Este documento describe el modelo de las tres líneas de defensa para una efectiva gestión de riesgos y control. La primera línea de defensa son las funciones operativas que son propietarias de los riesgos y los gestionan. La segunda línea incluye funciones como gestión de riesgos y cumplimiento que supervisan los riesgos. La tercera línea es la auditoría interna, que proporciona un aseguramiento independiente a la alta dirección sobre la efectividad del gobierno corporativo, gestión de riesgos y control interno.
Insight Corporate Excellence
Un riesgo se produce como consecuencia del engaño, defraudación de expectativas o falta de transparencia, porque no se lleva a la operación la promesa de marca. Por eso se necesita medir los riesgos, monitorizarlos y elaborar un cuadro de mando de gestión.
Por todo ello, las compañías que gestionan bien sus riesgos, se anticipan y los atajan correctamente, disponen de un buen mapa de riesgos y un cuadro de mando reputacional, tienen una prima de riesgo de acceso a la deuda menor que sus competidores y, en momentos de recuperación, crecen más rápidamente
Introducción Norma ISO 31000:2009 Gestión de RiesgosNelson B
El documento presenta una introducción a la Norma ISO 31000 sobre gestión de riesgos. Explica que la norma propone una visión sistémica para gestionar organizaciones basada en la identificación y manejo de riesgos. Describe los tres pasos clave de la norma: comprender los principios de gestión de riesgos, establecer un marco de trabajo, y precisar los procesos clave como comunicación, evaluación y tratamiento de riesgos. El objetivo final es que las organizaciones puedan tomar mejores decisiones informadas sobre los posibles riesgos.
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...Hernan Huwyler, MBA CPA
Al aumentar nuestra ambición en la protección de riesgos empresariales, especialmente como reacción a la crisis financiera del 2008, estamos realizando profundos cambios conceptuales en la manera de entender el gobierno corporativo. Los estudios sobre gestión de riesgos han ensayado varios marcos de análisis en los últimos años que resultaron en la multiplicación de modelos atendiendo a diferentes definiciones y naturalezas de riesgos. Esta evolución tiene el objetivo de encontrar mejores marcos de análisis que permitan tomar decisiones sobre ecuaciones de riesgos y beneficios en la mayor cantidad y diversidad de procesos de negocios.
En los procesos empresariales, los marcos actuales con mayor difusión son COSO ERM e ISO 31.000, que requieren nuestro conocimiento desde los controles internos para elegir el modelo adecuado para atender a una cierta problemática específica. Cada elemento del cubo de COSO ERM puede ser ligado a cada componente de ISO 31.000, y esto permite complementar ambos modelos. Esta vinculación es posible aún entre la determinación del apetito de riesgo de COSO con la etapa de entender el contexto organizacional de ISO. Plantear dicotomías entre defensores y detractores de ambos marcos, solamente limitará nuestras herramientas para entender y tratar los riesgos empresariales, así como para nuestra capacidad para integrarles.
ISO 31.000 brinda su mayor utilidad antes de implementar controles, y COSO ERM para evaluarles luego de implementados. ISO 31.000 contiene unas abreviadas 24 páginas con principios de la gestión de riesgos tan poderosos que se requieren muchos años de experiencia para entender como adoptar su filosofía. Este resumen de simples principios permite implementar controles más efectivos, y compartirse por todos los departamentos de una organización. COSO ERM contiene, en numerosas páginas, guias detalladas orientadas a la evaluación interna y con el objetivo de expandir el alcance del control interno. Este marco toma a los objetivos como un requisito previo y como un componente separado.
ISO 31.000 nos ayuda a maximizar las posibilidades de cumplir con la estrategia y objetivos empresariales debido a su definición de riesgos incluyendo el componente de desvío negativo (riesgo estricto) como positivo (oportunidad). Esto soporta el concepto de la asunción de riesgos en función del retorno dentro de los objetivos de un plan de negocios dado. Tradicionalmente desde controles, aún no hemos dado un debido marco al riesgo como oportunidad, concepto que estoy proponiendo ampliar hace un par de años a partir del enfoque del risk-based auditing.
El Comité de Organizaciones Patrocinadoras (COSO) publicó en 1992 un informe que estableció por primera vez un estándar para diseñar, implementar y medir sistemas de control interno de manera integral. El marco COSO se centra en cinco elementos clave del control interno: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión. El informe también describe objetivos de control interno relacionados con operaciones, reporte financiero y cumplimiento.
Este documento presenta una introducción al Marco Integrado de Control Interno (COSO I y COSO II) desarrollado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Explica la evolución del COSO, sus componentes clave como el ambiente de control, evaluación de riesgos, actividades de control y supervisión, y cómo estos se clasifican en subsistemas de control estratégico, operativo y de evaluación. También proporciona detalles sobre los antecedentes del COSO y las diferencias entre COSO I
El documento describe el Marco de Gestión Integral de Riesgos del Negocio (COSO II). Explica que COSO II define la gestión de riesgos de la empresa y sus principios y componentes clave. Los componentes incluyen el ambiente interno, establecimiento de objetivos, identificación de eventos, actividades de control, respuesta al riesgo, información y comunicación, y monitoreo. El documento también discute la relación entre COSO I y COSO II y el papel de la auditoría interna.
Este documento proporciona ejemplos prácticos de técnicas para aplicar los principios de gestión de riesgos corporativos según el Marco COSO. Describe brevemente las técnicas aplicables a cada componente del Marco COSO e incluye un proceso de implantación de la gestión de riesgos corporativos en una organización.
Este documento describe las diferencias entre los marcos COSO I y COSO II para el control interno y la gestión de riesgos. COSO I se centra en el control interno, mientras que COSO II amplía este enfoque para abarcar una gestión integral de riesgos empresariales. Ambos marcos comparten componentes como el ambiente interno y el monitoreo, pero COSO II incluye elementos adicionales como el establecimiento de objetivos y la identificación y respuesta a eventos y riesgos.
Insight Corporate Excellence
Un riesgo se produce como consecuencia del engaño, defraudación de expectativas o falta de transparencia, porque no se lleva a la operación la promesa de marca. Por eso se necesita medir los riesgos, monitorizarlos y elaborar un cuadro de mando de gestión.
Por todo ello, las compañías que gestionan bien sus riesgos, se anticipan y los atajan correctamente, disponen de un buen mapa de riesgos y un cuadro de mando reputacional, tienen una prima de riesgo de acceso a la deuda menor que sus competidores y, en momentos de recuperación, crecen más rápidamente
Introducción Norma ISO 31000:2009 Gestión de RiesgosNelson B
El documento presenta una introducción a la Norma ISO 31000 sobre gestión de riesgos. Explica que la norma propone una visión sistémica para gestionar organizaciones basada en la identificación y manejo de riesgos. Describe los tres pasos clave de la norma: comprender los principios de gestión de riesgos, establecer un marco de trabajo, y precisar los procesos clave como comunicación, evaluación y tratamiento de riesgos. El objetivo final es que las organizaciones puedan tomar mejores decisiones informadas sobre los posibles riesgos.
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...Hernan Huwyler, MBA CPA
Al aumentar nuestra ambición en la protección de riesgos empresariales, especialmente como reacción a la crisis financiera del 2008, estamos realizando profundos cambios conceptuales en la manera de entender el gobierno corporativo. Los estudios sobre gestión de riesgos han ensayado varios marcos de análisis en los últimos años que resultaron en la multiplicación de modelos atendiendo a diferentes definiciones y naturalezas de riesgos. Esta evolución tiene el objetivo de encontrar mejores marcos de análisis que permitan tomar decisiones sobre ecuaciones de riesgos y beneficios en la mayor cantidad y diversidad de procesos de negocios.
En los procesos empresariales, los marcos actuales con mayor difusión son COSO ERM e ISO 31.000, que requieren nuestro conocimiento desde los controles internos para elegir el modelo adecuado para atender a una cierta problemática específica. Cada elemento del cubo de COSO ERM puede ser ligado a cada componente de ISO 31.000, y esto permite complementar ambos modelos. Esta vinculación es posible aún entre la determinación del apetito de riesgo de COSO con la etapa de entender el contexto organizacional de ISO. Plantear dicotomías entre defensores y detractores de ambos marcos, solamente limitará nuestras herramientas para entender y tratar los riesgos empresariales, así como para nuestra capacidad para integrarles.
ISO 31.000 brinda su mayor utilidad antes de implementar controles, y COSO ERM para evaluarles luego de implementados. ISO 31.000 contiene unas abreviadas 24 páginas con principios de la gestión de riesgos tan poderosos que se requieren muchos años de experiencia para entender como adoptar su filosofía. Este resumen de simples principios permite implementar controles más efectivos, y compartirse por todos los departamentos de una organización. COSO ERM contiene, en numerosas páginas, guias detalladas orientadas a la evaluación interna y con el objetivo de expandir el alcance del control interno. Este marco toma a los objetivos como un requisito previo y como un componente separado.
ISO 31.000 nos ayuda a maximizar las posibilidades de cumplir con la estrategia y objetivos empresariales debido a su definición de riesgos incluyendo el componente de desvío negativo (riesgo estricto) como positivo (oportunidad). Esto soporta el concepto de la asunción de riesgos en función del retorno dentro de los objetivos de un plan de negocios dado. Tradicionalmente desde controles, aún no hemos dado un debido marco al riesgo como oportunidad, concepto que estoy proponiendo ampliar hace un par de años a partir del enfoque del risk-based auditing.
El Comité de Organizaciones Patrocinadoras (COSO) publicó en 1992 un informe que estableció por primera vez un estándar para diseñar, implementar y medir sistemas de control interno de manera integral. El marco COSO se centra en cinco elementos clave del control interno: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión. El informe también describe objetivos de control interno relacionados con operaciones, reporte financiero y cumplimiento.
Este documento presenta una introducción al Marco Integrado de Control Interno (COSO I y COSO II) desarrollado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Explica la evolución del COSO, sus componentes clave como el ambiente de control, evaluación de riesgos, actividades de control y supervisión, y cómo estos se clasifican en subsistemas de control estratégico, operativo y de evaluación. También proporciona detalles sobre los antecedentes del COSO y las diferencias entre COSO I
El documento describe el Marco de Gestión Integral de Riesgos del Negocio (COSO II). Explica que COSO II define la gestión de riesgos de la empresa y sus principios y componentes clave. Los componentes incluyen el ambiente interno, establecimiento de objetivos, identificación de eventos, actividades de control, respuesta al riesgo, información y comunicación, y monitoreo. El documento también discute la relación entre COSO I y COSO II y el papel de la auditoría interna.
Este documento proporciona ejemplos prácticos de técnicas para aplicar los principios de gestión de riesgos corporativos según el Marco COSO. Describe brevemente las técnicas aplicables a cada componente del Marco COSO e incluye un proceso de implantación de la gestión de riesgos corporativos en una organización.
Este documento describe las diferencias entre los marcos COSO I y COSO II para el control interno y la gestión de riesgos. COSO I se centra en el control interno, mientras que COSO II amplía este enfoque para abarcar una gestión integral de riesgos empresariales. Ambos marcos comparten componentes como el ambiente interno y el monitoreo, pero COSO II incluye elementos adicionales como el establecimiento de objetivos y la identificación y respuesta a eventos y riesgos.
Administracion de riesgos_enlas_empresas_bajo_el_esquema_coso-Annabel Cevallos
Este documento presenta un taller sobre la administración integral de riesgos (ERM) según el esquema COSO II. El taller explicará los componentes y aplicación del enfoque ERM-COSO, así como cómo este enfoque puede ayudar a las organizaciones a gestionar mejor sus riesgos y oportunidades. El programa de trabajo incluye exposiciones sobre el marco de control interno y ERM, así como un taller práctico para identificar riesgos, controles y planes de acción en procesos organizacionales clave.
Este documento presenta información sobre el modelo COSO de gestión de riesgos. Explica que COSO define el control interno como un proceso para lograr objetivos de manera razonable. Identifica cuatro categorías de objetivos de ERM y tres dimensiones del modelo COSO. También cubre componentes, responsabilidades de uso y mitos sobre la implementación del modelo COSO. Finalmente, destaca algunos beneficios que ofrece el modelo.
El documento describe los componentes y factores que componen el ambiente interno de una organización para la gestión de riesgos corporativos. Explica que el ambiente interno incluye la filosofía de gestión de riesgos, la integridad, los valores éticos y la competencia del personal de una organización. Asimismo, señala que el ambiente interno tiene un impacto significativo en cómo se implementa y opera continuamente la gestión de riesgos en una organización, constituyendo el contexto en el que se aplican los demás componentes.
El documento describe el origen y propósito del marco COSO II-ERM para la gestión integral de riesgos. Explica que COSO II-ERM surgió debido al creciente interés en la gestión de riesgos a finales de los años 90. En 2004, COSO publicó el estudio ERM que amplió el marco COSO I para incluir una perspectiva más amplia de la gestión de riesgos a nivel empresarial. El documento también resume brevemente los ocho componentes del marco COSO-ERM.
Este documento describe los elementos principales para la administración de riesgos operativos. Define el riesgo operativo y explica su importancia para todas las empresas. Detalla los antecedentes del riesgo operativo y el Acuerdo de Basilea II. Explica que la identificación, evaluación, medición, monitoreo y control son elementos clave para la gestión del riesgo operativo. Finalmente, señala que cuando se analiza el riesgo operativo, no solo se trata de análisis estadísticos históricos, sino también de identificar posibles fu
Este documento discute el Marco Integrado de Control Interno. Define el control interno como un proceso llevado a cabo por una organización para proporcionar seguridad razonable en la consecución de objetivos relacionados con operaciones, información y cumplimiento. Explica que el Committee of Sponsoring Organizations of the Treadway Commission (COSO) ha sido influyente en establecer mejores prácticas de control interno. Finalmente, pide opiniones para fortalecer el contenido sobre cómo la unidad de auditoría interna de una organización contribuye a
Este documento describe la estructura y componentes del Marco de Control Interno COSO I y COSO II. Explica que COSO I se enfoca en el control interno mientras que COSO II amplía el enfoque a la gestión de riesgos de la empresa de una manera integrada. Describe los cinco componentes de COSO I (ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo) y los ocho componentes de COSO II que están interrelacionados y alineados con los objetivos de la organización.
Este documento compara el Marco de Control Interno COSO II con el Marco de Gestión de Riesgos Empresariales COSO ERM. Explica que el COSO II se refiere al Comité de Organizaciones Patrocinadoras de la Comisión Treadway, mientras que COSO ERM se refiere al Marco de Gestión Integral de Riesgos. Además, define control, control interno, sus características e importancia, y explica los conceptos básicos de gestión de riesgos y su objetivo.
El documento proporciona una introducción al control interno basado en el Informe COSO. Explica que el Informe COSO de 1992 estableció una definición común de control interno y un estándar para evaluar y mejorar los sistemas de control. Describe los cinco componentes del control interno según COSO: entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión. También introduce el concepto de Gestión de Riesgos Empresariales y explica cómo MEYCOR COSO AG puede usarse como una herram
El Informe COSO establece una definición y estructura conceptual para el control interno. Fue redactado por expertos en contabilidad, auditoría y finanzas para ayudar a las organizaciones a evaluar y mejorar sus sistemas de control interno, lo que les proporciona una seguridad razonable en la consecución de objetivos como la eficacia de operaciones, fiabilidad de información y cumplimiento.
El documento habla sobre la gestión de riesgos en las cooperativas de ahorro y crédito. Explica que la gestión de riesgos permite identificar y cuantificar los riesgos para gestionar el negocio maximizando el valor sin distracciones. También clasifica los principales tipos de riesgos como crédito, operacional, estratégico, de liquidez, entre otros. Finalmente, resume los tres pilares de Basilea II sobre requisitos de capital mínimos, proceso de supervisión y disciplina de mercado.
El documento resume el marco integrado de control interno propuesto por el informe COSO, el cual consta de cinco componentes interrelacionados: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión. Explica cada uno de estos componentes y cómo interactúan entre sí para establecer y mantener un sistema de control interno efectivo.
El documento habla sobre el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), que es un comité que establece directrices para el control interno de las empresas. Además, menciona un software llamado MEYCOR COSO AG que permite realizar evaluaciones de control interno de acuerdo con las directrices COSO.
El documento describe los componentes del informe COSO y COSO ERM. El informe COSO original de 1992 definió cinco componentes del control interno, mientras que el COSO ERM de 2004 amplió esto a ocho componentes para enfocarse específicamente en la administración de riesgos de una organización. Estos componentes incluyen el establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuestas al riesgo, actividades de control, información y comunicación, y supervisión.
El documento presenta una introducción a COSO 2013, la estructura mejorada de control interno. Explica que COSO 2013 pone mayor énfasis en terceros, TI y el uso de 17 principios. También describe las responsabilidades clave de la gerencia, auditoría interna y órganos de gobierno en relación con COSO. Finalmente, presenta oportunidades y retos para los auditores al adoptar COSO 2013, como apoyar la capacitación y asesorar en el diseño de nuevos esquemas de monitoreo.
El documento describe el método COSO para control interno, el cual propone una estructura de control que incluye el ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión o monitoreo. También discute el papel de la auditoría interna para evaluar la efectividad de los sistemas de control interno basados en el método COSO.
El documento presenta un resumen del Informe COSO sobre control interno. COSO es un comité que desarrolló un marco de control interno aceptado globalmente. El informe describe el control interno como un proceso que ayuda a una organización a lograr sus objetivos de operaciones efectivas, reportes financieros confiables y cumplimiento. También presenta los cinco componentes de control interno según COSO: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión.
El documento describe la evolución del informe COSO sobre control interno desde 1992 hasta la actualidad. El COSO I definió inicialmente 5 componentes del control interno, mientras que el COSO II de 2003 amplió este marco a 8 componentes para enfocarse más en la administración de riesgos de las organizaciones. El documento luego explica cada uno de los 8 componentes del marco COSO II.
Este documento describe los componentes y objetivos del Control Interno según el modelo COSO. Explica que COSO define el Control Interno como un proceso diseñado para proveer confiabilidad en la información financiera, eficiencia operativa y cumplimiento de leyes. Identifica 5 componentes clave: Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación, y Monitoreo. Brinda detalles sobre cada uno de estos componentes y su importancia para establecer un sistema de Control Interno efectivo dentro de una organización.
El documento describe los conceptos básicos del COSO ERM y su proceso de implementación. Explica que el COSO ERM requiere el apoyo de la alta gerencia, la preparación de un equipo líder, el desarrollo de una visión de gestión de riesgos corporativos, un diagnóstico de la situación actual, el desarrollo de un plan de implementación y la gestión del cambio. Además, detalla los componentes del COSO ERM como la filosofía de gestión de riesgos, la cultura de riesgo, el consejo
Este documento presenta información sobre los marcos COSO I y COSO II. Explica que COSO I se enfoca en control interno y proporciona un marco de cinco componentes: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo. COSO II amplía el enfoque a gestión de riesgos empresariales y describe ocho componentes interrelacionados que cubren identificación de eventos, establecimiento de objetivos, evaluación de riesgos, respuesta a riesgos, actividades de control, inform
Administracion de riesgos_enlas_empresas_bajo_el_esquema_coso-Annabel Cevallos
Este documento presenta un taller sobre la administración integral de riesgos (ERM) según el esquema COSO II. El taller explicará los componentes y aplicación del enfoque ERM-COSO, así como cómo este enfoque puede ayudar a las organizaciones a gestionar mejor sus riesgos y oportunidades. El programa de trabajo incluye exposiciones sobre el marco de control interno y ERM, así como un taller práctico para identificar riesgos, controles y planes de acción en procesos organizacionales clave.
Este documento presenta información sobre el modelo COSO de gestión de riesgos. Explica que COSO define el control interno como un proceso para lograr objetivos de manera razonable. Identifica cuatro categorías de objetivos de ERM y tres dimensiones del modelo COSO. También cubre componentes, responsabilidades de uso y mitos sobre la implementación del modelo COSO. Finalmente, destaca algunos beneficios que ofrece el modelo.
El documento describe los componentes y factores que componen el ambiente interno de una organización para la gestión de riesgos corporativos. Explica que el ambiente interno incluye la filosofía de gestión de riesgos, la integridad, los valores éticos y la competencia del personal de una organización. Asimismo, señala que el ambiente interno tiene un impacto significativo en cómo se implementa y opera continuamente la gestión de riesgos en una organización, constituyendo el contexto en el que se aplican los demás componentes.
El documento describe el origen y propósito del marco COSO II-ERM para la gestión integral de riesgos. Explica que COSO II-ERM surgió debido al creciente interés en la gestión de riesgos a finales de los años 90. En 2004, COSO publicó el estudio ERM que amplió el marco COSO I para incluir una perspectiva más amplia de la gestión de riesgos a nivel empresarial. El documento también resume brevemente los ocho componentes del marco COSO-ERM.
Este documento describe los elementos principales para la administración de riesgos operativos. Define el riesgo operativo y explica su importancia para todas las empresas. Detalla los antecedentes del riesgo operativo y el Acuerdo de Basilea II. Explica que la identificación, evaluación, medición, monitoreo y control son elementos clave para la gestión del riesgo operativo. Finalmente, señala que cuando se analiza el riesgo operativo, no solo se trata de análisis estadísticos históricos, sino también de identificar posibles fu
Este documento discute el Marco Integrado de Control Interno. Define el control interno como un proceso llevado a cabo por una organización para proporcionar seguridad razonable en la consecución de objetivos relacionados con operaciones, información y cumplimiento. Explica que el Committee of Sponsoring Organizations of the Treadway Commission (COSO) ha sido influyente en establecer mejores prácticas de control interno. Finalmente, pide opiniones para fortalecer el contenido sobre cómo la unidad de auditoría interna de una organización contribuye a
Este documento describe la estructura y componentes del Marco de Control Interno COSO I y COSO II. Explica que COSO I se enfoca en el control interno mientras que COSO II amplía el enfoque a la gestión de riesgos de la empresa de una manera integrada. Describe los cinco componentes de COSO I (ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo) y los ocho componentes de COSO II que están interrelacionados y alineados con los objetivos de la organización.
Este documento compara el Marco de Control Interno COSO II con el Marco de Gestión de Riesgos Empresariales COSO ERM. Explica que el COSO II se refiere al Comité de Organizaciones Patrocinadoras de la Comisión Treadway, mientras que COSO ERM se refiere al Marco de Gestión Integral de Riesgos. Además, define control, control interno, sus características e importancia, y explica los conceptos básicos de gestión de riesgos y su objetivo.
El documento proporciona una introducción al control interno basado en el Informe COSO. Explica que el Informe COSO de 1992 estableció una definición común de control interno y un estándar para evaluar y mejorar los sistemas de control. Describe los cinco componentes del control interno según COSO: entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión. También introduce el concepto de Gestión de Riesgos Empresariales y explica cómo MEYCOR COSO AG puede usarse como una herram
El Informe COSO establece una definición y estructura conceptual para el control interno. Fue redactado por expertos en contabilidad, auditoría y finanzas para ayudar a las organizaciones a evaluar y mejorar sus sistemas de control interno, lo que les proporciona una seguridad razonable en la consecución de objetivos como la eficacia de operaciones, fiabilidad de información y cumplimiento.
El documento habla sobre la gestión de riesgos en las cooperativas de ahorro y crédito. Explica que la gestión de riesgos permite identificar y cuantificar los riesgos para gestionar el negocio maximizando el valor sin distracciones. También clasifica los principales tipos de riesgos como crédito, operacional, estratégico, de liquidez, entre otros. Finalmente, resume los tres pilares de Basilea II sobre requisitos de capital mínimos, proceso de supervisión y disciplina de mercado.
El documento resume el marco integrado de control interno propuesto por el informe COSO, el cual consta de cinco componentes interrelacionados: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión. Explica cada uno de estos componentes y cómo interactúan entre sí para establecer y mantener un sistema de control interno efectivo.
El documento habla sobre el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), que es un comité que establece directrices para el control interno de las empresas. Además, menciona un software llamado MEYCOR COSO AG que permite realizar evaluaciones de control interno de acuerdo con las directrices COSO.
El documento describe los componentes del informe COSO y COSO ERM. El informe COSO original de 1992 definió cinco componentes del control interno, mientras que el COSO ERM de 2004 amplió esto a ocho componentes para enfocarse específicamente en la administración de riesgos de una organización. Estos componentes incluyen el establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuestas al riesgo, actividades de control, información y comunicación, y supervisión.
El documento presenta una introducción a COSO 2013, la estructura mejorada de control interno. Explica que COSO 2013 pone mayor énfasis en terceros, TI y el uso de 17 principios. También describe las responsabilidades clave de la gerencia, auditoría interna y órganos de gobierno en relación con COSO. Finalmente, presenta oportunidades y retos para los auditores al adoptar COSO 2013, como apoyar la capacitación y asesorar en el diseño de nuevos esquemas de monitoreo.
El documento describe el método COSO para control interno, el cual propone una estructura de control que incluye el ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión o monitoreo. También discute el papel de la auditoría interna para evaluar la efectividad de los sistemas de control interno basados en el método COSO.
El documento presenta un resumen del Informe COSO sobre control interno. COSO es un comité que desarrolló un marco de control interno aceptado globalmente. El informe describe el control interno como un proceso que ayuda a una organización a lograr sus objetivos de operaciones efectivas, reportes financieros confiables y cumplimiento. También presenta los cinco componentes de control interno según COSO: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión.
El documento describe la evolución del informe COSO sobre control interno desde 1992 hasta la actualidad. El COSO I definió inicialmente 5 componentes del control interno, mientras que el COSO II de 2003 amplió este marco a 8 componentes para enfocarse más en la administración de riesgos de las organizaciones. El documento luego explica cada uno de los 8 componentes del marco COSO II.
Este documento describe los componentes y objetivos del Control Interno según el modelo COSO. Explica que COSO define el Control Interno como un proceso diseñado para proveer confiabilidad en la información financiera, eficiencia operativa y cumplimiento de leyes. Identifica 5 componentes clave: Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación, y Monitoreo. Brinda detalles sobre cada uno de estos componentes y su importancia para establecer un sistema de Control Interno efectivo dentro de una organización.
El documento describe los conceptos básicos del COSO ERM y su proceso de implementación. Explica que el COSO ERM requiere el apoyo de la alta gerencia, la preparación de un equipo líder, el desarrollo de una visión de gestión de riesgos corporativos, un diagnóstico de la situación actual, el desarrollo de un plan de implementación y la gestión del cambio. Además, detalla los componentes del COSO ERM como la filosofía de gestión de riesgos, la cultura de riesgo, el consejo
Este documento presenta información sobre los marcos COSO I y COSO II. Explica que COSO I se enfoca en control interno y proporciona un marco de cinco componentes: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo. COSO II amplía el enfoque a gestión de riesgos empresariales y describe ocho componentes interrelacionados que cubren identificación de eventos, establecimiento de objetivos, evaluación de riesgos, respuesta a riesgos, actividades de control, inform
Está creciendo la necesidad de redefinir el Marco para la Gestión del Riesgo Operacional, tanto por los nuevos enfoques de los “stakeholders” como por el esquema regulatorio en cuanto a las exigencias de capital
En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control.
El proposito es de mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno.
Ademas de unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.
Este documento presenta la metodología general para la gestión del riesgo en entidades públicas, incluyendo tres pasos clave: 1) identificar los riesgos que podrían afectar el cumplimiento de los objetivos estratégicos y de los procesos a través de un análisis del contexto, objetivos y factores de riesgo; 2) clasificar y evaluar los riesgos identificados en términos de probabilidad e impacto para determinar el riesgo inherente; y 3) establecer escalas para medir la probabilidad e impacto
El documento describe las tres líneas de defensa de un sistema de control interno. La primera línea son los jefes y supervisores operativos que identifican y controlan riesgos. La segunda línea supervisa y asesora a la primera en funciones como cumplimiento de políticas. La tercera línea monitorea el sistema de control interno de manera independiente.
La gestión de riesgos es un enfoque estructurado para manejar la incertidumbre asociada con amenazas a través de actividades humanas como la evaluación de riesgos, el desarrollo de estrategias para manejarlos y la mitigación de riesgos utilizando recursos gerenciales. La norma ISO 31000 propone principios, una estructura y un proceso para la gestión de riesgos que pueden adaptarse a las necesidades de cada organización. La gestión efectiva de riesgos es fundamental para lograr los objetivos de una organización.
Modulo 22 Sistemas de Alerta Temprana - ESP.pptxcaniceconsulting
1) Un sistema de alerta temprana (SAT) monitorea indicadores clave que pueden detectar el riesgo de crisis en una empresa. 2) Estos incluyen factores internos como liquidez, equipo y personal, así como factores externos como competencia y tendencias de consumo. 3) Un SAT efectivo puede ayudar a las empresas a prepararse y responder a las crisis con anticipación para reducir daños potenciales.
Dr haluk f gursel, la investigación de fraude adquiere protagonismoHaluk Ferden Gursel
This article in Spanish and the main focus is the growing importance of fraud examination. The award winning article discusses the proposal to create a new profession for fraud examination.
El documento presenta cinco definiciones de riesgo operativo de diferentes autores. Luego, en base a estas definiciones, el grupo enuncia su propio concepto de riesgo operativo como la posibilidad de pérdidas financieras derivadas de fallas o insuficiencias en procesos, personas, sistemas internos o eventos externos imprevistos que puedan afectar el logro de objetivos estratégicos u operativos de una organización. Adicionalmente, el documento solicita identificar organismos y funciones del área de gestión de ries
Este documento presenta una introducción al proceso de administración de riesgos. Explica que involucra identificar, evaluar y monitorear los riesgos a los que está expuesta una organización para establecer controles. También describe las etapas e involucrados clave como la junta directiva, comité de riesgos y unidad de administración de riesgos. Finalmente, destaca que el propósito es tomar acciones para reducir los costos asociados a eventos de riesgo antes de que ocurran.
El documento describe el Marco Integrado de Control Interno (COSO) y la herramienta MEYCOR COSO AG para su implementación. COSO establece una definición común de control interno y proporciona un estándar para evaluar y mejorar los sistemas de control. MEYCOR COSO AG provee funcionalidades para evaluar periódicamente el sistema de control interno basado en los cinco componentes de COSO: entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión. La herramienta permite real
El documento describe el Marco Integrado de Control Interno (COSO) y la herramienta MEYCOR COSO AG para su implementación. COSO establece una definición común de control interno y proporciona un estándar para evaluar y mejorar los sistemas de control. MEYCOR COSO AG permite evaluar periódicamente el sistema de control interno mediante cuestionarios, auditorías, informes y comparaciones. La herramienta ayuda a las organizaciones a cumplir con objetivos de control interno relacionados con operaciones, reporting financiero y cumplimiento
Coso 2015-COSO EN LAS TRES LÍNEAS DE DEFENSA Conaudisa
Este documento es una colaboración entre el Comité de Organizaciones Patrocinadoras (COSO) y The Institute of Internal Auditors, Inc. El objetivo de este documento es ayudar a las organizaciones a mejorar sus estructuras generales de
gobierno mediante una guía sobre la manera de configurar y asignar funciones y responsabilidades específicas con
respecto al control interno al relacionar el Marco Integrado de Control Interno del COSO1 con el modelo de Las tres líneas de defensa.
La auditoría a la función de compliance es importante para verificar que los programas y políticas de compliance funcionan efectivamente. Al auditar la función de compliance, es clave considerar aspectos como la independencia entre las funciones de compliance y auditoría, y seguir las guías del Departamento de Justicia de EE.UU. sobre evaluación de programas de compliance.
Auditoria a la función de Compliance.pdfGerenciaSGI
La
función de compliance es fundamental para promover la
integridad y combatir la corrupción, y consiste en establecer
políticas y procedimientos adecuados y suficientes para
garantizar que una empresa desarrolla sus actividades y
negocios conforme a la normativa vigente, y las políticas y
procedimientos internos, promoviendo una cultura de
cumplimiento
Este caso práctico describe una situación en el departamento de informática de un banco donde existe una sola persona encargada de realizar todas las actividades relacionadas a sistemas. Esto genera un alto riesgo debido a la concentración y dependencia en una sola persona. Los usuarios se quejan de atrasos e insatisfacción con los resultados. La administración es consciente de la deficiencia pero se niega a contratar más personal para el departamento.
El Committee of sponsoring organizations –COSO– es un documento que contiene las principales directivas para la implementación, gestión y control de un sistema de control interno. Este brinda herramientas para gestionar los riesgos y prever situaciones que puedan afectar el negocio en marcha.
Este documento describe la metodología COSO ERM y su aplicación para la gestión de riesgos en una empresa. COSO ERM fue diseñado para identificar eventos que podrían afectar a una entidad, evaluar y responder a los riesgos detectados de modo que estén dentro de límites aceptables. La aplicación de esta metodología permitió identificar los riesgos existentes en la empresa y evaluar la eficiencia de los controles, contribuyendo así al logro de los objetivos de la entidad. Las conclusiones mostraron que COSO ERM identificó
Similar a Pp the three lines of defense in effective risk management and control spanish(1) (20)
Pp the three lines of defense in effective risk management and control spanish(1)
1.
2. Antes de las Tres Líneas: Establecimiento de Estrategia y
Supervisión de la Gestión de Riesgos……………….………………...
3. IIA DECLARACIÓN DE POSICIÓN: LAS TRES LÍNEAS DE DEFENSA PARA UNA EFECTIVA GESTIÓN DE RIESGOS Y CONTROL / 1
IIA – Declaración de
Posición:
LAS TRES LINEAS DE
DEFENSA PARA UNA
EFECTIVA GESTION DE
RIESGOS Y CONTROL
INTRODUCCION
En las organizaciones del siglo XXI, no es raro encontrar diversos equipos de auditores
internos, especialistas en gestión de riesgos corporativos, oficiales de cumplimiento,
especialistas en control interno, inspectores de calidad, investigadores de fraude y otros
profesionales del riesgo y del control, trabajando juntos para ayudar a sus organizaciones
a gestionar el riesgo. Cada una de estas especialidades tiene una perspectiva única y
habilidades específicas que pueden ser invaluables para las organizaciones donde
prestan sus servicios, pero las responsabilidades relacionadas con la gestión de riesgos y
el control están cada vez más distribuidas en múltiples departamentos y divisiones, y las
obligaciones deben ser coordinadas cuidadosamente para asegurar que los procesos de
riesgo y control funcionen de forma satisfactoria.
No es suficiente que existan diversas funciones de riesgo y control – el desafío consiste en
asignar roles específicos y coordinar con eficacia y eficiencia estos grupos de manera que
no existan "brechas" en la cobertura de los controles ni duplicaciones innecesarias. Deben
ser definidas responsabilidades claras, de modo que cada grupo de profesionales de
riesgo y control entienda los límites de sus responsabilidades y cómo encaja su rol en la
estructura general de riesgo y control de la organización.
Hay mucho en juego. Sin un enfoque cohesionado y coordinado, los limitados recursos de
riesgo y control podrían no ser desplegados efectivamente, y riesgos significativos podrían
no ser identificados o gestionados adecuadamente. En el peor de los casos, las
comunicaciones entre los diversos grupos de riesgo y control pueden caer en un debate
permanente sobre qué tareas específicas deben ser cumplidas por cada grupo.
El problema puede existir en cualquier organización, independientemente de si se utiliza
un marco de gestión de riesgos corporativos formal. Aunque los marcos para la gestión de
riesgos pueden ser efectivos en identificar los tipos de riesgos que las organizaciones
modernas deben controlar, estos marcos no consideran cómo las tareas específicas
deberían ser asignadas y coordinadas dentro de la organización.
4. Afortunadamente, están surgiendo buenas prácticas que pueden ayudar a las
organizaciones a delegar y coordinar las tareas esenciales de la gestión de riesgos mediante
un enfoque sistemático. El modelo de las Tres Líneas de Defensa proporciona una manera
simple y efectiva para mejorar las comunicaciones en la gestión de riesgos y control
mediante la aclaración de las funciones y deberes esenciales relacionados. Este modelo
proporciona una mirada nueva a las operaciones, ayudando a asegurar el éxito continuo de
las iniciativas de gestión del riesgo, y este modelo es apropiado para cualquier organización
– independientemente de su tamaño o complejidad. Aún en organizaciones donde un marco
o sistema de gestión de riesgos formal no existe, el modelo de Las Tres Líneas de Defensa
puede aumentar la claridad respecto a los riesgos y los controles y ayudar a mejorar la
efectividad de los sistemas de gestión de riesgos.
En el modelo de las Tres Líneas de Defensa, el control de la gerencia es la primera línea de
defensa en la gestión de riesgos; las varias funciones de supervisión de riesgos, controles y
cumplimiento establecidas por la administración, son la segunda línea de defensa; y el
aseguramiento independiente es la tercera. Cada una de estas "líneas" juega un papel
distinto dentro del marco amplio de gobernabilidad de la organización.
EL MODELO DE LAS TRES LINEAS DE DEFENSA
Adaptado de la Guía emitida por ECIIA/FERMA sobre la
8va Directiva de Derecho de Sociedades de la Unión Europea, artículo 41
Aunque ni los organismos de gobierno corporativo ni la alta dirección figuran entre las tres
"líneas" en este modelo, no hay discusión de que el sistema de gestión de riesgos no estaría
completo sin considerar primero las funciones esenciales de los organismos de gobierno
corporativo (es decir, los consejos de administración u órganos equivalentes) y de la alta
dirección. Los organismos de gobierno corporativo y la alta dirección son los principales
interesados en ser atendidos por las "líneas", y son las partes que mejor están posicionadas
2 / IIA DECLARACIÓN DE POSICIÓN: LAS TRES LÍNEAS DE DEFENSA PARA UNA EFECTIVA GESTIÓN DE RIESGOS Y CONTROL
1º Línea de defensa 2º Línea de defensa 3º Línea de defensa
ANTES DE LAS TRES LÍNEAS: ESTABLECIMIENTO DE ESTRATEGIA Y SUPERVISIÓN DE LA
GESTIÓN DE RIESGOS
5. IIA DECLARACIÓN DE POSICIÓN: LAS TRES LÍNEAS DE DEFENSA PARA UNA EFECTIVA GESTIÓN DE RIESGOS Y CONTROL / 3
para ayudar a asegurar que el modelo de las Tres Líneas Defensa esté reflejado en los
procesos de gestión de riesgos y control de la organización.
La alta dirección y los organismos de gobierno corporativo conjuntamente deben rendir
cuentas y son responsables por la fijación de objetivos de la organización, la definición de
estrategias para alcanzar dichos objetivos, y el establecimiento de estructuras de gobierno
corporativo y procesos para gestionar mejor los riesgos en el cumplimiento de esos
objetivos. El modelo de las Tres Líneas de Defensa se implementa mejor con el apoyo
activo y guía de los organismos de gobierno corporativo y la alta dirección de la
organización.
LA PRIMERA LINEA DE DEFENSA: LA GESTION OPERATIVA
El modelo de las Tres Líneas de Defensa distingue tres grupos (o líneas) que participan en
una efectiva gestión de riesgos:
• Las funciones que son propietarias de los riesgos y los gestionan.
• Las funciones que supervisan los riesgos.
• Las funciones que proporcionan aseguramiento independiente.
Como primera línea de defensa, las gerencias operativas son propietarias de los riesgos y
los gestionan. Estas gerencias también son responsables de la implementación de
acciones correctivas para hacer frente a deficiencias de proceso y control.
La gerencia operativa es responsable de mantener un control interno efectivo y de ejecutar
procedimientos de control sobre los riesgos de manera constante en el día a día. La
gerencia operativa identifica, evalúa, controla y mitiga los riesgos, guiando el desarrollo e
implementación de políticas y procedimientos internos que aseguren que las actividades
efectuadas son consistentes con las metas y objetivos. A través de una estructura de
responsabilidad distribuida en cascada, los gerentes de nivel medio diseñan e
implementan procedimientos detallados que sirven como controles y supervisan la
ejecución de tales procedimientos por parte de sus empleados.
La gerencia operativa sirve naturalmente como primera línea de defensa porque los
controles están diseñados dentro de los sistemas y procesos bajo su dirección como
administración operacional. Deberían estar implementados adecuados controles de
gestión ysupervisión para asegurar sucumplimientoy para destacar excepciones de control,
procesos inadecuados y eventos inesperados.
6. 4 / IIA DECLARACIÓN DE POSICIÓN: LAS TRES LÍNEAS DE DEFENSA PARA UNA EFECTIVA GESTIÓN DE RIESGOS Y CONTROL
LA SEGUNDA LINEA DE DEFENSA: FUNCIONES DE GESTIÓN DE RIESGOS Y
CUMPLIMIENTO
En un mundo perfecto, tal vez sólo una línea de defensa sería necesaria para asegurar una
gestión de riesgos efectiva. En el mundo real, sin embargo, una sola línea de defensa con
frecuencia puede resultar insuficiente. La gerencia establece diversas funciones de gestión
de riesgos y cumplimiento para ayudar a crear y/o monitorear los controles de la primera
línea de defensa. Las funciones específicas varían según la organización e industria, pero
las funciones típicas de esta segunda línea de defensa comprenden:
• Una función de gestión de riesgos (y/o comité) que facilita y monitorea la
implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia
operativa y que asiste a los propietarios del riesgo en la definición del objetivo de
exposición al riesgo y en la presentación adecuada de información relacionada con
riesgos a toda la organización.
• Una función de cumplimiento para monitorear diversos riesgos específicos tales como el
incumplimiento de leyes y regulaciones aplicables. Con esta capacidad, esta función
independiente reporta directamente a la alta dirección, y en algunos sectores
económicos, directamente a los organismos de gobierno corporativo. Múltiples funciones
de cumplimiento con frecuencia existen en una misma organización, con
responsabilidades para monitorear tipos específicos de cumplimiento, como salud y
seguridad, cadena de suministros, ambiente o control de la calidad.
• Una función de contraloría que monitorea riesgos financieros y la emisión de la
información financiera.
La Gerencia establece estas funciones para asegurar que la primera línea de defensa está
apropiadamente diseñada, implementada y operando según lo previsto. Cada una de estas
funciones tiene algún grado de independencia respecto de la primera línea de defensa, pero
son por naturaleza funciones gerenciales. Como funciones gerenciales, pueden intervenir
directamente en la modificación y desarrollo de los sistemas de control interno y riesgos.
Por lo tanto, la segunda línea de defensa tiene un propósito vital, pero no puede ofrecer
análisis del todo independientes a los organismos de gobierno corporativo respecto a la
gestión de riesgos y a los controles internos.
Las responsabilidades de estas funciones varían según su naturaleza específica, pero
pueden incluir:
• Apoyar en la administración de políticas en cuanto a la definición de roles y
responsabilidades y el establecimiento de objetivos para su implementación.
• Proporcionar marcos para la gestión de riesgos.
• Identificar asuntos conocidos y emergentes.
• Identificar cambios en el apetito de riesgo implícito de la organización.
7. IIA DECLARACIÓN DE POSICIÓN: LAS TRES LÍNEAS DE DEFENSA PARA UNA EFECTIVA GESTIÓN DE RIESGOS Y CONTROL / 5
• Asistir a la administración en el desarrollo de procesos y controles
para la gestión de riesgos y problemas.
• Proporcionar guía y entrenamiento en procesos de gestión de riesgos.
• Facilitar y monitorear la implementación de prácticas efectivas de gestión de
riesgos por parte de la gerencia operativa
• Alertar a la gerencia operativa de asuntos emergentes y de cambios en los
escenarios regulatorios y de riesgos.
• Monitorear la adecuación y efectividad del control interno, la exactitud e
integridad de la información, el cumplimiento de las leyes y regulaciones, y
la remediación oportuna de deficiencias.
LA TERCERA LINEA DE DEFENSA: AUDITORIA INTERNA
Los auditores internos proporcionan a los organismos de gobierno
corporativo y a la alta dirección un aseguramiento comprensivo basado en
el más alto nivel de independencia y objetividad dentro de la organización.
Este alto nivel de independencia no está disponible en la segunda línea de
defensa. Los auditores internos proveen aseguramiento sobre la efectividad
del gobierno corporativo, la gestión de riesgos y el control interno,
incluyendo la manera en que la primera y segunda línea de defensa
alcanzan sus objetivos de gestión de riesgos y control. El alcance de este
aseguramiento, que es reportado a los organismos de gobierno corporativo
y alta dirección, usualmente cubre:
• Un amplio rango de objetivos, incluyendo la eficiencia y efectividad
de las operaciones, salvaguarda de activos, confiabilidad e
integridad de los procesos de reporte, y cumplimiento con leyes,
regulaciones, políticas, procedimientos y contratos.
• Todos los elementos de los marcos de gestión de riesgos y control
interno, que incluyen: ambiente de control interno, todos los
componentes del marco de gestión de riesgos de la organización (por
ejemplo, identificación de riesgos, evaluación de riesgos y
respuesta), información y comunicación, y monitoreo.
• La entidad en su conjunto, divisiones, subsidiarias, unidades
operativas y funciones – incluyendo procesos de negocios, tales
como ventas, producción, marketing, seguridad, funciones de
clientes, y operaciones – como también funciones de soporte (por
ejemplo, contabilización de ingresos y gastos, recursos humanos,
adquisiciones, remuneraciones, presupuestos, gestión de
infraestructura y activos, inventario, y tecnología de la información)
El estableci-
miento de
una actividad
de auditoría
interna
profesional
debería ser un
requerimiento
de gobierno
corporativo
para todas las
organizacio-
nes. Esto no
sólo es impor-
tante para las
grandes y
medianas
organizacio-
nes, sino
también
puede ser
igualmente
importante
para las
pequeñas
entidades, ya
que ellas
igualmente
pueden
enfrentar
ambientes
complejos,
con una
menos formal
pero robusta
estructura
organizacio-
nal, para
asegurar la
efectividad de
sus procesos
de gobierno
corporativo y
gestión de
riesgos.
8. entidades, ya que ellas igualmente pueden enfrentar ambientes complejos,
con una menos formal pero robusta estructura organizacional, para
asegurar la efectividad de sus procesos de gobierno corporativo y gestión
de riesgos.
Auditoría interna contribuye activamente a la efectividad del gobierno corporativo
organizacional proporcionando ciertas condiciones – fomentando su independencia y
profesionalismo – que se cumplan. La mejor práctica es establecer y mantener una
función de auditoría interna independiente con personal adecuado y competente, lo cual
incluye:
• Actuar en concordancia con las normas internacionales reconocidas para
la práctica de la auditoría interna.
• Reportar a un nivel suficientemente alto para ser capaz de desempeñar
sus funciones de manera independiente.
• Tener una activa y efectiva línea de reporte con los organismos de
gobierno corporativo.
AUDITORES EXTERNOS, REGULADORES Y OTROS ENTES EXTERNOS
Los auditores externos, reguladores y otros entes externos se ubican fuera de la
estructura de la organización, pero ellos pueden tener un rol en la estructura general de
gobierno corporativo y control de la organización. Este es particularmente el caso en
industrias reguladas, como servicios financieros o seguros. Los reguladores en
ocasiones establecen requerimientos con la intención de fortalecer los controles de una
organización y en otras ocasiones realizan una función independiente y objetiva para
evaluar la totalidad o una parte de la primera, segunda o tercera línea de defensa con
respecto a esos requerimientos. Cuando están efectivamente coordinados, auditores
externos, reguladores y otros grupos fuera de la organización pueden ser considerados
como adicionales líneas de defensa, proporcionando aseguramiento a las partes
interesadas de la organización, incluyendo los organismos de gobierno corporativo y la
alta dirección.
Dados los objetivos y el alcance específico de su misión, sin embargo, la información de
riesgo recopilada es generalmente menos extensa que el alcance abordado por las tres
líneas de defensa internas de la organización.
6 / IIA DECLARACIÓN DE POSICIÓN: LAS TRES LÍNEAS DE DEFENSA PARA UNA EFECTIVA GESTIÓN DE RIESGOS Y CONTROL
El establecimiento de una actividad de auditoría interna profesional debería
ser un requerimiento de gobierno corporativo para todas las organizaciones.
Esto no sólo es importante para las grandes y medianas organizaciones,
sino también puede ser igualmente importante para las pequeñas
9. IIA DECLARACIÓN DE POSICIÓN: LAS TRES LÍNEAS DE DEFENSA PARA UNA EFECTIVA GESTIÓN DE RIESGOS Y CONTROL / 7
Propiedad/Gestión de Riesgos Control de Riesgos y Cumplimiento Aseguramiento de Riesgos
• Gerencia operativa • Independencia Limitada
• Reportes principalmente a la
gerencia
• Auditoría Interna
• Mayor Independencia
• Reportes a los
organismos de
gobierno corporativo
COORDINACION DE LAS TRES LINEAS DE DEFENSA
Debido a que cada organización es única y puede variar según situaciones específicas,
no hay una forma "correcta" para coordinar las Tres Líneas de Defensa. Sin embargo, al
asignar las responsabilidades específicas y de coordinación entre las funciones de
gestión de riesgos, puede ser útil tener en cuenta el papel fundamental de cada grupo
en el proceso de gestión de riesgos.
PRIMERA LINEA DE DEFENSA SEGUNDA LINEA DE DEFENSA TERCERA LINEA DE DEFENSA
10. 8 / IIA DECLARACIÓN DE POSICIÓN: LAS TRES LÍNEAS DE DEFENSA PARA UNA EFECTIVA GESTIÓN DE RIESGO Y CONTROL
Las tres líneas deberían existir de alguna forma en todas las organizaciones,
independientemente de su tamaño o complejidad. La gestión del riesgo
normalmente es más fuerte si existen tres líneas de defensa separadas y
claramente identificadas. Sin embargo, en situaciones excepcionales,
especialmente en organizaciones pequeñas, ciertas líneas de defensa pueden
estar combinadas. Por ejemplo, existen ocasiones donde a auditoría interna se le
ha solicitado establecer y/o administrar actividades de gestión de riesgos o de
cumplimiento. En esas situaciones, auditoría interna debería comunicar
claramente a los organismos de gobierno corporativo y a la alta dirección el
impacto de la combinación. Si responsabilidades duales se asignan a una sola
persona o departamento, sería apropiado considerar la separación de la
responsabilidad de estas funciones más adelante, para establecer las tres líneas.
Independientemente de cómo el modelo de las Tres Líneas de Defensa es
implementado, la alta dirección y los organismos de gobierno corporativo deben
comunicar claramente que esperan que la información sea compartida y las
actividades coordinadas entre cada uno de los grupos responsables de la gestión
de riesgos y controles de la organización. Bajo las Normas Internacionales para
la Práctica Profesional de Auditoría Interna, los directores ejecutivos de auditoría
son específicamente requeridos a "compartir información y coordinar las
actividades con otros proveedores internos y externos de servicios de
aseguramiento y consultoría, para asegurar una cobertura adecuada y minimizar
la duplicación de esfuerzos.”
PRACTICAS RECOMENDADAS
• Los procesos de riesgo y control deben ser estructurados de acuerdo
con el Modelo de las Tres Líneas de Defensa.
• Cada línea de defensa debería ser apoyada en definiciones de funciones
y políticas apropiadas.
• Debe existir una adecuada coordinación entre las distintas líneas de
defensa para fomentar la eficiencia y la eficacia.
• Las funciones de riesgo y de control que operan en las diferentes líneas
deben compartir apropiadamente el conocimiento y la información para
ayudar a todas las funciones a un mejor cumplimiento de sus funciones y
de una manera eficiente.
• Las líneas de defensa no deberían ser mezcladas o coordinarse en una
manera que pueda comprometer su eficacia.
• En situaciones en que las funciones de las diferentes líneas se mezclan,
los Órganos de Gobierno deben ser informados de la estructura y su
impacto. Para las organizaciones que no han establecido una actividad
de auditoría interna, la Alta Dirección y/o el Órganos de Gobierno
deberán explicar y dar a conocer a las partes interesadas que ellos han
considerado como suficiente el aseguramiento que se obtendrá de la
eficacia del gobierno de la organización, gestión de riesgos y de la
estructura de control.
Las tres líneas
deberían
existir de
alguna forma
en todas las
organizacio-
nes, indepen-
dientemente
de su tamaño
o compleji-
dad. La
gestión del
riesgo
normalmente
es más fuerte
si existen tres
líneas de
defensa
separadas y
claramente
identificadas
11.
12. this translation, which is the same in all material
respects, as the original unless approved as
changed. No part of this document may be
reproduced, stored in any retrieval system, or
transmitted in any form, or by any means
electronic, mechanical, photocopying, recording,
or otherwise, without prior written permission of
IIA, Inc.”
SEDE CENTRAL GLOBAL
247 Maitland Avenue
Altamonte Springs, FL 32701 USA
T: +1-407-937-1111
F: +1-407-937-1101
W: www.globaliia.org