3er Congreso Nacional de Auditoría Interna CONAI Mayo 29, 2014 Las Tres Líneas de Defensa: para una Efectiva Gestión de Riesgo y Control
Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgo y Control Renato Trisciuzzi CIA, CCSA, CRMA, CPA, MSc. Board Member IIA Global
Sobre el conferencista Renato Trisciuzzi Board Member IIA Global 22 años de experiencia. 10 años jefe de auditorías internas. INVEPAR, FICAP/NEXANS, Embratel/CLARO, Santander, VIVO/Telefónica, DELOITTE. Audit Partner RTA Auditors Associate y RESGUARDA key manager account representant. Chairman of the Board IIA Brasil Professor de la Universidad Veiga de Almeida Ilumino Red.
La Falta de Conocimiento en la Parte Superior Revista EXAME Gestión 15/03/2013 - Pág.: 96
Auditoría interna - Un Pilar del Buen Gobierno La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.
La auditoría interna es parte integral de la gobernanza de la organización ASEGURAMIENTO - sobre los procesos de gobierno, gestión de riesgos y control interno para ayudar a la organización a alcanzar sus objetivos estratégicos, operacionales, financieros y de cumplimiento.
La auditoría interna es parte integral de la gobernanza de la organización INSIGHT (VISIÓN) es el catalizador para mejorar la eficacia y eficiencia de la organización, proporcionando su visión experta y recomendaciones basadas en el análisis y evaluación de los datos y procesos de negocio.
Efectiva GRyC: Principios fundamentales aplicables a todas las organizaciones 1. Debe tener un comité de auditoría, o equivalente, fuerte y eficaz. 2. Debe tener una responsabilidad bien definida en materia de gestión de riesgos y control. 3. Tener una Auditoría Interna debidamente estructurado y operar de acuerdo con las normas (IPPF). 4. Las líneas de reporte (jerárquica) de la Auditoría Interna deben aumentar la independencia.
El modelo de 3LoD distingue entre tres grupos (o líneas) que participan en la gestión eficaz de los riesgos I. Funciones de gestionar y tienen la propiedad de los riesgos. II. Funciones de supervisión de riesgos. III. Funciones que proporcionan opiniones independientes.
Las Tres Líneas de Defensa
El modelo de 3LoD distingue entre tres grupos (o líneas) que participan en la gestión eficaz de los riesgos y controles
Primera línea de defensa: GESTIÓN OPERATIVA Los gestores operativos tienen que gestionar los riesgos operativos y tienen la propiedad sobre ellos. Ellos también son responsables de implementar acciones correctivas para hacer frente a las deficiencias en los procesos y controles.
Primera línea de defensa: GESTIÓN OPERATIVA La gestión operativa es responsable de mantener un control interno eficaz y procedimientos para realizar análisis de riesgos y control de todos los días (momentos o eventos).
Primera línea de defensa: GESTIÓN OPERATIVA La gestión identifica el funcionamiento, evalúa, gestiona y mitiga riesgos guiando desarrollo e implementación de políticas y procedimientos para garantizar que las actividades están en consonancia con las metas y objetivos de la organización.
Segunda línea de defensa: Funciones de Gestión de Riesgo, Cumplimiento o otras. La Alta Administración estabelece diversas funciones de gestión de los riesgos y conformidad para ayudar el desarrollo y/o monitoreo de los controles de la primeira linha de defensa. Las funciones pueden cambiar para cada tipo de organización y/o sectores, pero funciones tradicionales de 2LoD, incluye:
Segunda línea de defensa: Funciones de Gestión de Riesgo, Cumplimiento o otras. Una función (y/o comité) de gestión de riesgos que facilite y monitoree la implementación de las prácticas eficaces de gerenciamiento de riesgos por parte de la gerencia operativa y ayude los dueños de los riesgos a definir la meta de exposición al riesgo y reportar adecuadamente información relacionadas a los riesgos en toda la organización.
Segunda línea de defensa: Funciones de Gestión de Riesgo, Cumplimiento o otras. Una función de compliance que monitoree diversos riesgos específicos, tales como no conformidad con las leyes y reglamentos del sector. Una función de contraloría que monitore los riesgos financieros y de reporte financeiro. Salud, Laboral, Cualidad, Seguridad, IT, etc...
Segunda línea de defensa: Funciones de Gestión de Riesgo, Cumplimiento o otras. 2LoD define objetivo, establece reglas y modo operativo, cambios, etc. para la 1LoD poner em práctica. La 2LoD tienen su nivel de independência con la primeira, pero son, por naturaleza, funciones de gestión.
Segunda línea de defensa: Roles. Apoyo a las políticas de gestión, definir las funciones y responsabilidades, y establecer objetivos para la implementación. Proporcionar estructuras de gestión del riesgo. Identificar los problemas actuales y emergentes. Identificar los cambios en el apetito por el riesgo implícito de la organización. Asistir a la gerencia para desarrollar procesos y controles para la gestión de riesgos y problemas. Proporcionar orientación y capacitación sobre los procesos de gestión de riesgos. Facilitar y supervisar la aplicación de las prácticas eficaces de gestión de riesgos de la gestión operativa. Alertar a la gestión operativa de las cuestiones emergentes y los cambios en el entorno regulatorio y el riesgo. Supervisar la adecuación y eficacia de los controles internos, la exactitud y la integridad de la información, el cumplimiento de las leyes y reglamentos y la resolución oportuna de deficiencias.
Tercera línea de defensa: AUDITORÍA INTERNA Provee evaluaciones abrangentes a los Consejos (o similares) y a la Alta Gerencia, basadas en lo mayor nivel de independencia y objetividad dentro de la organización.
Tercera línea de defensa: AUDITORÍA INTERNA Proporciona revisiones sobre la eficacia de la gobernanza, la gestión de riesgos y controles internos, incluyendo la forma en la primera y segunda líneas de defensa a alcanzar los objetivos de la gestión de riesgos y control.
Tercera línea de defensa: AUDITORÍA INTERNA Proporciona evaluaciones específicas y puntuales de un riesgo o situación en particular (pasada o futura).
BUENAS PRÁCTICAS: 1. Los procesos de riesgo y control deben ser estructurados de acuerdo con el modelo de tres líneas de defensa. 2. Cada línea de defensa debe ser apoyado por las políticas y definiciones de los roles apropiados (documentados). 3. Debe existir una adecuada coordinación entre las diferentes líneas de defensa para promover la eficiencia y la eficacia.
BUENAS PRÁCTICAS: 4. Las funciones de riesgo y de control que operan en diferentes líneas deben compartir el conocimiento y la información de manera adecuada, para asistir a todas las funciones para un mejor desempeño de sus funciones de manera eficiente. 5. Las líneas de defensa no son para ser combinada o coordinada de una manera que afecta su eficacia.
BUENAS PRÁCTICAS: Controle Risco Governança Auditoria Interna 6. En situaciones en las que se combinan las funciones de las diferentes líneas, se debe aconsejar el órgano de gobierno con respecto a la estructura y su impacto.
BUENAS PRÁCTICAS: 7. En las organizaciones que no lo tiene actividad de auditoría interna establecida, debe ser requeridas que la gestión y / o órgano de gobierno que explique y dejen a conocer a sus grupos de interés (stakeholders), de cómo se considera para obtener la correcta evaluación de la eficacia de las estructuras de gobierno, gestión de riesgos y control de la organización.
3LoD ganando terreno, pero las diferencias se difuminan Source: Pulse of the Profession 2014 IIA Global. (1935 contestaron- 437 son US)
Sugerencias Adaptar la realidad de su organización, pero no se pierda la independencia y la objetividad de la auditoría interna. Ayude en la construcción/mejora de su organización, pero no sea lo responsable por todo (y ni para siempre).
Sugerencias No es lo suficiente tener las 3LoD. Él desafio es coordenar con eficacia y eficiencia estas líneas. Mire se las 3LoD dejaron brechas entre las funciones o existen duplicaciones sin necessidades en la cobertura de los riesgos.
Gracias por su Atención! PREGUNTAS
Muchas Gracias! <renato.trisciuzzi@terra.com.br>