GUÍA MODELO DE LAS TRES LÍNEAS

DE DEFENSA
 MODELO DE LAS TRES LÍNEAS DE DEFENSA

INTRODUCCIÓN

A partir de los diversos problemas que se presentaron en diferentes organizaciones y la

variedad de riesgos -con sus interrelaciones y complejidades- a los que hoy en día están
expuestas las organizaciones surge la necesidad de desarrollar modelos que les permitan
gestionar y supervisar el riesgo, así como exigir la rendición de cuentas a los directores y
administradores, y llevar a cabo una adecuada supervisión de todos los procesos,
asegurando los intereses de todas las partes interesadas en las organizaciones.

Pensando en esto, la ECIIA (European Confederation of Institutes of Internal Auditing, o

Confederación Europea de Institutos de Auditoría Interna) y el IIA (The Institute of Internal
Auditors, o Instituto de Auditores Internos de Estados Unidos) desarrollaron el Modelo de
las Tres Líneas de Defensa (3LoD Model) con el fin de integrar todas las funciones de
aseguramiento y control bajo un marco armónico que las hiciera funcionar integralmente,
en lugar de hacerlo de modo disperso. El modelo define los distintos roles que dentro del
gobierno corporativo deben realizar las funciones clave de control, así como la interacción
entre ellas, para convertirse en una estructura resistente que genera valor desde el
aseguramiento.

En el primer documento emitido por el IIA1 se define la estructura del modelo y se describe
cada una de las líneas de defensa. Posteriormente, el Instituto de Auditores Internos de
España elaboró un modelo complementario que explica detalladamente cómo implementar
el modelo, con herramientas y procedimientos de auditoría concretos.

El Marco de las Tres Líneas de Defensa plantea un desafío para la profesión de auditoría
interna, debido a que ofrece la oportunidad de posicionar definitivamente la profesión como
un área crucial para la gestión de la Organización. El auditor interno debe posicionarse en
el centro de la escena, y desarrollar su trabajo adecuadamente en cumplimiento con los
estándares y normas, y de esta manera garantizar éxito en todas las labores de la
Organización.

Este documento desarrolla en primera medida el concepto del modelo de tres líneas de
defensa, luego presenta cada línea de defensa, los entes externos, su implementación y su
impacto sobre las labores de auditoría interna. Esta información le permitirá a las
organizaciones y auditores internos conocer el Modelo de las Tres Líneas de Defensa, llevar
a cabo una implementación adecuada de acuerdo con las características de la Organización
y aprovechar las ventajas y beneficios que genera para la gestión de riesgos y auditoría
interna.

1
IIA. (2013). Declaración de posición: las tres líneas de defensa para una efectiva gestión de
riesgos y control.

www.auditool.org 2
 1. EL MODELO DE LAS TRES LÍNEAS DE DEFENSA -3LoD MODEL-

Actualmente, la mayoría de las organizaciones cuentan con áreas y personal especializado

para la gestión del riesgo y el control interno. Sin embargo, sus actividades están dividas y
distribuidas dentro de la Organización sin una adecuada coordinación y comunicación, por
lo que pueden existir brechas o espacios en la cobertura de los controles internos e incluso
generar duplicación o creación de actividades innecesarias. El modelo de las Tres Líneas
de Defensa proporciona una manera simple y efectiva para mejorar las comunicaciones en
la gestión de riesgos y control mediante la aclaración de las funciones y deberes esenciales
relacionados. El modelo clasifica las áreas funcionales y de responsabilidad de la empresa
y brinda una visión de las operaciones, y garantiza una adecuada supervisión y gestión del
riesgo, además de ser apropiado para cualquier Organización, independientemente de su
tamaño o complejidad.

El modelo distingue tres líneas de actividades que participan en una efectiva gestión y
supervisión de riesgos. La coordinación de las tres líneas de defensa permite mitigar de
una forma integral los riesgos. La primera línea está compuesta por el control de la
Gerencia, donde cada área operativa de la Organización pone en práctica la gestión de sus
propios riesgos y controles, para asegurar el cumplimiento de los objetivos de la
Organización a través de un adecuado Sistema de Control Interno; la segunda línea
contempla las funciones de supervisión de riesgos, controles y cumplimiento de políticas y
estándares establecidas por la Administración, abordando riesgos transversales, complejos
y específicos; ambas, primera y segunda línea, reportan a la Alta Dirección. Y en la tercera
línea está el aseguramiento independiente, la auditoría interna, que aporta supervisión
objetiva sobre las dos primeras líneas de defensa, evalúa el sistema de control Interno de
la Organización en su conjunto para identificar debilidades y recomendar mejoras. La
Auditoría Interna debe reportar a la Alta Dirección y a la Junta Directiva. Finalmente, y fuera
del marco de la Organización, se encuentran la auditoría externa y los organismos
reguladores, que no integran el sistema de control interno sino que lo examinan
independiente y externamente. El modelo completo se ilustra en la siguiente gráfica.

MODELO DE LAS TRES LÍNEAS DE DEFENSA

Tomado del documento emitido por la IIA: IIA Declaración de posición: las tres líneas de
defensa para una efectiva gestión de riesgos y control.
www.auditool.org 3
Cada una de las tres líneas juega un papel distinto dentro del marco de gobernabilidad de
la Organización, y considera primero las funciones esenciales de los organismos de
gobierno corporativo.

Las tres líneas de defensa deben contar con un nivel de separación e independencia
suficiente para no comprometer la efectividad del esquema general, y actuar
coordinadamente con el fin de maximizar su eficiencia y potenciar su efectividad. El modelo
tiene un grado elevado de sofisticación y complejidad. Por tanto, el IIA establece ciertos
principios orientativos para determinar si el grado de madurez de la Organización permite
avanzar hacia un modelo de Tres Líneas de Defensa o no. Estos requisitos son los
siguientes:

 Existencia de un Comité de Auditoría idóneo, capaz de monitorear el accionar de las

diferentes funciones de aseguramiento y su integración.
 Formalización de las responsabilidades por el mantenimiento de un Sistema de
Control Interno y la gestión de riesgos.
 La auditoría interna debe ser profesional y eficaz, haber logrado demostrar su
adhesión a las Normas Internacionales para el Ejercicio Profesional de la Auditoría
Interna, y el Director Ejecutivo de Auditoría Interna debe contar con la necesaria
independencia para ejercer sus funciones.

Si se intenta avanzar en un modelo de Tres Líneas de Defensa sin haber asegurado

previamente estas condiciones, es posible que el control interno de la Organización no
mejore sino que incluso se desmejore, al intentar confiar funciones más importantes a áreas
que no son idóneas ni confiables.

La implementación del modelo implica tanto ventajas como desventajas, que se derivan del
uso de una metodología más racional para la gestión de riesgos y control, y que también
significa ser más eficiente en los recursos y más confiable en los resultados, así como
asumir ciertas desventajas para la Organización y retos para la Auditoría Interna, que deben
tomarse en consideración al momento de tomar la decisión de adoptar este modelo.

Como ventajas del modelo de Tres Líneas de Defensa encontramos las siguientes:

 Es un modelo sólido: sólido significa que no presenta grietas. En el estado actual de

formulación de control interno existen grietas porque no está explícito el alcance de
las labores de cada una de las funciones de la segunda línea de defensa, es decir,
hasta dónde llega cada una de ellas. Esto produce ocasionalmente solapamientos en
las tareas, contradicciones entre las opiniones de diversas áreas y zonas grises.

 Es un modelo robusto: esta característica se percibe al advertir que la fuerza de las

distintas funciones de aseguramiento es mayor cuando actúan coordinadamente que
cuando cada una de ellas lo hace por separado.

www.auditool.org 4
  Es un modelo resistente: la resistencia deriva de su integralidad y de la confianza
que provee a la Dirección Superior saber que una diversidad de especialistas está
actuando coordinadamente a su servicio. Esto reduce sustancialmente la probabilidad
de que alguna o algunas de las tareas de aseguramiento resulten eliminadas o
debilitadas por no percibirse claramente su contribución al éxito de la Organización.

 Se genera un crecimiento dentro de la Organización que finalmente coloca a la

Auditoría Interna en el nivel de Alta Gerencia a la cual siempre aspiró y nunca llegó,
debido a que la auditoría interna es actualmente una función de Gerencia media
colocada en el más alto nivel del organigrama. El rol de evaluación de un marco de
control interno amplio que salvaguarde el cumplimiento de las metas operativas y
atienda a sus riesgos estratégicos puede, por fin, colocar a Auditoría Interna en un
nivel alto.

 Una vez implementado el modelo, las operaciones se hacen más eficientes, al

integrarse y fluir la operación y el control como parte del mismo engranaje y sin
oponerse el uno a la otra.

 La información mejora y se integra. Los diversos informes producidos por cada sector
de la Organización podrán ser consultados por el resto de forma oportuna para sus
necesidades.

 Se reducen los inconvenientes operacionales por riesgos imprevistos, dado que cada
función atiende su responsabilidad sin omisiones, duplicidades ni contradicciones.

Sin embargo, también encontramos desventajas:

 Es un modelo tan sofisticado y complejo que involucra diversas erogaciones:

 En personal, debe existir personal idóneo para atender las diversas funciones de
la segunda línea de defensa.
 En capacitación, este personal debe mantenerse constantemente entrenado y
motivado.
 En desarrollo de normativa. El desarrollo de las políticas y procedimientos para
coordinar a este equipo de gente suponen un esfuerzo económico considerable.
 En software. No necesaria, pero idealmente, debiera contarse con un software
que integre una base de datos de conocimiento compartido por todas las áreas,
de modo que cada quien disponga de información adecuada para el desarrollo
de sus funciones, en primer lugar, y para supervisión del nivel superior, en
segundo término.

www.auditool.org 5
  Para lograr las sinergias entre las áreas de la segunda línea de defensa, y una
adecuada interrelación entre éstas y la Gerencia de la primera línea, se requiere un
importante esfuerzo de coordinación y buena comunicación interdepartamental. En
caso contrario, surge una burocracia que traba la operación y resta eficiencia a la
Organización. Especialmente importante es delimitar las funciones a cumplir por cada
área y persona, a fin de evitar zonas grises en las cuales exista un entendimiento
generalizado de que alguien se está ocupando de algo, mientras en realidad no lo
está haciendo. Lo inverso también es cierto, pues puede acontecer que varias áreas
traten de abordar un tema al mismo tiempo, generando no solamente duplicación de
esfuerzos sino también contradicciones entre las valoraciones y cursos de acción de
las diferentes áreas respecto del mismo tema.

 Implica una dificultad para la Auditoría Interna porque en varias ocasiones los
intereses del Directorio y Alta Gerencia no son exactamente coincidentes.
Adicionalmente, el Directorio tiene como reportes a los Gerentes más poderosos de
la Organización, comenzando por el Gerente General. El Director Ejecutivo de
Auditoría Interna dirige un departamento de tamaño normalmente modesto, que no
desarrolla funciones tan vitales para la Organización como las de una Gerencia
General. Al colocarlo en un pie de reporte equitativo, se le da cierto respaldo, por una
parte. Pero, por otro lado, se corre el riesgo de que el Directorio no preste la debida
atención a las necesidades de la Auditoría Interna, postergando siempre sus
necesidades para atender las urgencias de vida o muerte de la Alta Gerencia. Y la
Alta Gerencia puede percibir este factor y utilizarlo para anular a la Auditoría Interna.

 Se puede generar un angostamiento de las responsabilidades de la auditoría interna,

en la medida que la creación de nuevas funciones de la segunda línea le van restando
labores que anteriormente desempeñaba. En adición a ello, la creación y potenciación
de estas funciones de segunda línea de defensa puede generar una confianza
creciente de la auditoría externa en el Sistema de Control Interno de la Organización,
al punto de considerar y eventualmente sugerir al Directorio la supresión de la función
de auditoría interna.

El equipo de Auditoría Interna deberá cambiar el alcance de sus tareas y comunicaciones

con otras áreas, lo cual supone un reto a nivel colectivo; además, los auditores internos
deberán adquirir nuevas destrezas y potenciar las actuales.

1.1 Primera línea de defensa: Gestión operativa

La Gerencia operativa es responsable de mantener un control interno efectivo y de llevar a

cabo procedimientos de control sobre los riesgos, tales como identificar, evaluar, controlar,
y mitigar los mismos. Así mismo, debe implementar políticas y procedimientos que permitan
asegurar que el desarrollo de las actividades es consistente con las metas y los objetivos
establecidos en la Organización.

www.auditool.org 6
Teniendo en cuenta esto, la Gerencia operativa se ubica en la primera línea de defensa,
debido a que se encarga de diseñar y supervisar los controles y procedimientos.

FUNCIONES PRIMERA LINEA DE DEFENSA

 Mantener un Sistema de Control Interno efectivo.

 Ejecutar procedimientos de control constantemente.
 Identificación, medición y control de riesgos.
 Desarrollar políticas consistentes con las metas y objetivos de la
Organización.
 Implementación de acciones correctivas.

Para el establecimiento de un Sistema de Control Interno Efectivo, el Comité de

organizaciones patrocinadoras de la Comisión Treadway-COSO, desarrolló el Marco
Integrado de Control Interno2, en su última versión del 2013, con el fin de guiar a las
organizaciones en el diseño e implementación de un Sistema de Control Interno que
respondiera a las necesidades y riesgos que enfrentan cada día.

El Marco Integrado de Control Interno está compuesto por cinco componentes, 17 principios
y puntos de enfoquen que presentan las características fundamentales de cada
componente. La implementación del marco integrado y sus componentes se desarrolla en
la primera línea de defensa.

El primer componente es Entorno de Control y comprende las normas, procesos y

estructuras que constituyen la base para desarrollar el control interno de la Organización.
Este componente crea la disciplina que apoya la evaluación del riesgo para el cumplimiento
de los objetivos de la entidad, el rendimiento de las actividades de control, uso de la
información y sistemas de comunicación, y conducción de actividades de supervisión. El
componente de Evaluación de riesgos identifica los posibles riesgos asociados con el logro
de los objetivos de la Organización. La Organización debe prever, conocer y abordar los
riesgos con los que se enfrenta, para establecer mecanismos que los identifiquen, analicen
y disminuyan. Este es un proceso dinámico e iterativo que constituye la base para
determinar cómo se gestionarán los riesgos. Las Actividades de Control se definen como
las acciones establecidas a través de las políticas y procedimientos que contribuyan a
garantizar que se lleven a cabo las instrucciones de la Dirección para mitigar los riesgos
con impacto potencial en los objetivos. El componente de Información y Comunicación hace
referencia a la forma como las áreas operativas, administrativas y financieras de la
Organización identifican, capturan e intercambian información. Y finalmente, Supervisión y
monitoreo comprende las actividades que deben evaluar si los componentes y principios
están presentes y funcionando en la entidad. El Marco Integrado se representa en la
siguiente gráfica.

2
Ver Anexo 1: Relación del Marco Integrado de Control Interno (COSO) con el Modelo de las Tres
Líneas de Defensa.

www.auditool.org 7
 1.2 Segunda línea de defensa: Funciones de Gestión de Riesgos y Cumplimientos

Como segunda línea de defensa, la Gerencia establece diversas funciones de gestión de

riesgos y cumplimiento para soportar y supervisar la primera línea de defensa, y de esta
manera determinar si está diseñada, implementada y operando adecuadamente. La
composición de la línea depende de las características de la Organización, como su tamaño
e industria en la que opera.

FUNCIONES SEGUNDA LINEA DE DEFENSA

 Función de gestión de riesgos que monitorea la implementación de prácticas

efectivas de gestión de riesgos por parte de la Gerencia operativa.
 Facilitar la implementación de prácticas efectivas.
 Establecimiento de políticas, roles, responsabilidades y objetivos.
 Elaborar reportes.
 Identificar cambios en el Apetito de Riesgo.
 Una función de cumplimiento para monitorear diversos riesgos relacionados
con el incumplimiento de leyes y regulaciones aplicables.
 Alertar de cambios en escenarios regulatorios y de riesgos.
 Función de contraloría para monitorear riesgos financieros y la emisión de la
información financiera.

Dichas funciones envuelven las operaciones, información y cumplimiento, según lo describe

el Marco Integrado de Control Interno de COSO. Dentro de esas funciones se desglosas
las siguientes responsabilidades:

 Apoyar en la formulación de políticas para la definición de roles y responsabilidades

y el establecimiento de objetivos.
 Asistir a la Administración en el desarrollo de procesos y controles para la gestión de
riesgos y problemas.

www.auditool.org 8
  Alertar a la Gerencia operativa de asuntos emergentes y de cambios en los
escenarios regulatorios y de riesgos.
 Monitorear la adecuación y efectividad del control interno, la exactitud e integridad de
la información, el cumplimiento de las leyes y regulaciones.

La segunda línea de defensa es conocida en las instituciones financieras como “back office”
porque normalmente no tiene interacción directa con terceros a la Organización. Son
funciones que aparecen en una segunda instancia en las organizaciones, cuando éstas
alcanzan un cierto tamaño y complejidad. Su función es actuar como elemento
homogeneizador de las actividades desarrolladas por la primera línea de defensa en el
establecimiento de sus controles y sistema de control interno.

Esta armonización se produce por medio de la emisión de políticas y procedimientos, y la

recopilación y reporte de información proveniente de la línea operativa. Esto se percibe, por
ejemplo, en el caso de los datos presupuestarios que compila y controla el área de Control
de Gestión y el control de accesos a los sistemas de información que monitorea y reporta
el área de Seguridad Informática. También las tareas de departamentos como Contabilidad
y Cumplimiento encuadran dentro del concepto de segunda línea de defensa.

1.3 Tercera línea de defensa: Auditoría Interna3

Los auditores internos proveen aseguramiento sobre la efectividad del gobierno corporativo,
la gestión de riesgos y el control interno. Es importante establecer y mantener una función
de auditoría interna independiente con personal adecuado y competente.

El establecimiento de una actividad de auditoría interna profesional debe convertirse en un

requerimiento de gobierno corporativo para todas las organizaciones sin importar su
tamaño, debido a que pueden tener ambientes complejos, y de esta manera pueden
asegurar una gestión adecuada de riesgos y efectividad en los procesos de gobierno. Esto
implica también actuar de acuerdo con los estándares y normas internacionales, reportar a
un nivel alto para garantizar la independencia de la función de auditoría interna, y tener una
efectiva línea de reporte con los organismos de gobierno corporativo.

3
https://na.theiia.org/translations/PublicDocuments/IPPF%20Standards%20Markup%20Changes%202013-
01%20vs%202011-01%20Spanish.pdf

www.auditool.org 9
 FUNCIONES TERCERA LINEA DE DEFENSA

 Asegura de manera independiente:

 Objetividad
 Efectividad de Gobierno Corporativo
 Gestión de Riesgos
 Control Interno
 Actuar en concordancia con las Normas Internacionales para la práctica de la
Auditoría Interna.

Actualmente, las organizaciones se enfrentan a un sinnúmero de factores que implican

cambios y riesgos que pueden afectar sus operaciones, si no se gestionan de la mejor
manera. Los órganos de gobierno tienen la responsabilidad de preservar del valor de la
Organización, y su papel en la definicion de la estrategia y supervision de la gestion de
riesgos y control de la Organización es esencial. El siguiente esquema presenta algunos de
estos factores:

•Internacionalización •Las regulaciones

•Los activos son cada crecen y son globales
vez más intagibles •Mayores
•Importancia por el responsabilidades
talento para los
administradores
•Customización
•Sistemas de Gobierno
•Convergencia digital
robustos y eficaces
El entorno y las Las
organizaciones se responsabilidades
transforman crecen

Las amenazas se Rendición de

multiplican cuentas
•Innovación •Transparencia
constante •Información más
•Las organizaciones rapida y fiable
son frágiles
•Crecen las amenazas •Nuevas
a la integridad de la obligaciones para
Organización las industrias
•Ciberseguridad extractivas

Como respuesta a estas situaciones, el Modelo de las Tres Líneas de Defensa permite
situar la Dirección de Auditoría Interna como garante del funcionamiento del Sistema de
Control Interno, y evaluador de la eficacia de las funciones de cumplimiento normativo y
riesgos. Esto depende en gran medida de la consolidación de la independencia y la
autonomía de la función de auditoría interna, lo que también permitirá conseguir el éxito de
la Organización.

www.auditool.org 10
La Auditoría Interna es definida por el IIA como: “una actividad independiente y objetiva de
aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una
Organización. Ayuda a una Organización a cumplir sus objetivos aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y gobierno.”

Cada organización debe establecer la actividad de auditoría interna para asegurar el

desarrollo adecuado de todos sus procesos, una adecuada gestión de riesgos y el
cumplimiento de sus objetivos. Para su implementación la organización debe adoptar las
Normas Internacionales para el Ejercicio profesional de la Auditoría Interna desarrolladas
por el IIA4, las cuales definen los principios básicos para el ejercicio de la auditoría interna,
y proporcionan un marco para ejercer, promover y evaluar su función.

En primera medida, el propósito, autoridad y responsabilidad de la actividad de auditoría

interna deben estar definidos en los estatutos de la Organización y aprobados por el
Consejo. Aquí debe quedar clara la naturaleza de los servicios de aseguramiento y
consultoría. En este marco, tanto la actividad de auditoría interna como el auditor interno
deben cumplir con los siguientes elementos, que permitirán un desarrollo adecuado del
trabajo de auditoría:

Atributos 
Independencia y objetividad □

Pericia y debido cuidado profesional □

Desarrollo profesional continuado □
Desarrollo de programas de aseguramiento de la calidad y cumplimiento □
Desarrollo y desempeño de la Auditoría Interna 
□
Planificación: el Director Ejecutivo de Auditoría –DEA- debe diseñar un plan de
trabajo acorde a una evaluación de riesgos, que debe incluir:

□ Alcance
□ Objetivos
□ Tiempo-Programa de trabajo
□ Recursos
□ Desempeño del trabajo
□ Identificación de la información
□ Análisis y evaluación
□ Registro de información

4
https://na.theiia.org/translations/PublicDocuments/IPPF%20Standards%20Markup%20Changes%202013-
01%20vs%202011-01%20Spanish.pdf

www.auditool.org 11
 □ Comunicación de resultados
□ Supervisión del progreso
□ Aceptación de un nivel de riesgo

Comunicación y aprobación: el DEA debe comunicar el plan de trabajo y □

requerimientos a la Alta Dirección y al Consejo, para su revisión y aprobación
Administración adecuada de los recursos para el cumplimiento del plan de trabajo □
El DEA debe establecer políticas y procedimientos que guíen la actividad de □
auditoría interna
El DEA debe coordinar las actividades con otros proveedores internos y externos □
de aseguramiento y consultoría
El DEA debe presentar un informe periódico a la Alta Dirección y al Consejo sobre □
el trabajo desarrollo, incluyendo riesgos relevantes, cuestiones de control,
gobierno corporativo y demás relevantes
Evaluación y contribución a la mejora de los procesos de gestión de riesgos, □
control y gobierno

Todas las actividades de auditoría interna deben enfocarse principalmente al entorno de

control operacional, el cumplimiento regulatorio y los riesgos financieros. Esto permite
brindar a la Organización seguridad sobre los siguientes aspectos:

 El cumplimiento de objetivos de la  Cumplimiento de las leyes, regulaciones,

Organización. políticas, procedimientos y contratos
 Eficacia y eficiencia de las operaciones. adquiridos.
 Salvaguarda de activos.  Un Sistema eficaz de Control interno.
 Fiabilidad e integridad de la información  Comunicación adecuada.
financiera y operativa.  Supervisión y monitoreo constante.
 Un marco eficiente de gestión de  Integridad de los procesos clave del
riesgos: identificación, evaluación y negocio.
respuesta.

www.auditool.org 12
 Mejora del enfoque
de riesgos de la
compañía

Asesor clave para el

Agente de cambio
Consejo

Auditoría
Interna

Integra y aporta
Herramienta clave
eficiencia en las
de la Comisión de
funciones de
Auditoría
aseguramiento

Con respecto a la gestión de riesgos, la auditoría interna se centra en proporcionar la

seguridad de que esos riesgos se han gestionado correctamente. El IIA ha elaborado un
esquema en el que presenta la actuación de la auditoría interna en el proceso de gestión
de riesgos, exponiendo su rol en las funciones de aseguramiento, con la aclaración de que
no debe asumir funciones ejecutivas en la definición, respuesta y gestión de los riesgos.
Este esquema es el siguiente:

www.auditool.org 13
Contemplando todos estos factores, en el documento “Plataforma Global de Defensa y
Promoción5”, el IIA establece 4 principios clave para la auditoría interna, aplicables a todas
las organizaciones, sin excepción alguna. Son los siguientes:

Principio Características

 Los Comités de Auditoría deben tener al menos tres

miembros, la mayoría de los cuales deben ser
independientes.
 Los Comités de Auditoría deben tener una
presidencia independiente que no ocupe al mismo
 Las organizaciones deben tiempo la presidencia del organismo de gobierno.
tener un Comité de  Los Comités de Auditoría colectivamente deben
Auditoría sólido y eficaz o poseer competencias específicas para el negocio,
equivalente. la gestión de riesgos y temas financieros y de
auditoría.
 La remuneración del Comité de Auditoría debe
fijarse según la carga de trabajo del comité, la
experiencia y la exposición personal.

 El organismo de gobierno es responsable de la

supervisión estratégica de los riesgos.
 La gestión organizacional es responsable de
diseñar y operar un sistema eficaz de gestión de
 Las organizaciones deben
riesgos y control interno. El modelo de las Tres
asignar claramente las
Líneas de Defensa proporciona una guía válida
responsabilidades en
sobre la clara asignación de responsabilidades en
cuanto a gestión de riesgos
cuanto a gestión de riesgos y control interno.
y control interno.
 La auditoría interna es responsable de evaluar la
eficiencia y la eficacia de los procesos de gobierno,
gestión de riesgos y control interno.

 La auditoría interna debe tener acceso total, libre e

irrestricto a cualquier función o actividad que esté
revisando.

5
http://www.iaicr.com/pdf/Plataforma_global_defensa_y_promocin.pdf

www.auditool.org 14
 Principio Características

 No debe haber ninguna función ni actividad de la

 La auditoría interna debe organización que se considere fuera del alcance de
estar correctamente la revisión de auditoría interna.
estructurada, debe operar  El Director Ejecutivo de Auditoría debe contar con
conforme a las Normas y conocimientos expertos y exigir la adopción de las
debe ser de cumplimiento Normas a todos los que realicen trabajos de
obligatorio para la mayoría auditoría.
de las organizaciones.  Las referencias de tipo legislativo o normativo que
hacen mención al "auditor" deben ser específicas e
indicar si se refieren a auditoría externa o interna.
 La independencia de auditoría interna debe ser
asegurada por el Comité de Auditoría o su
equivalente.

 El Director Ejecutivo de Auditoría debe responder a

un nivel jerárquico de la Organización que permita
que la actividad de auditoría interna cumpla sus
responsabilidades de manera independiente.
 La contratación, la remuneración y el despido del
Director Ejecutivo de Auditoría debe ser una
decisión reservada al Comité de Auditoría o su
 Las líneas de jerarquías
equivalente.
respecto al Director
 El alcance del trabajo y el presupuesto de auditoría
Ejecutivo de Auditoría
interna deben ser decisiones reservadas al Comité
deben acentuar la
de Auditoría o su equivalente sobre la base de la
independencia
recomendación del Director Ejecutivo de Auditoría.
organizacional.
 Además de informar a la Gerencia al respecto, los
temas clave detectados por auditoría interna deben
comunicarse al Comité de Auditoría o su
equivalente.
 El Comité de Auditoría debe reunirse al menos
anualmente con el Director Ejecutivo de Auditoría
sin la presencia de la Gerencia.

www.auditool.org 15
 1.4 Auditores externos, reguladores y otros entes externos

La auditoría externa, los reguladores y demás entes de control se ubican fuera de la

estructura de la Organización pero tienen un rol importante dentro del gobierno corporativo
y control de la misma. Estos entes proporcionan aseguramiento a las partes interesadas
de la Organización.

1.5 Implementación del Modelo de las Tres Líneas de Defensa

La implementación del Modelo de las Tres Líneas de Defensa no solo se limita a la

identificación de las líneas, el personal, los roles y las funciones; antes de empezar con su
implementación es importante tener en cuenta cuatro factores esenciales:

 Conocer la transcendencia y fin de la implementación,

 Realizar una autoevaluación de la capacidad de la Organización para llevar a cabo
la implementación del modelo,
 Limitar el grado de implementación en función de las prioridades corporativas, y
 Comunicar a la Organización tanto los beneficios como las desventajas del modelo.

Una vez analizados estos factores es importante que se reconozcan los cambios en las
labores de la Auditoría Interna, que ahora tiene que evaluar un modelo de control interno
sustancialmente diferente al anterior, y más sofisticado. Este cambio le implica, en lo
esencial:

 Evaluar si existe una adecuada delimitación entre las labores de la primera y la

segunda líneas de defensa: que no existan solapamientos ni responsabilidades
desatendidas.
 Decidir en qué funciones de la segunda línea de defensa puede confiarse y en qué
medida puede hacerse.
 La auditoría interna deberá decidir si dirige sus recomendaciones a la línea gerencial
o a las funciones de la segunda línea de defensa.

www.auditool.org 16
El Instituto de Auditores Internos de España -IAI España- presentó una metodología para
implementar el Modelo de las Tres Líneas de Defensa, la cual se estructura en el siguiente
diagrama:

Implementación del
Modelo de 3Lod

Determinar el
perfil de la
Mapa de
Auditoría Interna
aseguramiento
Gestión del
Riesgo

Mapa de
procesos

Estrategia de la
Organización

1.5.1 Documentación de la Estrategia de la Organización

Contempla los pasos que deben seguirse para la elaboración de una adecuada estrategia
que quede debidamente plasmada en documentos comunicados a los niveles relevantes
de la Organización. Los procesos de la Organización deben estar alineados con las metas
estratégicas de la misma y los riesgos críticos que pudieran comprometer el logro de tales
metas vitales.

Es importante mencionar que las organizaciones gubernamentales no aplican un modelo

de estrategia competitiva basado en un mercado como lo hacen las empresas privadas, y
por tanto, la formulación de su estrategia de elabora y plasma de manera diferente.

En general, la estrategia debe contener los siguientes elementos:

 Valores
 Misión
 Visión
 Partes interesadas - stakeholders:

o Accionistas y Directores para la identificación de partes de interés legitimadas.

o La Alta Gerencia que propone metas e identifica riesgos críticos.
o El Directorio que aprueba tales metas y riesgos identificados

www.auditool.org 17
  Establecimiento de objetivos e identificación de riesgos. Este proceso, de acuerdo
con el IIA, debe cumplir tres pasos:

o Diagnosticar la situación actual de la Organización,

o Proyectar la situación deseada,
o Formular un plan de acción para transitar la brecha entre la situación actual y la
situación deseada.

1.5.2 Mapa de procesos

La elaboración del mapa de procesos es el puente entre la estrategia y la operación, el

documento que establece cómo se lograrán los objetivos estratégicos y se mitigarán los
correspondientes riesgos. Un mapa de procesos es un documento gráfico en el cual se
documentan las interrelaciones entre los diversos procesos de la Organización. Permite
identificar los puntos donde inicia y concluye cada proceso, documenta en detalle cada uno
de los procesos que integran el mapa de procesos, y contiene:

□ El objetivo del proceso (Para qué está el proceso, que propósitos persigue, con qué
objetivos y riesgos estratégicos de la Organización se vincula).
□ Alcance (Dónde inicia, dónde termina y cuáles son las rutinas que incluye).
□ Entradas o insumos que utiliza para el logro de los resultados perseguidos. Es decir,
los insumos que el proceso puede eventualmente necesitar para utilizarlos por sí
mismo para lograr sus propósitos.
□ Proveedores internos o externos.
□ Salidas o productos que el proceso genera.
□ Clientes internos o externos que utilizan los insumos producidos por el proceso.

El mapa de procesos es una labor organizacional relacionada con la Gestión por Procesos,
y se convierte en un requisito previo a la implementación del Modelo de Tres Líneas de
Defensa.

1.5.3 Gestión de Riesgos

La asignación de riesgos a los procesos implica, en primer lugar, determinar cuáles son los
procesos que contendrán los controles necesarios para mitigar los riesgos estratégicos de
interés del Directorio y la Alta Gerencia. Y, adicionalmente, que se identificarán y
establecerán controles para la mitigación de riesgos operacionales de dichos procesos.

www.auditool.org 18
 1.5.4 Mapa de Aseguramiento

El mapa de aseguramiento es un documento que permite visualizar gráficamente la

integración de las diversas funciones de aseguramiento en un cuerpo común, orgánico e
integrado que las coordina. La formulación de este mapa de aseguramiento es
responsabilidad primaria de Auditoría Interna, y es conveniente formularlo para la
implementación del Modelo de Tres Líneas de Defensa.

El mapa de aseguramiento comienza por establecer las posibles categorías de riesgos

existentes, a efectos de agruparlos en un orden coherente (taxonomía de riesgos). Luego,
se describe en qué consiste cada uno de los riesgos identificados, y en qué categoría se
encuadra. Seguidamente, se listan todas las funciones de segunda línea de defensa
existentes. La celda de intersección entre el riesgo identificado y la función que debe
mitigarlo se pinta de verde, amarillo o rojo según la evaluación de auditoría interna concluya
que el riesgo se encuadra dentro de niveles aceptables, intermedios o inaceptables. Si no
se ha practicado tal evaluación, se lo menciona en la correspondiente celda. Este mapa de
aseguramiento sirve de base para formular el plan anual y plurianual de auditoría,
completando la evaluación de los riesgos no evaluados y enfatizando en los riesgos
evaluados con riesgo alto.

A partir del mapa de aseguramiento, se definen la misión y los objetivos de cada una de
las funciones de segunda línea de defensa, en orden de acuerdo a su relevancia. Luego
se describe el marco de referencia, tanto normativo como instrumental de cada una de las
funciones de aseguramiento. Estas actividades incluyen lo siguiente:

 Establecer el apetito de riesgo.

 Imponer procesos de gestión de riesgo.
 Manejar el aseguramiento sobre los riesgos.
 Tomar decisiones en respuesta a los riesgos.
 Implementar respuestas a riesgos a favor de administración.
 Tener responsabilidad de la gestión de riesgo

1.5.5 Perfil de Auditoría Interna

Una vez establecido el mapa de aseguramiento, las funciones que lo integran, la posible
colaboración que auditoría interna les puede prestar, la que le queda vedada y los
procedimientos mínimos de revisión sobre estas áreas, lo que sigue es delinear el perfil de
la auditoría interna que debe actuar en el nuevo rol impuesto por el Marco de Tres Líneas
de Defensa.

www.auditool.org 19
El IIA desarrolló El Marco Global de Competencias de Auditoría Interna6, en el cual
establece 10 áreas de competencia del auditor interno y las habilidades que debe tener
para actuar en el Marco de las Tres Líneas de Defensa y cumplir con los requisitos del
Marco Internacional de Prácticas Profesionales -MIPP-, y de esta manera tener éxito en el
desarrollo de la profesión de auditoría interna. Las competencias recomendadas se
enfocan a:

 El DEA, Director Ejecutivo de Auditoría,

 Gerentes de Auditoría Interna,
 Los auditores internos integrantes del equipo de auditoría interna -staff-.

Las competencias centrales se componen de competencias más detalladas que definen

claramente cada una de estas. La Ética profesional y la Gestión de Auditoría Interna se
convierten en la base para la entrega de auditoría interna, y en el centro se ubica la
experiencia y habilidades del auditor interno, quien debe actuar de acuerdo con los altos
estándares éticos y coordinar los recursos y las actividades de la función de auditoría
interna. Las competencias se relacionan de la siguiente manera:

Mejora e innovación

Entrega de Auditoría Interna

Habilidades Personales

Persuasión y Pensamiento
Comunicación
colaboración Crítico

Destreza y experiencia técnica

Gobierno, Perspicacia de
MIPP
riesgo y control negocio

Gestión de Auditoría Interna

Ética profesional

6
http://www.felaban.net/archivos_boletines_clain/archivo20140723222756PM.pdf

www.auditool.org 20
COMPETENCIAS COMPETENCIAS Sí No
CENTRALES

Respeta y promueve el Código de Ética del IIA.

Aplica y promueve el uso de principios y valores éticos
a las actividades auditadas.
Se adhiere a las políticas, prácticas y procedimientos
clave de la Organización.
Explica la perspectiva de la auditoría interna con
respecto al clima ético de la Organización.
Trata a los demás con equidad y sin discriminación.

Ética Profesional Mantiene la objetividad en apariencias y hechos.

Discute conflicto éticos con el ente correspondiente.
Investiga cuestiones éticas y propone medidas para su
resolución.
Actúa con la debida sensibilidad ante casos de abusos
de los principios éticos.
Tiene en cuenta el interés público al decidir un curso
de acción.
Ejerce el debido cuidado profesional.
Promueve la función de auditoría interna y su valor en
toda la Organización.
Actúa como modelo de rol, ejemplificando un alto
desempeño.
Analiza sus propias fortalezas y debilidades para
maximizar la contribución personal a la Organización.
Anticipa y responde de forma sensible a problemas,
Gestión de inquietudes y consultas del personal.
Auditoría Interna Articula expectativas y objetivos de negocio y los
relaciona con la estrategia de la Organización.
Busca la calidad y excelencia y alienta a los demás a
hacer lo mismo.
Delega tareas de forma constructiva.
Asume la rendición de cuentas personal por los
resultados entregados en sus áreas de
responsabilidad.

www.auditool.org 21
COMPETENCIAS COMPETENCIAS Sí No
CENTRALES

Desarrolla e implementa un plan de desarrollo

profesional para miembros de la función de auditoría
interna.
Mantiene las competencias actualizadas requeridas
para la entrega efectiva de auditoría interna.
Establece sistemas de reclutamiento que permiten la
contratación de personal competente.
Valora y promueve diversos puntos de vista y
sensibilidad cultural.
Mantiene un conocimiento actualizado en MIPP y
lidera su implementación en la función de auditoría
interna.
Asegura que la auditoría interna tenga acceso a todos
los sistemas, procesos y personas.
Asegura la independencia de la función de auditoría
IPPF – MIPP interna.
Establece y mantiene un programa de aseguramiento
y mejora de la calidad.
Reporta a la Alta Dirección y al Consejo de
Administración los casos de no conformidad con el
Código de Ética y las Normas Internacionales de
Práctica Profesional de Auditoría Interna.

Gobierno, riesgo Informa y capacita a la Alta Dirección y al Consejo de

y control: el Administración sobre mejores prácticas en gobierno,
auditor interno riesgo y control.
debe conocer lo Evalúa la adecuación de los marcos de la
suficiente en Organización en materia de gobierno, riesgo y control.
materia de Contribuye al desarrollo de una cultura orientada al
Gobierno riesgo dentro de la Organización.
Corporativo como
Mantiene un conocimiento integral del perfil de riesgo
para alinear la
actual y emergente de la Organización.
función de
auditoría interna Monitorea los cambios futuros en materia de riesgo
con las buenas para la Organización, sobre la base de factores
prácticas en la políticos, económicos, sociales, ambientales, legales o
materia. tecnológicos y su impacto potencial.

www.auditool.org 22
COMPETENCIAS COMPETENCIAS Sí No
CENTRALES
Opera dentro de los marcos de la Organización para
Además de asistir gobierno, riesgo y control.
a la Organización Crea planes de trabajos de auditoría sobre la base del
en el riesgo y su impacto en la Organización.
establecimiento de Aplica los conceptos de controles durante actividades
un Marco de Tres de auditoría.
Líneas de Defensa
para obtener el Evalúa el gobierno de TI.
aseguramiento Asegura que las actividades de auditoría interna estén
integral, tiene que alineadas y mejoren la estrategia de gestión de riesgo
actuar en empresarial y el perfil de riesgo de la Organización.
coordinación con
Asegura que las propuestas de mejoras a los controles
los auditores
internos estén equilibradas con los objetivos y las
externos y asistir a
capacidades de la Organización.
la Organización
para la debida Proporciona una explicación sobre el perfil de riesgo
atención de los de la Organización al Consejo de Administración y a la
requerimientos de Alta Dirección.
las autoridades Proporciona una explicación sobre el perfil de riesgo
regulatorias. del trabajo de auditoría interna a las partes pertinentes.
Respalda una cultura de conciencia del riesgo de
fraude en todos los niveles de la Organización.
Evalúa y da cuenta del potencial de riesgo de fraude e
identifica tipos comunes de fraude asociados con la
Organización, y con el trabajo de auditoría interna.
Mantiene una comprensión de los procesos utilizados
para dar soporte a investigaciones de fraude.
Mantiene su conocimiento de la Organización y sus
riesgos.
Mantiene conocimiento específico de industria
apropiado para trabajos de auditoría y la Organización.
Evalúa y tiene en cuenta factores básicos macro y
Perspicacia de microeconómicos y su relevancia para los trabajos de
negocios auditoría y la Organización.
Mantiene una comprensión actualizada de los últimos
desarrollos globales y requisitos regulatorios y legales,
y evalúa su relevancia para los trabajos de auditoría y
la Organización.

www.auditool.org 23
COMPETENCIAS COMPETENCIAS Sí No
CENTRALES

Mantiene el conocimiento de los aspectos técnicos de

conceptos financieros, gerenciales y de contabilidad
de costos, estándares, sistemas y procesos de reporte
apropiados para trabajos de auditoría.
Evalúa y tiene en cuenta aspectos técnicos de
conceptos financieros, gerenciales y de contabilidad
de costos, estándares, sistemas y procesos de reporte
apropiados para la Organización.
Evalúa y tiene en cuenta cómo la tecnología
informática contribuye a los objetivos de la
Organización, los riesgos asociados con la tecnología
y la relevancia para los trabajo de auditoría.
Demuestra un sólido conocimiento de trabajo de los
marcos de control de calidad relevantes para los
trabajos de auditoría.
Evalúa los marcos de control de calidad operados por
la Organización.
Tiene en cuenta la misión, los objetivos estratégicos,
la naturaleza de negocios de la organización, y los
aspectos culturales de la misma.
Asegura la confianza de otros a través del uso positivo
Comunicación: de la comunicación.
ésta debe ser Promueve la comunicación abierta.
recíproca, se debe
Demuestra respeto por los demás, y personaliza los
prestar atención a
mensajes para reflejar las necesidades del público
lo que se le dice.
objetivo.
Respetar al
interlocutor, no ser Organiza y expresa ideas claramente y con seguridad
prejuicioso. para influir en otros.
Expresarse con
Extrae información clave de una variedad de fuentes
claridad y respeto,
para respaldar la comunicación.
usando un lenguaje
positivo para Selecciona formas de comunicación apropiadas
buscar la solución (verbal, no verbal, visual, escrita) y medios (cara a
de los cara, electrónico, en papel).
inconvenientes de Emplea correctamente las convenciones técnicas del
la mejor manera. lenguaje (ortografía, puntuación, gramática, etc.).

www.auditool.org 24
COMPETENCIAS COMPETENCIAS Sí No
CENTRALES

Escucha activamente, hace las preguntas necesarias

para confirmar su comprensión.
Solicita feedback del interlocutor para medir la eficacia
de la comunicación.
Anticipa reacciones a la comunicación y planifica
respuestas por adelantado.
Discute los hallazgos de auditoría y sus impactos
profesionalmente y con seguridad, con los niveles
apropiados de la Organización.
Utiliza métodos gráficos para comunicar procesos y
otra información compleja, y de la misma manera
Interpreta y utiliza el lenguaje corporal para reforzar la
comunicación.
Transmite información de forma estructurada para
promover el aprendizaje y el desarrollo entre los
miembros de su público.
Aplica habilidades de comunicación apropiadas en
entrevistas.
Mantiene una actitud orientada al servicio.
Anticipa y prevé el impacto del estilo interpersonal
Persuasión y propio en los demás al comunicar y construir
colaboración: la relaciones.
persuasión se Maneja el conflicto negociando y resolviendo
obtiene con el desacuerdos.
respeto del
Tiene en cuenta la política de la Organización y actúa
interlocutor y se
en consecuencia.
usa un lenguaje
claro y positivo Equilibra diplomacia con firmeza.
para expresar
Hace que la gente se sienta cómoda y construye
ideas relevantes.
relaciones abiertas y constructivas con todas las
Por esta razón, es
partes.
una consecuencia
Alimenta y construye alianzas efectivas con los
natural de una
clientes de trabajos de auditoría para lograr resultados.
adecuada
comunicación. Alimenta y construye alianzas estratégicas con
personas y grupos interesados internos y externos
para lograr resultados.

www.auditool.org 25
COMPETENCIAS COMPETENCIAS Sí No
CENTRALES
Identifica y administra necesidades y expectativas de
las partes interesadas.
La colaboración
Colabora con otros y los alienta a trabajar de forma
permite un trabajo
colaborativa.
en equipo y el logro
de los resultados Muestra resiliencia en situaciones difíciles para
esperados. superar la resistencia y luego trabajar con las personas
de forma constructiva.
Lidera con el ejemplo en cuanto al respeto, la provisión
de ayuda y cooperación.
Lidera a través de la influencia, convicción personal y
sensibilidad en lugar del puesto.
Mantiene la independencia y objetividad en todas las
situaciones.

Causa un impacto positivo en los demás, demuestra

credibilidad y se asegura respeto y cooperación.
Reconoce las limitaciones propias y busca
asesoramiento y apoyo cuando se requiere.
Respeta la confidencialidad y asegura la confianza de
otros
Utiliza una gama de estrategias para construir
consenso y soporte activo.
Mantiene la curiosidad y ejerce el escepticismo
Pensamiento
profesional.
crítico: se
relaciona con el
Selecciona y utiliza una variedad de herramientas y
pensamiento
técnicas manuales y automatizadas para obtener
lateral, la
datos y otra información sobre procesos de negocio.
capacidad de
pensar en un
Analiza y evalúa la eficiencia y eficacia de los procesos
espectro amplio, y
de negocio.
se obtiene por
medio de cursos
Asegura que se utilicen las herramientas y técnicas
específicos en la
relevantes durante el análisis de procesos de negocio.
materia y por la
implementación en
Aplica técnicas de resolución de problemas para
la Organización de
situaciones de rutina.
programas de

www.auditool.org 26
 COMPETENCIAS COMPETENCIAS Sí No
CENTRALES
capacitación
gerencial en Selecciona y utiliza técnicas apropiadas de
habilidades de investigación, inteligencia de negocio y resolución de
interacción y problemas para analizar y resolver situaciones
técnicas de complejas.
resolución de
problemas. Utiliza el pensamiento crítico para identificar y
proponer tácticas para la mejora de procesos de
El auditor interno negocio.
debe ser un Ayuda a la Dirección a encontrar soluciones prácticas
detallado para abordar cuestiones identificadas a través de la
conocedor de las actividad de auditoría.
Normas
Internacionales Aplica técnicas de recolección de datos, minería de
para la Práctica datos, análisis de datos y estadística.
Profesional de la
Auditoría Interna, y Asegura que la información en la toma de decisiones
ser capaz de sea relevante, precisa y suficiente.
aplicarlas a
situaciones Utiliza la investigación de benchmarking para
concretas. respaldar decisiones y mensajes clave.
Aplica la metodología de auditoría de la Organización
y realiza los procedimientos de auditoría para cumplir
los objetivos específicos del trabajo de auditoría.

Asegura la calidad de la planificación y entrega de los

trabajos de auditoría.
Supervisa la ejecución de trabajos de auditoría para
asegurar que los objetivos se cumplan y garantizar la
Entrega de calidad.
Auditoría Interna:
Mantiene la objetividad durante los trabajos de
ejercer un rol activo
auditoría.
dentro de la
Administra todos los recursos con eficiencia para
Organización.
asegurar que se cumplan los objetivos del trabajo.

Demuestra eficiencia y perseverancia, al administrar el

propio tiempo y asegurar que se cumplan las fechas y
los objetivos del trabajo.

Desarrolla, implementa y monitorea planes del

proyecto para asegurar la entrega de acuerdo con los
plazos acordados.

www.auditool.org 27
COMPETENCIAS COMPETENCIAS Sí No
CENTRALES

Selecciona y aplica las herramientas y técnicas

apropiadas para recopilación, análisis e interpretación
de datos y reporte.
Planifica y conduce trabajos de auditoría para
identificar riesgos y controles clave.
Identifica los recursos necesarios y aborda las
limitaciones del trabajo de auditoría.
Obtiene evidencia confiable, relevante y suficiente y
evalúa de forma crítica.
Identifica y eleva implicancias estratégicas para la
Organización a partir de los hallazgos del trabajo de
auditoría.
Desarrolla y asegura que los papeles de trabajo sean
el fiel reflejo de todas las actividades realizadas
durante el trabajo de auditoría.
Presenta hallazgos y propone recomendaciones que
abordan la causa raíz de los problemas y el impacto a
la Organización.
Proporciona aseguramiento y servicios de
aseguramiento a la Alta Dirección y al Consejo de
Administración.
Asegura que el alcance del trabajo sea adecuado para
la asignación de auditoría.
Establece un proceso de seguimiento para monitorear
las acciones de la Dirección.
Realiza el seguimiento con la Dirección para asegurar
que las acciones de la Dirección hayan sido
implementadas efectivamente o que la Alta Dirección
haya aceptado el riesgo de no tomar acción.

Promueve el cambio, la mejora continua y la

innovación y apoya a otros para que los logren.

Busca y justifica oportunidades de mejora continua.

Inicia y maneja el cambio dentro de la esfera de
responsabilidad.

www.auditool.org 28
COMPETENCIAS COMPETENCIAS Sí No
CENTRALES
Alienta a otros a adoptar el cambio explicando los
beneficios esperados.

Mejora e Da una visión de cómo se implementa el cambio en la

innovación: Organización.
enfocar la auditoría Alienta a otros a proponer ideas innovadoras y ofrece
interna como una feedback positivo para asegurar que las nuevas ideas
función que progresen.
promueva la
Contribuye al conocimiento y las propuestas de cambio
mejora continua y
y mejora.
la calidad de las
operaciones de la Hace una contribución significativa a la estrategia de
Organización. La cambio organizacional.
capacidad de
Investiga y analiza las razones del cambio en la
innovación se
Organización.
adquiere y
mantiene al actuar Identifica los riesgos asociados con el cambio y adapta
con mentalidad la actividad de auditoría para manejar los riesgos.
abierta para Evalúa las barreras y recursos potenciales a las
conocer y aplicar iniciativas de cambio.
las mejores
prácticas Implementa programas de cambio en toda la función y
el equipo de auditoría.
Mantiene el desempeño y la eficacia personal en
ambientes cambiantes y ambiguos.
Se adapta a nuevas prioridades e implementa cambios
positivos en el área de trabajo.
Ajusta las prioridades del equipo a las prioridades
nuevas y cambiantes de la Organización.
Anticipa reacciones al cambio y adapta el estilo propio
para ayudar a otros.

www.auditool.org 29
 1.5.6 Implementación

Para proceder a la implementación del Modelo de las Tres Líneas de Defensa es necesario
tener en cuenta las prácticas recomendadas por el IIA; éstas son:

PRÁCTICA SÍ NO
Los procesos de riesgo y control son estructurados de acuerdo con el 3LoD
Model7.
Cada línea de defensa es apoyada en definiciones de funciones y políticas
apropiadas.
Existe una adecuada comunicación entre las líneas de defensa, lo cual
promueve la eficiencia y eficacia.
Las funciones de riesgo y control de las diferentes líneas de defensa
comparten apropiadamente el conocimiento y la información para ayudar
a todas las funciones a cumplir efectivamente su labor.
Las líneas de defensa son estructuradas sin mezclarse, pero manteniendo
una adecuada comunicación entre ellas y eficacia de sus funciones.

Al mismo tiempo, se deben determinar los siguientes elementos:

 Los medios humanos y materiales, en cantidad y calidad, con que se cuenta para
liderar el proceso de implementación del Modelo de las Tres Líneas de Defensa.
 Establecer si es necesario adquirir software.
 Un presupuesto adecuado.
 Desarrollar un cronograma de implementación.

7
Modelo de las Tres Líneas de Defensa.

www.auditool.org 30
 ANEXOS

1. Relación del Marco Integrado de Control Interno -COSO- con el Modelo de las
Tres Líneas de Defensa.

ENTORNO DE CONTROL
Principio 1: la Organización demuestra compromiso con la integridad y los valores
éticos.

1ra Línea de 2da Línea de 3ra Línea de Otros

Defensa Defensa Defensa

Todas las líneas de defensa deben demostrar a través de sus directivas, acciones, y
comportamientos la importancia de la integridad y los valores éticos.

La Alta Gerencia y el Algunos miembros Evalúa el ambiente “Tone at the Top”.

personal supervisor de la 2da línea ético de la La Junta Directiva
están comprometidos pueden ser Organización y la supervise el clima
con los valores y solicitados para efectividad de sus ético de la
principios éticos y los apoyar líneas de estrategias, Organización, y
refuerzan en sus cumplimiento, tácticas, sistemas que la
actuaciones. investigaciones de de comunicación, Administración
malas conductas, o para el lleve a cabo
llevar a cabo otras cumplimiento ético programas y
responsabilidades y legal. actividades
relacionadas con relacionas con los
los valores éticos y valores ético y la
la integridad. integridad.

La Alta Gerencia Evalúa el diseño,

establece estándares implementación, y
de conducta, y efectividad de los
evalúa la adherencia objetivos,
de todo el personal programas y
de la Organización a actividades
estándares de relacionados con
conducta. los valores éticos.

www.auditool.org 31
Principio 2: el Consejo de Administración demuestra independencia de la Dirección y
ejerce la supervisión del desempeño del Sistema de Control Interno.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Establece las La supervisión de la Proporciona Brinda supervisión

responsabilidades de Junta Directiva es seguridad con sobre el Sistema
supervisión de la apoyada por los respecto al de Control Interno.
Dirección. La Junta procesos y desarrollo y
Directiva identifica y estructuras que la desempeño de los
acepta su Administración controles internos,
responsabilidad de establece. evaluando si éstos
supervisión con son diseñados,
respecto a establecer implementados
requerimientos y apropiadamente, y
expectativas. si operan de
acuerdo con lo
esperado.

Conserva o delega
responsabilidades de
supervisión.
Principio 3: la Dirección establece, con la supervisión del Consejo, las estructuras,
líneas de reporte y los niveles de autoridad y responsabilidad apropiados para la
consecución de los objetivos.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Considera todas las La Administración Proporciona La Junta Directiva

estructuras de la diseña y evalúa las seguridad con supervisa el
entidad para apoyar líneas de reporte respecto a lo desarrollo y
la consecución de los para cada adecuado y mantenimiento de
objetivos. estructura de la efectividad de las las estructuras
entidad para estructuras operativas, líneas
permitir la ejecución operativas, líneas de reporte, y
Define, asigna y de autoridades y de reporte, y responsabilidades
delimita autoridades responsabilidades y responsabilidades de la Organización
y responsabilidades. el flujo de de la Organización para el
información para para el cumplimiento de
gestionar las cumplimiento de los los objetivos.
actividades de la objetivos.
entidad.

www.auditool.org 32
Principio 4: la Organización demuestra compromiso para atraer, desarrollar y retener a
profesionales competentes, en alineación con los objetivos de la Organización.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

La Administración y Atrae y mantiene Evalúa las políticas La Alta Dirección y

la Junta Directiva talento competente y prácticas, la Junta Directiva
establecen los para el determinando si desarrollan planes
mecanismos para cumplimiento de los apoyan el de contingencia
comunicar y objetivos de la cumplimiento de los para la asignación
mantener Organización. objetivos. de
profesionales responsabilidad
responsables para el importante para
desempeño de las control interno.
responsabilidades de
control interno a
través de la
Organización, e
implementan
acciones correctivas
cuando es necesario.

La Organización
provee la orientación
y la capacitación
necesaria para
atraer, desarrollar y
retener personal
suficiente y
competente y
proveedores de
servicios externos
para apoyar el
cumplimiento de los
objetivos.

www.auditool.org 33
 Principio 5: la Organización define las responsabilidades de las personas a nivel de
control interno para la consecución de los objetivos.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

La Administración y la Supervisa y Evalúa medidas de Establece

Junta Directiva monitorea las desempeño, medidas de
evalúan el desempeño responsabilidades incentivos y desempeño,
de las específicas de premios para la incentivos y
responsabilidades de control interno. relevancia en premios, y las
control interno, curso. evalúa con el fin
incluyendo la de determinar
adherencia a los que estén
estándares de acordes con los
conducta y los niveles objetivos de la
de competencia Organización.
esperados, y
proporciona premios o
ejerce acciones
disciplinarias cuando
es apropiado.

www.auditool.org 34
 EVALUACIÓN DE RIESGOS

Principio 6: la Organización define los objetivos con suficiente claridad para permitir la
identificación y evaluación de los riesgos relacionados.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Todo el personal que hace parte del Sistema de control Interno debe entender las
estrategias generales y los objetivos establecidos por la Organización.

Establecimiento de Puede participar en Verifica que los La Junta Directiva

los objetivos como el establecimiento objetivos debe supervisar el
parte esencial de los de los objetivos de establecidos sean establecimiento
procesos la organización. específicos, de los objetivos,
desarrollados por la Evalúa si se medibles u con el fin de
administración considera observables, asegurar que los
adecuadamente la relevantes y objetivos reflejen
tolerancia y apetito especificados en el las decisiones
Establecimiento de de riesgo. tiempo. tomadas y cómo
objetivos acordes con la Organización
la misión, la visión, crea, preserva y
los valores y las genera valor para
estrategias de la las partes
Organización. interesadas.

Considera tolerancia
a riesgos específicos.

www.auditool.org 35
Principio 7: la Organización identifica los riesgos para la consecución de sus objetivos
en todos los niveles de la entidad y los analiza como base sobre la cual determinar
cómo se debe gestionar.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

La Organización Función de Gestión Tiene en cuenta el La Junta Directiva

identifica y evalúa los de Riesgos: marco de gestión establece la
riesgos a nivel de la de riesgos de la estrategia general
entidad, sucursales, - Evalúa la Organización para de la
divisiones, unidad consideración de desarrollar la Organización
operativa y niveles factores externos planificación de para el logro de
funcionales e internos en la auditoría interna. los objetivos, con
relevantes para la identificación de base en la
consecución de los los riesgos que evaluación de
objetivos. puedan afectar riesgos.
los objetivos.
- Evalúa si existen
mecanismos
adecuados para
la identificación y
análisis de
riesgos.
- Analiza la
relevancia
potencial de los
riesgos
identificados y
entiende la
tolerancia al
riesgo de la
Organización.
- Determina la
respuesta a los
riesgos.

www.auditool.org 36
Principio 8: la Organización considera la probabilidad de fraude al evaluar los riesgos
para la consecución de los objetivos.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

La evaluación del Se asegura que la Los estándares La Junta Directiva

fraude considera el evaluación de establecen que los debe evaluar los
reporting fraudulento, riesgos y los auditores internos procesos y
posible pérdida de controles deben tener el controles
activos y corrupción. contemplen el cuidado profesional establecidos para
riesgo de fraude. para considerar la la detección de
probabilidad de fraude.
fraude.

La evaluación del Los auditores La Junta Directiva

riesgo de fraude internos deben y la Alta Dirección
evalúa incentivos y tener el suficiente establecen las
presiones. conocimiento y estrategias para
experiencia para la prevención de
evaluar el riesgo de fraude dentro de
fraude en la la Organización.
Organización.

www.auditool.org 37
 Principio 9: la Organización identifica y evalúa los cambios que podrían afectar
significativamente el Sistema de Control Interno.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Debido a que los riesgos pueden surgir de diferentes fuentes, todo el personal de la
Organización debe estar alerta de cualquier problema o situación que pueda afectar
significativamente el Sistema de Control Interno.

El proceso de Asistir a la Identifica y evalúa La Junta debe

identificación de administración en los cambios que asegurar que la
riesgos considera los procesos de pueden impactar Administración
cambios en diferentes evaluación del significativamente el cumpla con la
áreas que puedan impacto de los Sistema de Control responsabilidad
impactar el sistema cambios sobre el Interno, durante el de establecer
de Control Interno. sistema de control curso de la procesos para la
interno. auditoría interna. identificación y
evaluación de
cambios que
Comunica Debe ser proactivo Se comunica puedan impactar
información relevante para adaptarse a regularmente con la significativamente
con respecto a los cambios. Administración para el Sistema de
cambios potenciales prever cambios y su Control interno.
a la Junta Directiva impacto en la
Supervisa y
para tomar las Organización.
considera los
acciones
cambios en el área
correspondientes.
legal, regulatoria, y
de gestión de
riesgos.

www.auditool.org 38
 ACTIVIDADES DE CONTROL
Principio 10: la Organización define y desarrolla actividades de control que
contribuyen a la mitigación de los riesgos hasta niveles aceptables para la consecución
de los objetivos.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Las actividades de Supervisión de los Proporciona La Junta

control ayudan a controles seguridad de que Directiva evalúa
asegurar que las establecidos por la los controles la información, y
respuestas a los Administración. establecidos por la proporciona
riesgos que Administración supervisión para
direccionan y mitigan fueron diseñados e ayudar a
los riesgos son implementados asegurar que el
llevadas a cabo. adecuadamente y Sistema de
operan como se control Interno es
La Administración Participar en la espera, para mitigar adecuado para
considera cómo el selección y los riesgos al mitigar los
ambiente, la desarrollo de cumplimiento de los riesgos a un nivel
complejidad, controles objetivos de la aceptable que
naturaleza y alcance específicos. Organización. permita el
de sus operaciones, cumplimiento de
así como las los objetivos.
características
específicas de la
Organización, afectan
la selección y
desarrollo de las
actividades de
control.

www.auditool.org 39
 Principio 11: la Organización define y desarrolla actividades de control a nivel de la
entidad sobre la tecnología para apoyar la consecución de los objetivos.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

La Dirección Determina si los

selecciona y procesos de
desarrolla actividades gobierno de TI de la
de control diseñadas Organización
e implementadas para apoyan los objetivos
ayudar a asegurar la y estrategias de la
completitud, precisión Organización.
y disponibilidad de la
tecnología. Proporciona
seguridad con
respecto a la
eficiencia, La Junta
Monitoreo de los efectividad y Directiva debe
controles completitud de los dirigir, evaluar y
específicos de las controles de monitorear los
TI. tecnología, y cuando controles sobre
sea apropiado las TI.
realizar
recomendaciones a
actividades
específicas.

Establece procesos Los auditores

para monitorear y internos deben tener
evaluar los riesgos suficiente
relacionados con la conocimiento sobre
nueva y emergente los riesgos
tecnología. relacionados con las
TI.

www.auditool.org 40
Principio 12: la Organización despliega las actividades de control a través de políticas
que establecen las líneas generales del control interno y los procedimientos que llevan
dichas políticas.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

La Administración Monitorea el Proporciona La Junta Directiva

establece actividades cumplimiento de las seguridad con proporciona
de control que están políticas y respecto al diseño e supervisión para
construidas dentro de procedimientos implementación de asegurar que se
los procesos del establecidos por la políticas, ha establecido un
negocio y las Administración. procedimientos y sistema de
actividades del día a controles. procedimientos y
día de los empleados políticas robusto
a través de las para guiar las
políticas, operaciones y el
estableciendo lo que cumplimiento de
se espera, y los los objetivos.
procedimientos
relevantes,
especificando
acciones.

La Administración Asiste a la Hace

establece la Administración en el recomendaciones
responsabilidad y desarrollo y con respecto a la
rendición de cuentas comunicación de implementación de
para las actividades las políticas y políticas y
de control con la procedimientos. procedimientos.
Administración (u otro
personal asignado)
de la unidad de
negocios o la función
en la cual los riesgos
relevantes residen.

Personal competente Asegura que los

con la suficiente riesgos sean
autoridad desarrolla monitoreados de
actividades de control acuerdo al apetito
con diligencia y de riesgo de la
continúa atención. Organización.

www.auditool.org 41
 1ra Línea de 2da Línea de 3ra Línea de Entes Externos
Defensa Defensa Defensa

El personal
responsable investiga
y actúa sobre temas
identificados como
resultado de la
ejecución de
actividades de
control.

La Administración
revisa
periódicamente las
actividades de control
para determinar su
continua relevancia, y
las actualiza cuando
es necesario.

www.auditool.org 42
 INFORMACIÓN Y COMUNICACIÓN
Principio 13: la Organización obtiene o genera y utiliza información relevante y de
calidad para apoyar el funcionamiento del control interno.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Un proceso está en Recopila Proporciona La Alta Dirección

acción para identificar información a seguridad con y la Junta
la información través de la respecto a la Directiva usan la
requerida y esperada Organización para fiabilidad e información para
para apoyar el monitorear las integridad de la la toma de
funcionamiento de los actividades. información y los decisiones, con el
otros componentes de riegos fin de monitorear
control interno y el relacionados. el éxito de la
cumplimiento de los Organización, los
objetivos de la riesgos
entidad. anticipados, y la
comunicación con
Considera costos y las partes
beneficios: la externas.
naturaleza, cantidad y
precisión de la
información
comunicada están
acorde con y apoya el
cumplimiento de los
objetivos.

Los sistemas de
información producen
información que es
oportuna, actual,
precisa, completa,
accesible, protegida y
verificable y retenida.
La información es
revisada para evaluar
su relevancia en el
soporte de los
componentes de
control interno.

www.auditool.org 43
 Principio 14: la Organización comunica la información internamente, incluidos los
objetivos y responsabilidades que son necesarios para apoyar el funcionamiento del
Sistema de Control Interno.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Comunica la Monitorea, compila Proporciona La Junta Directiva

información requerida y comunica la seguridad con y la Alta Dirección
para permitir que todo información a la 1ra respecto a la proporcionan guía
el personal entienda y y la 2da línea con completitud, con respecto a la
lleve a cabo sus respecto a los exactitud y calidad naturaleza de las
responsabilidades de controles. de la comunicación comunicaciones
control interno. de acuerdo con las en cada una de
necesidades de la las líneas de
Alta Dirección y la defensa.
Junta Directiva.

Existe comunicación Monitorea los

entre la canales de
Administración y la comunicación.
Junta Directiva; por lo
tanto ambas partes
tienen la información
necesaria para
cumplir con sus roles
con respecto a los
objetivos de la
entidad.

Proporciona líneas de
comunicación para la
denuncia de
irregularidades, las
cuales sirven como
mecanismos a prueba
de fallos para permitir
la comunicación
anónima o
confidencial cuando
los canales normales
son inoperantes o
ineficientes.

www.auditool.org 44
 Principio 15: la Organización se comunica con los grupos de interés externos sobre
los aspectos clave que afectan el funcionamiento del control interno.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Se han establecidos La 2da línea de Proporciona La Junta Directiva

procesos para defensa no tiene seguridad con puede discutir
comunicar comunicación con respecto a la con auditores
información relevante partes externas, a precisión de las externos sus
y oportuna a grupos menos que los comunicaciones. posiciones y
de interés externos asuntos afecten el opiniones, que
incluyendo Sistema de Control pueden ser
accionistas, socios, Interno. incluidas en los
propietarios, reportes para la
reguladores, clientes, Organización.
y analistas financieros
y demás partes
externas.

Canales de
comunicación
abiertos permiten los
aportes de clientes,
consumidores,
proveedores,
auditores externos,
reguladores, analistas
financieros, entre
otros, proporcionando
a la administración y
la Junta Directiva
información relevante.

La información
relevante resultante
de evaluaciones
conducidas por partes
externas es
comunicada a la
Junta Directiva.

www.auditool.org 45
 1ra Línea de 2da Línea de 3ra Línea de Entes Externos
Defensa Defensa Defensa

Proporciona líneas de
comunicación
separadas: separa
canales de
comunicación, como
líneas directas de
denuncia de
irregularidades, las
cuales están en
acción y sirven como
mecanismos a prueba
de fallos para permitir
la comunicación
anónima o
confidencial cuando
los canales normales
son inoperantes o
ineficientes.

Selecciona métodos
de comunicación
relevantes: los
métodos de
comunicación
consideran el tiempo,
el público, y la
naturaleza de la
comunicación y los
requerimientos y
expectativas legales,
regulatorias y
fiduciarias.

www.auditool.org 46
 ACTIVIDADES DE SUPERVISIÓN – MONITOREO
Principio 16: la Organización selecciona, desarrolla y realiza evaluaciones continuas
y/o independientes para determinar si los componentes del Sistema de Control Interno
están presentes y en funcionamiento.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Considera una Lleva a cabo Proporciona La Junta Directiva

combinación de evaluaciones seguridad de que proporciona
evaluaciones continuas e las evaluaciones supervisión y
continuas e independientes continuas e asuste a la
independientes: la para monitorear los independientes se Administración en
Administración componentes del implementan a los la selección,
incluye un balance de Sistema de Control procesos del desarrollo y
evaluaciones Interno. negocio y se desempeño de
continuas e ajustan a las las evaluaciones
independientes. condiciones cuando a los
sea necesario. componentes del
Sistema de
Las evaluaciones Proporciona Control Interno.
independientes son seguridad de que
desarrolladas las evaluaciones
periódicamente para realizadas por la
proporcionar una Administración son
retroalimentación fiables y exactas.
objetiva.
Proporciona
seguridad de que el
Sistema de Control
Interno opera como
se espera, y que los
riesgos son
gestionados
adecuadamente.

www.auditool.org 47
 Principio 17: la Organización evalúa y comunica las deficiencias de control interno de
forma oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la
Alta Dirección y el Consejo, según corresponda.

1ra Línea de 2da Línea de 3ra Línea de Entes Externos

Defensa Defensa Defensa

Evalúa resultados: la Apoyo en la Los auditores La Junta

Administración y la supervisión de internos establecen Directiva debe
Junta Directiva, según tipos específicos de y mantienen un asegurarse de
corresponda, evalúa deficiencias. sistema para recibir la
los resultados de las monitorear los información
evaluaciones resultados y relacionada con
continuas e recomendaciones las deficiencias
independientes. de la auditoría de los controles,
interna, y que se
Comunica comunicadas a la implementen las
deficiencias: las Administración. medidas
deficiencias son correctivas tan
comunicadas a las pronto como sea
partes responsables posible.
para tomar las
acciones correctivas y
a la Alta Dirección y la
Junta Directiva, según
corresponda.

Supervisa acciones
correctivas: la
Administración
monitorea si las
deficiencias son
corregidas
oportunamente.

www.auditool.org 48
 REFERENCIAS

1. Casal Guillermo. Aseguramiento integral de la organización. Tomado de:

http://www.guillermocasal.com/downloads.php?id=2153207&dId=0&fId=97383
2. http://www.eciia.eu/
3. http://www.pwc.es/es/publicaciones/auditoria/assets/informe-estado-profesion-
auditoria-interna-2013.pdf
4. https://na.theiia.org/Pages/IIAHome.aspx
https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%
20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control
%20Spanish.pdf
5. IAI. (2015). Visión 2020: Desafíos de Auditoría Interna en el horizonte 2020.
6. IIA. (2013). Declaración de posición: Las tres líneas de defensa para una efectiva
gestión de riesgos y control. Tomado de:
https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%
20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control
%20Spanish.pdf
7. IIA. (2013). El Marco Global de Competencias de Auditoría Interna. Tomado de:
http://www.felaban.net/archivos_boletines_clain/archivo20140723222756PM.pdf
8. IIA. (2015). Leveraging COSO across the Three Lines of Defense. Tomado de:
http://coso.org/documents/COSO-2015-3LOD-PDF.pdf
9. www.coso.org

www.auditool.org 49