (es decir, creación de valor). Mientras sea parte de la organización, la auditoría interna puede ofrecer aseguramiento objetivo creíble sobre la adecuación y la eficacia de controles, procesos y estructuras diseñados para respaldar un buen gobierno.

El órgano de gobierno necesita aseguramiento objetivo para poder ejercer su rol de supervisión de manera eficaz. Además de la independencia estructural, la objetividad de la auditoría interna es posible al tener y aplicar una mentalidad objetiva, y al cumplir con procesos rigurosos y sistemáticos y alinearse con las normas profesionales.

El rol de la auditoría interna no reemplaza la obligación de la dirección de supervisar el desempeño e informar al órgano de gobierno, pero es un complemento esencial. Ciertas estructuras de respaldo y de informes son necesarias para asegurar el acceso de la auditoría interna a todos los recursos, personal y registros necesarios para que pueda llevar a cabo su trabajo, además de una línea de informes directa con el órgano de gobierno para asegurar su independencia.

El plan de trabajo de la auditoría interna debe estar claramente alineado con las prioridades estratégicas y las necesidades operativas de la organización, y aportar un punto de vista autorizado, creíble y objetivo sobre la adecuación y la eficacia del gobierno y de todos los controles y equilibrios que esto incluye, además de identificar oportunidades y amenazas que puedan surgir.

Las responsabilidades de la auditoría interna pueden incluir:

  • Brindar aseguramiento, opiniones, percepción y asesoramiento sobre la adecuación y la eficacia del gobierno, la gestión de riesgos y el control interno.
  • Realizar auditorías internas basadas en el riesgo y revisiones alineadas con prioridades estratégicas y necesidades operativas.
  • Proporcionar aseguramiento, opiniones, percepción y asesoramiento sobre la eficiencia y la eficacia de las operaciones, incluida la protección de activos y sobre la confiabilidad e integridad de los procesos de informes.
  • Brindar aseguramiento y opiniones sobre las funciones de cumplimiento de la organización y su cumplimiento respecto de leyes, regulaciones, políticas, procedimientos y contratos.
  • Evaluar la influencia de la cultura y el comportamiento organizacionales.
  • Contribuir con el desarrollo de políticas.
  • Consultar al órgano de gobierno y a la dirección respecto de oportunidades y amenazas emergentes.
  • Responder al órgano de gobierno y a la dirección.

Un Enfoque Coordinado

La auditoría interna puede desempeñar un rol importante a la hora de liderar los esfuerzos tendientes a un enfoque más integrado. Esto incluye el mapeo de aseguramiento para garantizar que la cubertura en toda la organización a cargo de diversas funciones y otros organismos (tanto internos como externos) sea consistente, adecuada, eficiente, confiable y alineada. Los esfuerzos de los distintos proveedores de aseguramiento deberían sumarse y coordinarse para lograr el máximo efecto.

Como principal proveedor de aseguramiento objetivo, la auditoría interna puede ser la indicada para brindar mejor gestión de aseguramiento en la organización y actuar como garante de que el órgano de gobierno y la organización en su conjunto reciban el nivel necesario de aseguramiento en todas las actividades y capacidades.

  • Cuáles son los principales insumos para que el departamento Auditoria pueda realizar un trabajo correcto.
  • Plan anual de Cumplimiento: debidamente aprobado por la junta directiva, es la guía de las acciones que este departamento tomara en el año. No solo debe especificar las tareas diarias dentro del perfil del departamento, sino también debe contemplar la revisión de documentos y expedientes.
  • Plan Presupuesto Anual: que debe cubrir capacitaciones, inversión en herramientas y consultorías, proyectos especiales, entre otros. Lo anterior debe estar sustentado con fechas específicas de acción para que el departamento de auditoria pueda revisar que se están cumpliendo los objetivos y las necesidades de redefinirlos.

  • Que debe Contener un manual de cumplimiento

  • Tareas adicionales: o debida diligencia ampliada
  • El Tiempo de Respuesta: para atender una alerta y que pasos se deben tomar si no se cumplen en el tiempo.
  • Detectar sin un perfil: debe ser revisado y cuáles son las acciones para aprobar un cambio.
  • Una Excepción en los documentos de debida diligencia, como monitorear que se obtenga el mismo y en un tiempo prudente y que pasos se deben tener en cuenta si no se obtiene.

Estos son ejemplos o casos en el cual no existe un proceso definido, por lo que auditoria no puede verificar el cumplimiento y al hacer la revisión de un expediente, se pueden ver que existan fallas que se han dado por la falta de definición.

  • Aspectos que debe contemplar el Programa de Auditoria

Gobierno Corporativo

Se debe contemplar que exista un comité de cumplimiento el cual se reúna como establece el manual, se encuentre conformado por las personas idóneas, se mantenga un orden del día, se redacten actas las cuales son informadas a la junta Directiva, se le dé seguimiento a las decisiones, inversiones y proyectos aprobados, y por último se tomen las acciones al momento de establecerse fallas dentro de los procesos.

Conozca a su cliente

El departamento de auditoria debe realizar una revisión independiente de una muestra representativa de expedientes para evidenciar que los procesos de Conozca a su cliente están siendo llevados a cabo.  Es importante no solo ver que la información del cliente se ha plasmado en los formularios y los documentos de sustento están debidamente adjuntados, sino que también hay que analizar si la información es coherente y mantiene una razonabilidad económica.

Verificación en listas especiales

Las auditorías realizadas deben revisar que todos los clientes pasen por un proceso de revisión contra listados especiales internacionales, que determinen si el cliente puede tener algún riesgo legal o reputacional importante; este riesgo se debe tomar en cuenta antes de ser aceptado. Una vez el cliente inicia una relación, de igual forma se deben mantener los controles necesarios para hacer revisiones periódicas de la base de datos de clientes, para asegurar que los mismos no hayan ingresado a algún listado después de haber iniciado la relación.

Matriz de Riesgo

Una de las tendencias más importantes en el tema de prevención de lavado de capitales, es el manejo basado en riesgo. Para hacer estas determinaciones se deben implementar matrices de riesgo según geografía, cliente y producto y que también se realicen una ponderación de riesgo de cada cliente. Una vez se determine el riesgo, deben de existir procesos que determinen como se manejara la relación. Es importante que se haga revisiones anuales de la metodología de ponderación de estas matrices, asegurando que actualicen la información utilizada para el Cálculo. De igual forma la revisión de la matriz debe evidenciar que se encuentra bien calibrada para determinar el real riesgo del cliente y que los clientes de alto riesgo sean la excepción a la regla no un porcentaje importante de clientes.

Monitoreo de Clientes

Una de las tareas más sensibles del departamento de cumplimiento es el monitoreo transaccional del cliente. Al momento de adjudicar un perfil transaccional debe haber un debido sustento y análisis del oficial de la cuenta, el cual debe ser revisado y cuestionado. Si los perfiles no están bien designados, el trabajo de monitoreo se vuelve ineficiente y la institución cae en un riesgo importante. El departamento de auditoria debe determinar que los reportes utilizados son los necesarios para mitigar riesgos del uso indebido de los productos y servicios bancarios, así como también que mantienen la debida periodicidad y respuesta en tiempos oportunos. Es vital que al auditar este proceso, no solo se evidencie que existe una respuesta, sino que también atiende la operación inusual. En caso de evidenciar alertas repetitivas o clientes con operaciones por debajo de su perfil, hay que exigir una revisión.

Capacitaciones

Para exigir la correcta aplicación de los controles designados por cumplimiento, se debe asegurar que el personal tenga la capacitación necesaria para entender sus responsabilidades. Es por esto que se debe tener claros los registros de las capacitaciones realizadas y asistencia. Auditoria debe asegurar que no solo se estén dando las capacitaciones, sino que también sean relevantes y actualizadas.

Plan de cumplimiento

Adicional a las tareas periódicas se debe revisar que se mantenga un seguimiento al plan de cumplimiento, teniendo en cuenta lo siguiente: subsanar observaciones del regulador, actualizaciones de expediente según riesgo, revisiones anuales de programa, manuales y políticas, seguimiento a proyectos especiales o implementaciones y el cumplimiento de objetivos anuales.

Conclusión:

Por todo los anterior, podemos decir que la puesta en marcha de un área de auditoria interna requiere un cierto nivel de  “ Madurez “ dentro de la organización, pues estamos introduciendo un elemento que va a analizar la actividad de la organización de una manera independiente y objetiva, y esas características implican que el área de auditoria interna no siempre va a decir “ lo que quiere oir “ la gerencia. El valor de la aportación que hace a la organización  con independencia y objetividad supera los elementos negativos que pueda acarrear como fricciones con otras áreas.

La incorporación de la función de auditoria interna a la organización, dentro del modelo de las tres líneas de control, supone la incorporación de un análisis más objetivo y con visión de conjunto a una estructura.

Con la función de auditoria interna complementamos el control que lleva a cabo la gerencia operativa y el análisis que llevan a cabo las áreas de cumplimiento normativo y control de riesgos.

Auditoria interna constituye un aporte de visión global en el análisis y de una mayor independencia, lo cual en combinación con el resto de las líneas de defensa la convierte en una función clave en la estructura de control de la organización.

 

CARLOS HUGO ROJAS GAMARRA

PAIS: PARAGUAY

Licenciado en Ciencias Contables egresado de La universidad Católica Nuestra Señora de la Asunción, promoción 1998. Registro de Auditor Externo Impositivo N°027/20 ante la Sub Secretaria de Tributación, Miembro del Directorio de socios Auditool (Colombia)  Red de Conocimientos en Auditoría y Control Interno. Especialista en Pericia Caligráfica y Docum. EDAN-UCSA promoción 2019. Perito Contable Calígrafo y Documentologia Matriculado en la Corte Suprema de Justicia bajo el N° 2823,  con 7 años de experiencia, Diplomado en Prevención Lavado de Dinero y Control del Financiamiento del Terrorismo CEDOC 2017 Registro Auditor Externo Especializado en Prevención de lavado de Dinero, SEPRELAD Resol.104/18. Maestría en Gestión de Riesgo Ealde Bussiness School – Madrid España  2019.  Actividad Gremial  Presidente de Meridiano (Asociación con Capacidad Restringida) dedicada a actividades de promoción profesional y  Director del Gremio de Profesionales contables denominado (Resistencia Contable del Paraguay).

Publicaciones relacionadas

SITUACION DE LA MIPYMES EN PARAGUAY

5 de octubre de 2021

ELEMENTOS PARA CREAR UN PLAN DE NEGOCIOS

2 de octubre de 2021

EL IVA NO FORMA PARTE DE TUS GANANCIAS

6 de octubre de 2021

DECRETO 7402 del Ministerio de Hacienda

13 de julio de 2022

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

© 2025, Todos los derechos reservados  |  STARSOFT | LIDER EN DESARROLLO DE SOFTWARE
Botón volver arriba