DOCUMENTO DE CONSULTA DEL IIA

Tres líneas de defensa

Junio de 2019
Índice

02 Resumen ejecutivo

03 Carta del grupo de trabajo

04 A. Información de contexto

06 B. Gobierno: la clave del éxito organizacional

07 C. Contribución al éxito organizacional y a la creación de valor

11 D. Escalabilidad, madurez, estructuración y “líneas desdibujadas”

1
 Resumen ejecutivo
El modelo de las Tres líneas de defensa es una parte importante del control y la gestión de riesgos de la
organización, y atrae tanto a críticos como a admiradores. En un momento en el cual la confianza en las
organizaciones está bajo ataque y en una era de conmoción y cambio prácticamente constante, el IIA emprende
una revisión importante del modelo para determinar su valor y utilidad hacia el futuro. Este documento de
consulta es parte de ese proceso de revisión, que se ha diseñado para solicitar opiniones de una amplia variedad
de partes interesadas de todo el mundo.
El modelo actual tiene el beneficio de ser simple, fácil de comunicar y fácil de comprender. Describe los roles
respectivos del consejo/órgano de gobierno, la alta dirección y la dirección operativa, las funciones de riesgo y
cumplimiento y la auditoría interna. Ayuda a que las organizaciones eviten confusiones, brechas y superposiciones
cuando asignan responsabilidades para actividades de control y gestión de riesgos. También destaca la influencia
de la auditoría externa y los organismos de control.
Si bien el modelo ha sido adoptado ampliamente por organizaciones y gobiernos de todo el mundo, la principal
crítica a este enfoque es que el modelo de las Tres líneas de defensa es muy limitado y muy restrictivo. Se enfoca
exclusivamente en las acciones defensivas, en lugar de adoptar un enfoque más proactivo para la identificación, el
análisis y la preparación para oportunidades y amenazas. Sugiere estructuras rígidas y genera una tendencia a silos
operativos, que pueden ser menos eficientes y eficaces. En conclusión, no logra reflejar las realidades actuales de
las organizaciones modernas.
En este documento, ofrecemos un análisis del modelo de las Tres líneas de defensa y brindamos propuestas sobre
cómo fortalecerlo y mejorarlo. Una clave para estas propuestas es ampliar el alcance del modelo más allá de la
protección de valor para que abarque la creación de valor. Las estructuras y los procesos que existen para
brindarle a una organización la protección contra riesgos son, al mismo tiempo, fundamentales para el gobierno y
el éxito organizacional. Las necesidades y los intereses de las partes interesadas determinan el propósito de una
organización. Los mecanismos de gobierno sirven para garantizar que la organización permanezca alineada con las
partes interesadas.
En este contexto, cada uno de los colaboradores clave para el éxito organizacional y la creación de valor (órgano de
gobierno; dirección; riesgo, calidad, control y cumplimiento; y auditoría interna independiente) se describen en
este documento. Si bien la perspectiva es principalmente interna, también examinamos los roles de los auditores
externos, los organismos de control y otros.
Dentro del modelo básico, hay un amplio margen para flexibilidad y elección. El modo de asignar, separar y
combinar roles debe ser una decisión que tomen los órganos de gobierno de cada organización, teniendo en
cuenta por completo la dirección y los deseos de las partes interesadas, además de las expectativas reglamentarias
y los requisitos legales. Otro punto en el cual hacer hincapié es en la necesidad de una estrecha coordinación entre
estos colaboradores para evitar los silos.
La libertad de asignar roles junto con esa colaboración entre roles puede conducir a lo que llamamos “líneas
desdibujadas”. Así y todo, el actual modelo de las Tres líneas de defensa no es capaz de explicar esto ni de brindar
una orientación. Se necesita un análisis atento para asegurar que esto no lleve a una combinación de roles en
conflicto. En particular, dada la importancia de su independencia, se debe prestar mucha atención cuando las
responsabilidades de la auditoría interna van más allá de brindar aseguramiento objetivo y creíble sobre la eficacia
y la idoneidad del gobierno, de la gestión de riesgos y del control. Se pueden aplicar determinadas protecciones
para posibilitar a la auditoría interna que complete su misión.
El modelo de las Tres líneas de defensa ha demostrado su valor repetidas veces a lo largo de los últimos 20 años.
Estas revisiones propuestas apuntan a modernizar y fortalecer esta confiable herramienta de gobierno para así
ampliar su utilidad y valor.
Este documento refleja los pensamientos y el análisis de un grupo de trabajo designado por el IIA y presidido por
Jenitha John.

2
 Carta del grupo de trabajo
“Las Tres líneas de defensa ha logrado servir a una amplia gama de industrias al abordar muchos temas
en torno del gobierno, de la gestión de riesgos y del control. Durante más de 20 años, las organizaciones
han utilizado el modelo para hacerse camino en un panorama operativo en constante evolución en su
recorrido al éxito organizacional y a la creación de valor sostenible.
Reconociendo las cambiantes expectativas de las partes interesadas y las complejidades en aumento de
las organizaciones, el IIA, en colaboración con especialistas en gobierno y gestión de riesgos de todo el
mundo, lanzó una revisión de las Tres líneas de defensa, para evaluar sus fortalezas, aplicación y eficacia
con miras a garantizar la continuidad de su relevancia en el clima actual de constante cambio.
El objetivo del equipo de trabajo es la creación de un modelo que cumpla su cometido, que se pueda
adaptar lo necesario para aplicarse a la gran variedad de modelos organizacionales y a los entornos de
rápido cambio en los cuales operan. Con este fin, se requieren gobierno dinámico, gestión de riesgos y
procesos de control con coordinación, colaboración y alineación en el modelo como componentes de
vital importancia.
El objetivo de esta revisión es permitirles a los encargados del gobierno recurrir al modelo de las Tres
líneas de defensa para ayudarlos a implementar la estructura y los recursos más apropiados en sus
organizaciones a fin de preservar y mejorar el valor.
El grupo de trabajo, mediante sus deliberaciones esclarecedoras y amplios debates, les presenta las Tres
líneas de defensa tal como se experimenta hoy con pensamientos y lógica sobre cómo implementar el
modelo de manera eficaz.
Pretendemos aprovechar el saber colectivo de las partes interesadas y de los miembros del IIA en todo el
mundo y pedirle sus aportes a modo de colaboración para moldear la posición del IIA sobre este tema
vital. Apreciamos sinceramente su participación”.
Jenitha John, presidenta del grupo de trabajo; vicepresidenta del Consejo de Administración Global del
IIA; y directora ejecutiva de auditoría de FirstRand Ltd
Los miembros del grupo de trabajo son:
Mark Carawan, director de cumplimiento, Citigroup
Greg Grocholski, director ejecutivo de auditoría, SABIC
Trygve Sørlie, proveedor de servicios independiente, Trygve Sørlie Services EPF
Shannon Urban, director general, EY
Beili Wong, vicepresidenta, Auditoría y Riesgo, DEA, Liquor Control Board of Ontario
Charlie Wright, director de riesgos, Jack Henry and Associates

Los puntos de vista expresados en este documento son opiniones personales de los miembros del grupo de trabajo y
no necesariamente reflejan los puntos de vista de las organizaciones a las cuales pertenecen.

3
 A. Información de contexto

A.1 El caso para repensar y actualizar las Tres líneas de defensa

El modelo de las Tres líneas de defensa surgió por primera vez hace más de 20 años y desde entonces se lo ha
reconocido ampliamente, en especial en el sector de los servicios financieros donde se originó. La IIA lo adoptó
formalmente en la declaración de posición “Las tres líneas de defensa en gestión de riesgos y control eficaces”
publicada en 2013, y desde entonces la promocionó como una herramienta valiosa para los encargados del
gobierno. Su atractivo yace en las explicaciones simples y directas de los distintos roles y actividades que
involucran la gestión de riesgos y el control (sin tener en cuenta el gobierno en un sentido más amplio), y su valor
está en que ayuda a las organizaciones a evitar la confusión, la duplicación y las brechas al asignar
responsabilidades para esos roles y actividades.

Gráfico tomado de la declaración de posición del IIA Las tres líneas de defensa en gestión de riesgos y control eficaces publicada
en 2013, adaptada de la Guía emitida por ECIIA/FERMA sobre la 8.a Directiva de Derecho de Sociedades de la UE, artículo 41

Mucho ha cambiado desde la formulación inicial del modelo, incluida la naturaleza de las organizaciones y los
entornos en los cuales operan, el rol y el posicionamientos de las tres “líneas”, y la contribución al éxito de la
organización por parte de la auditoría interna. La confianza en las organizaciones se ha deteriorado en los últimos
años debido a una serie de escándalos y crisis. Si se pueden abordar las deficiencias del modelo, las Tres líneas de
defensa puede ayudar a que las organizaciones recuperen esa confianza y alcancen sus objetivos del modo más
conveniente para cubrir las necesidades y los intereses de las partes interesadas.

A.2 Evaluación del modelo de las Tres líneas

El modelo cosechó críticas durante años a causa de sus limitaciones para abordar la complejidad de las
organizaciones modernas. Además, el gráfico familiar, elaborado y promocionado para ilustrar el modelo, se ve
como un refuerzo de esas limitaciones. Se han propuesto diversas variaciones al modelo, pero ninguna tuvo una
adopción significativa.
Más que necesitar un rediseño total, el modelo actual tiene fortalezas que se pueden ampliar y mejorar para cubrir
las necesidades de las organizaciones con más éxito todavía.

4
 Fortalezas del modelo de las Tres líneas de
Oportunidades de desarrollo
defensa
Es simple, fácil de comprender y fácil de comunicar. Mantener estas cualidades.

Brinda un enfoque en la importancia de la gestión de Contextualizar la gestión de riesgos y el control como

riesgos y del control eficaces. parte del gobierno, apoyando el éxito organizacional y
la creación de valor.
Respaldo de los esfuerzos de una organización al Alentar un enfoque proactivo y reactivo en el avance
responder a oportunidades y amenazas. hacia los objetivos de una organización.

Ofrece una base para lograr claridad y eficacia al Hacer hincapié en la importancia de la coordinación y
organizar las actividades y los recursos de gestión de la colaboración alineadas con prioridades estratégicas
riesgos y control. y necesidades operativas.
Describe los roles que desempeñan cada una de las Aportar claridad adicional a los roles y las
funciones clave y las partes interesadas externas responsabilidades de las funciones individuales y a su
relevantes respecto de la gestión de riesgos y del contribución conjunta al gobierno, al éxito
control. organizacional y a la creación de valor.
Describe una forma de estructurar las funciones clave. Resaltar las oportunidades de una adopción más
flexible y ágil del modelo.

Se ha adoptado ampliamente, en especial por Considerar diferencias organizacionales, en especial

organizaciones y organismos de control en servicios respecto del tamaño, del sector y de la madurez;
financieros. demostrar relevancia; y permitir una adopción
inmediata por parte de cualquier organización.
Reconoce los roles de los auditores externos y los Tener en cuenta otras partes interesadas externas y su
organismos de control en la gestión de riesgos y el contribución al gobierno, al éxito organizacional y a la
control. creación de valor sin complicar en exceso el modelo.
Permite una explicación rápida del rol de la auditoría Ampliar la descripción para abarcar el rol de la
interna como la “tercera línea de defensa”. auditoría interna como un socio estratégico y un
asesor de confianza.
Proporciona un enfoque útil para realizar análisis Tener en cuenta y explicar “las líneas desdibujadas” y
acerca de la independencia, de la objetividad y del describir protecciones adecuadas.
aseguramiento.
Se ilustra con un gráfico simple y conocido. Mejorar la representación gráfica para reflejar la
evolución y la mejora del modelo en sí.

5
 B. Gobierno: la clave del éxito organizacional

B.1 Por qué existen las organizaciones

Las organizaciones se crean para cumplir con un objetivo y entregar resultados deseables definidos mediante
necesidades e intereses específicos de las partes interesadas y también para crear valor al transformar diversas
entradas en nuevas salidas 1, 2. Las partes interesadas transmiten autoridad y activos a un órgano de gobierno para
que se haga cargo de la organización en su nombre; a ellas les interesan no solo las salidas y los resultados, sino
también cómo se logran 3. Por sobre todo, las partes interesadas esperan que la organización alcance sus metas de
manera eficaz, eficiente, sostenible y ética mediante decisiones, acciones, comportamientos y resultados
apropiados.
Las organizaciones no funcionan en un vacío, sino que están influenciadas y moldeadas por factores económicos,
sociales, políticos, ambientales, tecnológicos, físicos y otros. Estos factores incluyen incertidumbre, cambio,
complejidad, subjetividad, sesgo, interés propio, competencia por recursos finitos y límites en la capacidad y las
capacidades, y a menudo son fuentes de oportunidades y amenazas. Las organizaciones adoptan medidas
apropiadas y específicas para sortear estos factores y mantener sus decisiones, acciones, comportamientos y
resultados en línea con las necesidades y los intereses de las partes interesadas, y así optimizar el desempeño
general.

B.2 De qué forma el gobierno alienta el éxito organizacional y la creación de valor

Estos son algunos ejemplos de medidas diseñadas para abordar oportunidades y amenazas:
Intervención de las partes interesadas Administración de recursos Cultura ética
Liderazgo ético Liderazgo eficaz Dirección
Priorización Delegación de recursos Fijación de objetivos
Separación de responsabilidades Especialización División de trabajo
Procesos para lidiar con la incertidumbre Procesos para lidiar con el cambio Indicadores de rendimiento
Supervisión y elaboración de informes Desafío para expertos Fijación y pruebas de políticas
Evaluación independiente Aseguramiento independiente Asesoramiento independiente

Estas medidas contribuyen con un gobierno eficaz y posibilitan el éxito organizacional y la creación de valor 4.
Sirven no solo para promover resultados alineados con los intereses de las partes interesadas, sino también para
mantener decisiones, acciones y comportamientos igualmente alineados.

1 La palabra “organización” en este documento se usa para referirse a cualquier entidad formalmente constituida, sin importar
el tamaño, el sector, la propiedad y la forma de control (desde el negocio familiar más pequeño hasta el conglomerado
multinacional más grande, además de departamentos y organismos gubernamentales locales, municipales y centrales).
2 El término “parte interesada” en este documento se usa para referirse a cualquier parte que tenga un interés o una

participación en las actividades de una organización.

3 El término “órgano de gobierno” en este documento se usa para referirse a un individuo o un grupo de individuos encargados

del gobierno y con la responsabilidad final de todos los aspectos de la organización, más allá de cómo esté constituido, incluidos
consejos de administración de un solo nivel o de múltiples niveles, consejos y órganos similares. También se utiliza para incluir a
cualquier comité del órgano de gobierno, como el comité de auditoría.
4 La palabra “gobierno” en este documento se usa conforme a la definición del Marco Internacional para la Práctica

Profesional® (MIPP®) del IIA incluida en el glosario, que es “la combinación de procesos y estructuras implementados por el
consejo de administración para informar, dirigir, gestionar y supervisar las actividades de la organización en pos de alcanzar sus
objetivos”.

6
 Incluso habiendo implementado medidas de gobierno adecuadas, no es posible predecir eventos futuros con
precisión total ni con garantía de éxito. En cambio, se apunta a optimizar la eficacia, y la responsabilidad, de la
toma de decisiones y las acciones, facilitar el comportamiento ético y gestionar la incertidumbre a fin de reducir la
variabilidad en todo el desempeño y operar centro de un rango aceptable de resultados.
Las medidas de gobierno enumeradas arriba pueden agruparse rápidamente en cuatro conjuntos superpuestos y
complementarios de roles y actividades relacionadas:
• Liderazgo y supervisión.
• Ejecución de estrategias.
• Respaldo, guía y control.
• Aseguramiento objetivo y asesoramiento.

La asignación de responsabilidad para estos roles y actividades en una organización es una de las tareas del órgano
de gobierno al establecer procesos y estructuras de gobierno, asegurando el cumplimiento de requisitos
legislativos y reglamentarios. Las organizaciones varían considerablemente y cambian con el tiempo, pero hay
elementos estructurales comunes que se alinean ampliamente con los conjuntos de roles y actividades de
gobierno:
• La responsabilidad de liderazgo y supervisión se asigna a un órgano de gobierno.
• El órgano de gobierno delega la responsabilidad de la ejecución de estrategias a la dirección.
• Dentro del ámbito de responsabilidad de la dirección, se establecen funciones separadas que brindan
apoyo, guía y control respecto del riesgo, de la calidad, del control y del cumplimiento.
• La auditoría interna independiente brinda aseguramiento objetivo, percepción y, a menudo,
asesoramiento también.

Dentro de este enfoque general, posiblemente haya individuos, equipos y funciones que tengan responsabilidades
que abarquen dos o más conjuntos de roles y actividades de gobierno. Esto se analiza en la sección D.2, “Líneas
desdibujadas”.

C. Contribución al éxito organizacional y a la creación de valor

C.1 Construir sobre el modelo

Los elementos estructurales comunes descritos anteriormente se alinean de cerca con los componentes familiares
del modelo de las Tres líneas de defensa, pero permiten que se superpongan y desdibujen. Existe una relación
mucho más cercana entre todos los elementos que lo sugerido en el gráfico familiar de la página 3.

C.1.1 Órgano de gobierno

Las partes interesadas le entregan al órgano de gobierno la responsabilidad general de la administración de la
organización, su cultura, bienes, actividades, desempeño, interacción con otras organizaciones e individuos,
impacto ambiental, elaboración de informes, etc. De ese momento en adelante, las partes interesadas
comúnmente tienen acceso directo limitado a decisiones estratégicas y operativas. Esta separación de propiedad y
gobierno requiere medidas para asegurar que el órgano de gobierno dirija la organización de acuerdo con las
necesidades y los intereses de sus partes interesadas, respetando los requisitos de las leyes y las regulaciones, y
conforme a las expectativas sociales y culturales. Esto requiere integridad, transparencia y responsabilidad junto
con intervención regular de las partes interesadas, además de exámenes minuciosos e informes independientes.

7
 Por eso, los roles clave del órgano de gobierno incluyen:
• Establecer y mantener una cultura ética, liderar con el ejemplo y crear la imagen de la gerencia.
• Interactuar con las partes interesadas para asegurar la alineación de decisiones, acciones,
comportamientos y resultados con sus intereses de un modo eficaz, efectivo, sostenible y ético.
• Proporcionar liderazgo ético y estratégico para la organización y fijar una dirección estratégica.
• Establecer procesos, responsabilidades y estructuras generales.
• Establecer comités del órgano de gobierno, según se requiera.
• Establecer metas para el desempeño en su conjunto y determinar variaciones y tolerancias aceptables.
• Delegar recursos y autoridad a la dirección y la auditoría interna.
• Aprobar políticas diseñadas por funciones de riesgo, calidad, control y cumplimiento.
• Supervisar el desempeño.
• Revisar informes y aseguramiento recibidos de todas las funciones.
• Informar respecto de decisiones, acciones, comportamientos y resultados a las partes interesadas y las
autoridades apropiadas.

C.1.2 Dirección
El órgano de gobierno normalmente delega la responsabilidad de la ejecución de la estrategia a la dirección y
asigna los recursos apropiados. La separación entre gobierno y ejecución de estrategia puede no estar bien
definida según el tipo de modelo de gobierno y el grado hasta el cual la dirección participa en el gobierno y
viceversa.
Junto con la dirección hay diversas funciones de apoyo que se consideran parte de la dirección, incluso cuando
pueden estar tercerizadas. Finanzas y contabilidad, recursos humanos y TI, por ejemplo, normalmente respaldan la
dirección con servicios complementarios.
Se proporciona asistencia a la dirección desde riesgos, calidad, control y cumplimiento, y auditoría interna. Sin
embargo, la dirección es responsable de los riesgos, y del diseño y de la implementación de controles, además del
manejo de la incertidumbre asociada con la ejecución de estrategias dentro de variaciones acordadas en
desempeño y, si bien esto no se puede garantizar con absoluta precisión, la dirección espera seguir los pasos
necesarios para tener la mayor probabilidad de éxito.
Las responsabilidades clave de la dirección incluyen:
• Alcanzar los objetivos organizacionales.
• Tomar decisiones, emprender acciones, mantener una conducta personal y entregar resultados alineados
con las necesidades y los intereses de las partes interesadas de manera eficiente, eficaz, ética y sostenible
dentro del rango de variaciones y tolerancias aprobado por el órgano de gobierno.
• Evaluar factores internos y externos que pueden repercutir (de manera positiva o negativa) en las
decisiones, las acciones, los comportamientos y los resultados.
• Establecer y poner en funcionamiento sistemas de controles y equilibrios diseñados para mantener el
desempeño dentro del rango aceptable de variaciones y tolerancias.
• Mantener los controles y equilibrios al día en el contexto del entorno operativo actual y posible a futuro, y
modificarlos si resultan ser ineficaces o defectuosos, o relajarlos o eliminarlos si dejan de ser necesarios.
• Tomar acciones correctivas cuando las decisiones, las acciones, los comportamientos y los resultados no
alcanzan a cubrir las expectativas.
• Contribuir con el diseño y el desarrollo de políticas con funciones de riesgo, calidad, control y
cumplimiento, e implementar y asumir responsabilidad por esas políticas.
• Comunicar la dirección recibida del órgano de gobierno hacia abajo y en toda la organización.
• Fijar tácticas e indicadores de rendimiento.

8
 • Supervisar y analizar la actividad.
• Comunicar el desempeño y los pronósticos al órgano de gobierno y brindar aseguramiento.

C.1.3 Funciones de riesgo, calidad, control y cumplimiento

Como parte de la función de dirección más amplia, las funciones de riesgo, calidad, control y cumplimiento brindan
supervisión táctica, orientación, apoyo, desafío y control al trabajar con la dirección y están especializados para
aprovechar conocimiento y habilidades específicos. Desarrollan y prueban políticas aprobadas por el órgano de
gobierno que están diseñadas para mantener el desempeño dentro del rango de variaciones y tolerancias
aceptables tal como lo define el órgano de gobierno. El desarrollo, la supervisión y la mejora continua de políticas
puede incluir y sacar provecho de la participación de la dirección, así como de la auditoría interna. Las variaciones
y las tolerancias en el desempeño son imposibles de evitar y se suelen reconocer como potencialmente valiosas
cuando se comprenden y gestionan con cuidado y de manera oportuna. En algunas instancias, es la misma función
de riesgo, calidad, control o cumplimiento la que aprueba determinadas acciones y, de este modo, actúa como un
control.
Las responsabilidades de estas funciones generalmente incluyen respaldar las políticas de gestión, definir roles y
responsabilidades y fijar metas para implementación. Las tareas específicas pueden incluir:
• Analizar problemas conocidos e identificar los emergentes que puedan afectar las decisiones, las acciones,
los comportamientos y los resultados.
• Identificar cambios en la aceptación implícita de variaciones y tolerancias en el desempeño por parte de la
organización.
• Colaborar con la dirección en el desarrollo de enfoques de riesgo, procesos y controles para alinear el
desempeño con los objetivos estratégicos, e identificar cuando los controles dejan de ser necesarios y se
pueden relajar o retirar por completo.
• Brindar orientación y capacitación en procesos de gestión de riesgos, control y gobierno.
• Facilitar y supervisar la implementación de prácticas de gestión de riesgos eficaces por parte de la
dirección.
• Alertar a la dirección ante problemas emergentes y cambiar los requisitos reglamentarios.
• Supervisar la adecuación y la eficacia del control interno, la precisión e integridad de los informes, el
cumplimiento de leyes y regulaciones, y la corrección oportuna de deficiencias.

C.1.4 Auditoría interna independiente

La misión de la auditoría interna es “mejorar y proteger el valor de la organización al brindar aseguramiento
objetivo y basado en riesgos, asesoramiento y perspectiva” y es un colaborador directo para permitir que la
organización alcance su objetivo (es decir, creación de valor) 5.
Mientras sea parte de la organización, la auditoría interna puede ofrecer aseguramiento objetivo creíble sobre la
adecuación y la eficacia de controles, procesos y estructuras diseñados para respaldar un buen gobierno. El órgano
de gobierno necesita aseguramiento objetivo para poder ejercer su rol de supervisión de manera eficaz. Además
de la independencia estructural, la objetividad de la auditoría interna es posible al tener y aplicar una mentalidad
objetiva, y al cumplir con procesos rigurosos y sistemáticos y alinearse con las normas profesionales. El rol de la
auditoría interna no reemplaza la obligación de la dirección de supervisar el desempeño e informar al órgano de
gobierno, pero es un complemento esencial. Ciertas estructuras de respaldo y de informes son necesarias para
asegurar el acceso de la auditoría interna a todos los recursos, personal y registros necesarios para que pueda

5 El Marco Internacional para la Práctica Profesional® (MIPP®) del IIA

9
 llevar a cabo su trabajo, además de una línea de informes directa con el órgano de gobierno para asegurar su
independencia.
El plan de trabajo de la auditoría interna debe estar claramente alineado con las prioridades estratégicas y las
necesidades operativas de la organización, y aportar un punto de vista autorizado, creíble y objetivo sobre la
adecuación y la eficacia del gobierno y de todos los controles y equilibrios que esto incluye, además de identificar
oportunidades y amenazas que puedan surgir.
Las responsabilidades de la auditoría interna pueden incluir:
• Brindar aseguramiento, opiniones, percepción y asesoramiento sobre la adecuación y la eficacia del
gobierno, la gestión de riesgos y el control interno.
• Realizar auditorías internas basadas en el riesgo y revisiones alineadas con prioridades estratégicas y
necesidades operativas.
• Proporcionar aseguramiento, opiniones, percepción y asesoramiento sobre la eficiencia y la eficacia de las
operaciones, incluida la protección de activos y sobre la confiabilidad e integridad de los procesos de
informes.
• Brindar aseguramiento y opiniones sobre las funciones de cumplimiento de la organización y su
cumplimiento respecto de leyes, regulaciones, políticas, procedimientos y contratos.
• Evaluar la influencia de la cultura y el comportamiento organizacionales.
• Contribuir con el desarrollo de políticas.
• Consultar al órgano de gobierno y a la dirección respecto de oportunidades y amenazas emergentes.
• Responder al órgano de gobierno y a la dirección.

C.1.5 Contribución al éxito organizacional: otros organismos

Además de los elementos estructurales internos, las organizaciones recurren a organismos externos (auditores
externos, instituciones máximas de auditoría y organismos de control, entre otros) para respaldar la creación de
valor. Las partes interesadas obtienen importantes beneficios como resultado, por ejemplo, mayor confianza en la
precisión de los informes contables y tranquilidad de que los líderes de la organización se hacen responsables. Es
importante reconocer los roles que desempeñan estos organismos externos como posteriores colaboradores del
gobierno, la gestión de riesgos y el control, y de decisiones, acciones, comportamientos y resultados eficaces que
impliquen un progreso hacia las metas, y para seguir alineados con los intereses y las necesidades de las partes
interesadas.

Auditores externos/SAI
Los auditores externos aportan un nivel adicional de aseguramiento independiente para las partes interesadas en
cuanto a la precisión de los informes contables de una organización y los sistemas que los sustentan. Las
instituciones máximas de auditoría (SAI) llevan a cabo este rol en el sector público y también realizan auditorías de
cumplimiento y de desempeño, y pueden tener mandatos de inspección y jurisdiccionales adicionales. Es
responsabilidad del órgano de gobierno brindar supervisión del trabajo de auditoría externa o de SAI y recibir
informes. Es importante asegurar que la planificación de la auditoría interna y de las SAI se coordine con la de la
auditoría interna para permitir la integración y un intercambio de beneficio mutuo. A medida que las
organizaciones avanzan hacia formas ampliadas de elaboración de informes externos que reflejan capitales
financieros y no financieros, existe la oportunidad de incluso un mayor valor para las partes interesadas, además
de necesidades adicionales de aseguramiento, tanto de la auditoría interna como de la externa.

Organismos de control
Los organismos de control aplican y supervisan reglas diseñadas para mejorar la transparencia y la responsabilidad
en diversas áreas, incluidos informes contables, medio ambiente, salud y seguridad, privacidad, trabajo y otros. Se
pone especial atención en las grandes instituciones financieras debido a la importancia que tienen para la

10
 economía en su conjunto. Normalmente, las regulaciones fijan expectativas que las organizaciones deben seguir y
que se aplican mediante un proceso de inspección, revisión, informes y sanciones. Los organismos de control
financiero en muchos países han adoptado en gran medida las Tres líneas de defensa como modelo de gobierno
eficaz, gestión de riesgos y control porque ofrece una plantilla bastante simple y clara para organizar y gestionar
esas actividades y recursos.

Responsabilidad, inspección, supervisión, vigilancia y evaluación

En algunos contextos del sector público, como instituciones financieras multilaterales (por ejemplo, bancos de
desarrollo), en especial dada la ausencia de un organismo de control, puede haber roles adicionales a los que se
hace referencia de distintas formas, como responsabilidad, inspección, supervisión, vigilancia y evaluación. Se
pueden incluir como parte de las atribuciones de riesgo y cumplimiento o de auditoría interna, o bien se pueden
asignar a distintas funciones que usualmente responden al órgano de gobierno, directamente o a través de un
comité. Esos informes también se pueden compartir con el público. El enfoque de este trabajo tiende a ser sobre
políticas, además de los impactos externos (en especial los ambientales y sociales) de las iniciativas a gran escala.
El deseo de alcanzar un grado mayor de independencia, además de la naturaleza especializada de la supervisión y
la evaluación conduce a la creación de funciones separadas o la tercerización de la actividad.

C.2 Un enfoque coordinado

La aplicación exitosa de los principios que sustentan el modelo depende de los elementos individuales que operan
con un alto grado de coordinación para evitar el pensamientos aislado y la actividad no alineada con las
prioridades estratégicas y las necesidades operativas de la organización. Los beneficios de un enfoque coordinado
incluyen: ganancias en eficiencia y eficacia lo que conduce a planificación, ejecución, supervisión y elaboración de
informes de manera más consistente y oportuna; un panorama único y más claro de la adecuación y la eficacia de
gobierno; el hecho de evitar el agotamiento por la elaboración de informes y el aseguramiento; y mejor gobierno
en general.
Al diseñar y establecer sus estructuras y procesos de gobierno, el órgano de gobierno debe asegurar que todas las
funciones comprendan claramente los roles y las responsabilidades, esto respaldado por interacción y
comunicación regulares. Es importante reconocer el valor de un esfuerzo sostenido y coordinado. Sin esto, puede
existir una tendencia a perder la alineación y la organización será vulnerable a confusión, brechas, duplicación de
esfuerzos y un debilitamiento general del éxito organizacional y la creación de valor.
La comunicación regular es, a menudo, la clave para una coordinación eficaz. Una mayor integración también se
puede alentar de los siguientes modos:
• Asegurar que los objetivos individuales, grupales y departamentales estén alineados con las prioridades
estratégicas y las necesidades operativas de la organización.
• Asegurar una comprensión común del propósito y los roles de cada parte de la organización.
• Establecer un vocabulario común para describir aspectos de gobierno, gestión de riesgos y control.
• Usar sistemas de calificación o medición comunes en todas las funciones.
• Compartir recursos, incluidos expertos en el tema, entre las funciones.
• Aprovechar datos y tecnología para facilitar la captura, el análisis y la comunicación de percepciones.
La auditoría interna puede desempeñar un rol importante a la hora de liderar los esfuerzos tendientes a un
enfoque más integrado. Esto incluye el mapeo de aseguramiento para garantizar que la cubertura en toda la
organización a cargo de diversas funciones y otros organismos (tanto internos como externos) sea consistente,
adecuada, eficiente, confiable y alineada. Los esfuerzos de los distintos proveedores de aseguramiento deberían
sumarse y coordinarse para lograr el máximo efecto. Como principal proveedor de aseguramiento objetivo, la
auditoría interna puede ser la indicada para brindar mejor gestión de aseguramiento en la organización y actuar
como garante de que el órgano de gobierno y la organización en su conjunto reciban el nivel necesario de
aseguramiento en todas las actividades y capacidades.

11
 D. Escalabilidad, madurez, estructuración y “líneas desdibujadas”
D.1 Escalabilidad
El análisis actualizado propuesto en este documento permite un enfoque más flexible y adaptable para la
aplicación de principios que sustentan el modelo y aumenta su relevancia para una gran cantidad de
organizaciones.
Las organizaciones más pequeñas, menos maduras y no tan altamente reguladas gozan de ciertos beneficios que
facilitan mantener las decisiones, las acciones, los comportamientos y los resultados alineados con los intereses y
las necesidades de sus partes interesadas. Las partes interesadas principales posiblemente sean menos en
cantidad, lo que torna más sencillo hacer un seguimiento y conocer sus expectativas, y mantenerlas actualizadas
en cuanto al desempeño. Es probable que haya una mayor participación en el gobierno de las partes interesadas y
de los miembros del órgano de gobierno en las actividades de gestión. En términos generales, la organización y su
entorno operativo pueden ser menos complejos y más fáciles de supervisar en forma total y de manera más
directa por el órgano de gobierno, y con menos necesidad de confiar en informes de terceros.
En consecuencia, una organización pequeña bien puede adoptar una forma del modelo con una combinación
mucho mayor de roles y actividades de gobierno. También puede existir una separación limitada dentro de la
dirección para formar funciones distintas de riesgo, calidad, control y cumplimiento, y estas, en cambio, estar más
integradas con operaciones o incluidas en la auditoría interna.
En cambio, a medida que las organizaciones crecen, se tornan más complejas y sujetas a más regulaciones, y
buscan una mayor diferenciación de otras organizaciones del mismo segmento, el alcance para explotar de lleno la
interpretación más amplia y renovada del modelo se acentúa todavía más. A medida que los recursos aumentan, lo
mismo sucede con las oportunidades de especialización y la separación de responsabilidades. Se pueden dedicar
recursos más especializados a actividades de riesgo, calidad, control y cumplimiento, y a la auditoría interna.
En todos los casos, la forma particular de adopción del modelo debería mantenerse en revisión habitual de parte
del órgano de gobierno respetando los requisitos estipulados por los organismos de control y las expectativas de
las partes interesadas. El equilibrio de prioridades entre la protección de valor y la creación de valor, el grado de
combinación en la separación de los conjuntos de roles y actividades de gobierno, y la distribución relativa de
recursos entre funciones debería variar según cambien las necesidades y las circunstancias.

D.2 “Líneas desdibujadas”

Una de las críticas al modelo de las Tres líneas es que no contempla, ni explica, las “líneas que se desdibujan”. El
gráfico incluido en la declaración de posición de 2013 muestra todos los elementos claramente separados unos de
otros. En muchas circunstancias, la separación entre ellos no siempre es tan evidente, lo que plantea la pregunta
de qué impacto puede tener esto en la eficacia de gobierno.
El análisis en este documento permite oportunidades en abundancia de roles y actividades complementarios y
superpuestos, lo que reconoce que la función de auditoría interna puede aportar valor en roles que no son de
aseguramiento, siempre que haya una evaluación clara del impacto potencial en la eficacia de gobierno. También
se deben considerar las protecciones. En teoría, el órgano de gobierno puede asignar responsabilidad para los
roles y las actividades que involucran gobierno a cualquier individuo, equipo o función de la organización o a un
proveedor externo de servicios. Al agrupar responsabilidades relacionadas, es posible minimizar la duplicación,
generar ahorros y eficiencias, acortar las líneas de comunicación, reducir la carga para la dirección y el órgano de
gobierno en cuanto a recibir múltiples informes, e implementar recursos con resultados óptimos. Al mismo
tiempo, es importante identificar la combinación de responsabilidades potencialmente contrapuestas que podrían
repercutir en la eficacia general del gobierno a largo plazo. El órgano de gobierno debe tomar una decisión
informada al analizar las ventajas y las desventajas de distintas opciones estructurales.

12
 “Desdibujar”, en lo que atañe a la función de auditoría interna, exige especial atención, dada la importancia de la
independencia estructural por su capacidad para ofrecer aseguramiento objetivo creíble sobre todos los aspectos
de la organización. 6 La función puede proporcionar una combinación de servicios de aseguramiento y que no estén
relacionados con el aseguramiento conforme a las necesidades de la organización. El asesoramiento y otros
servicios que no son de aseguramiento pueden incluir:
• Acordar decisiones de gestión.
• Hacer recomendaciones.
• Orientar sobre circunstancias actuales y acciones futuras.
• Participar en iniciativas de cambio.
• Brindar capacitación sobre temas relacionados con el riesgo.
• Liderar sesiones de autoevaluación de control con la dirección.
• Asumir responsabilidades gerenciales de tanto en tanto.
Cuando la auditoría interna brinda servicios que no son de aseguramiento, el director ejecutivo de auditoría (DEA),
en consulta con el órgano de gobierno, debería evaluar si esto crea algún conflicto con la capacidad de la función
de proporcionar aseguramiento objetivo creíble y considerar protecciones apropiadas, que pueden incluir:
• Informar al órgano de gobierno los trabajos que no son de aseguramiento que se le ha solicitado realizar a
la auditoría interna o las responsabilidades gerenciales que se le ha solicitado asumir, y comunicar el
impacto que esto puede tener en la capacidad de la función de brindar aseguramiento objetivo creíble en
toda la organización.
• Garantizar que los roles que no son de aseguramiento estén claramente definidos y, cuando sea posible,
que sean de tiempo limitado.
• Evitar asumir responsabilidad por decisiones de gestión y riesgos y controles asociados.
• Implementar medidas, como un período de “enfriamiento” o el uso de recursos tercerizados, al auditar un
área en la cual la auditoría interna ha tenido un trabajo significativo y reciente en una capacidad gerencial
o de asesoramiento.
En algunas organizaciones, existe una combinación de responsabilidades de auditoría interna con aspectos de
riesgo, calidad, control y cumplimiento. Esto ocurre, por ejemplo, cuando al DEA se le asigna la responsabilidad de
la gestión de riesgo empresarial o cuando el encargado de riesgo o cumplimiento responde al DEA. Es de vital
importancia que haya protecciones eficaces en esas circunstancias. La supervisión extra del órgano de gobierno de
las responsabilidades que no son de aseguramiento del DEA pueden ser una protección eficaz.

Referencias
IFAC, 2015, From Bolt-On to Built-In: Managing Risk as an Integral Part of Managing an Organization.
The IIA, 2013, The Three Lines of Defense in Effective Risk Management and Control.
IIA–Netherlands, 2014, Combining Internal Audit and Second Line of Defense Functions?
The IIA Research Foundation, 2015, Combined Assurance: One Language, One Voice, One View.

6 “Independencia” y “objetividad” son conceptos relacionados pero diferentes. Aquí se utilizan conforme al glosario del MIPP en
el cual “independencia” se define como “la libertad de condiciones que amenazan la capacidad de la actividad de auditoría
interna de cumplir con las responsabilidades de auditoría interna de manera no sesgada” y se logra eficazmente cuando el DEA
responde al órgano de gobierno. “Objetividad” se define como “una actitud mental imparcial que les permite a los auditores
internos realizar los trabajos de forma tal que tengan confianza en sus resultados y sin comprometer la calidad. La objetividad
exige que los auditores internos no subordinen su juicio al de otros en cuestiones de auditoría”.

13