TENDENCIAS MUNDIALES SOBRE CONTROL

INTERNO Y GESTIÓN DE RIESGOS:

MODELO DE CAPACIDAD DE GOBIERNO,
RIESGO Y CUMPLIMIENTO
 Antes de empezar… por favor, ten en cuenta lo siguiente:

Escucha y observa con

Escucha las reglas de atención la explicación de Tome nota de las ideas
participación del docente. los temas. más importantes.

Si tienes consultas, dudas

Revisa previamente las o comentarios sobre los Participa de las
lecturas indicadas para temas, puedes levantar la actividades que planteará
esta sesión mano en la plataforma el docente en clase.
Zoom y participar.

2
 Logro de la sesión

Comprende las nuevas iniciativas normativas de

la OCEG (Open Compliance and Ethics Group) -
GRC (Gobierno Corporativo, riesgo y
cumplimiento), y las tres líneas de defensa de las
empresas

Fuente imagen: www.avanzaentucarrera.com

3
 ANTECEDENTES DE GRC [1]
Se origina por como respuesta a los escándalos financieros y a la necesidad de separar la propiedad y administración (problema del agente-
principal)

Refleja la cambiante relación entre empresas, sociedad y gobierno.

Las empresas empiezan a prestar más atención a su conducta, en todos los niveles, con el fin de evitar sanciones (concepto de regulación)

Primera década de Siglo XXI surge como una clase de software.

Integrado para automatizar controles, apoyar el cumplimiento de regulación y supervisión, control interno, auditorías, riesgos y gestión de
procesos.

Cambio de paradigma empresarial “Forzado" a cumplir (leyes), por la adopción “voluntaria” de una visión de: autoregulación y autocontrol, en
el desarrollo del negocio.

El cumplimiento se integra al concepto en los años 1980 y 1990, con el auge de las economías de mercado

Fin de primera década de 2000 incorpora el tema de ética. “..cumplimiento no equivale necesariamente a conducta ética”

Gobierno, Riesgo y Cumplimiento (GRC): concepto que se ha convertido en tema clave de negocio en el mundo.
 Alineamiento de los conceptos
Administración Cumplimiento
de Riesgos

Gobierno
Corporativo

Existe un alineando convergencia de estos campos del conocimiento que faciliatán su

integración
El objetivo: mejorar el desempeño de las empresas y el logro de las expectativas de las
partes interesadas.
La aplicación de los conceptos GRC requiere enfoques que se basan en facilitadores de
diversos tipos:
Principios, Políticas, Modelos, Marcos de referencia, Estructuras organizacionales.
 Gobierno Corporativo

• “Involucra una serie de relaciones entre la gerencia de una

compañía, su Directorio, sus accionistas y otras partes interesadas.
Provee la estructura a través de la cual se logran los objetivos de la
compañía y se determinan los medios para lograr dichos objetivos y
hacer seguimiento a su desempeño” [4]
– Sistema por el cual las sociedades públicas y privadas son dirigidas y
controladas.
– La estructura del gobierno corporativo especifica la distribución de los
derechos y de las responsabilidades entre los diversos actores de la
empresa.

[4] OECD: Organización para la Cooperación y Desarrollo Económico. Declaración de Principios de 1998:2004.
 Administración de Riesgos

• Proceso por el cual el Directorio, la administración y el personal de

una empresa u organización maneja los riesgos, aplicado diferentes
estrategias para identificar, evaluar, medir y dar tratamiento a los
riesgos para reportar y proporcionar seguridad e integridad
razonables respecto del logro de objetivos.
• Este proceso le permite a la empresa
– Administrar los riesgos que amenazan su existencia, sus activos,
utilidades, al personal o los servicios que presta.
– Tomar los riesgos adecuados, de acuerdo al nivel de riesgo al cual están
dispuestos a exponerse.
– Conocer y comprender los riesgos, identificando los recursos y esfuerzos
necesarios para alcanzar los resultados deseados,
– Proveer los medios para la temprana detección y corrección de
decisiones erradas o inadecuadas.
 CUMPLIMIENTO (COMPLIANCE)

• Sistemas y procesos por los cuales una empresa asegura que sus
empleados y accionistas se adhieren y actúan de conformidad a las
reglas del negocio y requisitos legales.
– Se brinda seguridad razonable del cumplimiento de aspectos regulatorios,
directrices, normas, estándares, reglamentos, derechos u obligaciones
contractuales
– Se asegura que se llevan a cabo las acciones o tratamientos recomendados, con
el propósito de lograr los objetivos y alcanzar conformidad con los
requerimientos (límites internos y externos) establecidos.
 MARCOS DE REFERENCIA
PARA GOVERNANCE
• OCDE: Organización para la Cooperación y Desarrollo Económico. Declaración de Principios de
1999:2004
• Declaraciones de principios de asociaciones y de actos legislativos
– USA: American Law Institute (ALI), 1994; National Association of Corporate Directors (NACD), 1996, 2001, 2005,
2011
– UK: Cadbury, Greenbury, Hampel, Turnbull, Higgs reports
– King III. 2009 South African report on corporate governance
– SOX, Basilea II y III, HIPAA,
– Modelos de Control Interno, leyes locales.
• Para IT-Governance
– Weill & Ross
– ISACA / ITGI
– AS/8015-2005
– ISO/IEC-38500
 ¿En que consiste GRC: Gobierno Corporativo, Riesgo y
Cumplimiento (OCEG)

• “ Es la capacidad de lograr objetivos de manera fiable [Gobierno] al

mismo tiempo que se maneja y enfrenta la incertidumbre [riesgo] y
se actúa con integridad respetando las obligaciones regulatorias y
los compromisos voluntarios [cumplimiento] ” [3]

[Definición de GRC de la OCEG Open Compliance & Ethics Group. (2012).OCEG Red Book GRC Capability Model, Versión 2.1.
 GRC: Gobierno Corporativo, Riesgo y Cumplimiento (OCEG)

OCEG (Open Compliance and Ethics Group), es un grupo de expertos sin fines de lucro que
ayuda a las organizaciones a lograr un rendimiento basado en principios® al proporcionar
recursos que ayudan a mejorar la cultura organizacional y mejorar las empresas Gobierno,
rendimiento, riesgo, control interno y gestión de cumplimiento (GRC) capacidades.

Integral

Por Procesos

Fuente: www.oceg.org
Gobierno Corporativo, Riesgos y Cumplimiento
GRC: Gobierno Corporativo, Riesgo y Cumplimiento
 Del Red Book GRC de OCEG Capability Model version 3.0*

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

Gobierno Corporativo, Riesgos y Cumplimiento
 Principios de GRC
COMPRENDER (LEARN) EJECUTAR (PERFORM)

EXAMINAR (REVIEW)
ALINEAR (ALIGN)

Fuente: Red Book GRC de OCEG Capability Model version 3.0*

 Líneas de Defensa de las Empresas
El modelo propone tres niveles de actividad que
garantizan un buen control y la adecuada gestión y
supervisión de riesgos de forma eficaz.
• En la primera línea, cada área operativa de la
empresa pone en práctica la gestión de sus
propios riesgos y controles;
• La segunda aborda riesgos transversales,
complejos y específicos; cumplimiento, gestión
de riesgos, seguridad, etc., en definitiva
aseguran el cumplimiento de políticas y
estándares de control en línea con el apetito de
riesgo de la entidad; y
• La tercera línea de defensa es Auditoría Interna,
que aporta aseguramiento y supervisión
objetiva sobre las dos primeras líneas, y asesora
y evalúa sobre la eficacia de los procesos de
global.theiia.org/Technical Papers
gestión de riesgos, control y gobierno.
GRC APLICADO AL SEGURIDAD DE INFORMACION
CONTINUIDAD PROTECCIÓN GESTIÓN SEGURIDAD
CONTINUIDAD PROTECCIÓN GESTIÓN PCI DSS
(ISO 22301) DE DATOS (ISO SEGURIDAD
27001) PCI DSS
(ISO 22301) DE DATOS (ISO 27001)
Adecuación de la
Implantación de un
Proyectos encaminados normativa VISA y
sistema de gestión de
a la continuidad del MASTERCARD,
Actualizado al RGPD seguridad de la
negocio (PCN / PCI). securización de
información o SGSI (ISO
ISO 22301. información de las
27001).
tarjetas de crédito.

CALIDAD COMPLIANCE
ENS / ENI LPIC (ISO 9000) PENAL
Adecuación a la LPIC.
Adecuación del ENS y Plan de Seguridad del Implantación de un Implantación de un
ENI. Orientado a AAPP Operador (PSO) y sistema de gestión de sistema de gestión
que prestan servicios Planes de Protección calidad (ISO 9000) COMPLIANCE PENAL
telemáticos o no al Específicos (PPE).
ciudadano.

 Normativas sectoriales:
… OTRAS Solvencia II, SOX, COBIT, HYPAA, etc.
 Normativa Interna de la Organización o de terceros
 Líneas de Defensa de las Empresas

COORDINACION DE LAS TRES LINEAS DE DEFENSA

Debido a que cada organización es única y puede

Estructura Organizacional variar según situaciones específicas, no hay una
forma "correcta" para coordinar las Tres Líneas de
• Las Tres líneas de Defensa es un Defensa. Sin embargo, al asignar las
esquema referencial para describir las responsabilidades específicas y de coordinación
responsabilidades mediante líneas de entre las funciones de gestión de riesgos, puede ser
actividad que contribuyan a garantizar útil tener en cuenta el papel fundamental de cada
controles adecuados y que los riesgos grupo en el proceso de gestión de riesgos.
se gestionen.
• Mejora la coordinación entre la segunda
y tercera línea al aportar valor en
ambas direcciones
• Tiene una mayor probabilidad de llevar
a cabo una administración efectiva de
riesgos
 APLICACIÓN DE LA TRES LINEAS EN UNA COMPAÑÍA DE SEGUROS .

1ª Línea de defensa
• Gestión de riesgos diaria, tomando en cuenta el
riesgo de la organización.
• El consejo tiene la mayor responsabilidad en la
gestión de riesgos (y Solvencia).
2ª Línea de defensa
• Establecer los procesos estándares de riesgos y
su vigilancia
• Todavía no está completamente claro en cuál de las
tres líneas encajarán las funciones de Riesgos y
Actuarial
3ª Línea de defensa
• Asegurar independencia en el diseño y efectividad
del marco de la gestión de riesgos.
Organización de las áreas
• Los procesos y sistemas mejorados para
Solvencia II deberán ser administrados por las
funciones relevantes dentro de las tres líneas
de defensa. Asimismo, el personal y los servicios
de outsourcing serán afectados.

Fuente: ICAAP/ORSA to ERM: Governance and Practices

 LINEAS DE DEFENSA DE LAS EMPRESAS
La Auditoría Interna tiene la misión de mejorar y
proteger el valor de la organización
proporcionando aseguramiento, visión y
asesoramiento objetivos basados en riesgos
(IIA, 2015)

https://auditoresinternos.es/uploads/media_items/150326-visi%C3%B3n2020-auditor%C3%ADa-interna.original.pdf
 LINEAS DE DEFENSA DE LAS EMPRESAS Y AUDITORIA INTERNA

Fuente: Driving Success in a Changing World - 10 Imperatives for Internal Audit

https://dl.theiia.org/IC/Driving-Success-in-a-Changing-World-10-Imperatives-for-Internal-Audit.pdf
 LINEAS DE DEFENSA DE LAS EMPRESAS
EL ENFOQUE DE LA 4TA LÍNEA
El Instituto de Estabilidad Financiera de Basilea publicó
un documento de trabajo donde se introduce el Modelo
de las 4 Líneas de Defensa para instituciones financieras
(“4LoD”) (The four lines of defense model for financial
institutions, Financial Stability Institute, Occasional Paper
No. 11, BIS, 2015), ampliando el ya conocido por todos
Modelo de 3 Líneas. Así la cuarta línea propuesta
significa una interacción entre auditoría interna,
externa y reguladores que el propio documento
señala podría ocasionar limitaciones a la
independencia.

1. Los incentivos (bonos) mal alineados para los que

toman riesgos en la primera línea de defensa
2. La falta de independencia de la organización de las
funciones de segunda línea de defensa
3. La falta de conocimientos y experiencia en las
funciones de segunda línea
4. Evaluación de riesgos inadecuada y subjetivo
realizado por la auditoría interna

https://aechile.cl/wp-content/uploads/2016/01/The-4-LoD-for-financial-institutions-dec2015.pdf
 LINEAS DE DEFENSA DE LAS EMPRESAS
EL ENFOQUE DE LA 4TA LÍNEA
1. La regulación financiera de las instituciones requieren un
modelo sólido de cuatro líneas de defensa con énfasis en la
relación entre auditoría interna (tercera línea de defensa) y
auditoría externa, y supervisores (ambos componen la cuarta
línea de defensa), a pesar de su ubicación externa.

2. La defensa debe ser activa en la supervisión y control de los

problemas de control en la organización y relacionamiento
.con los altos niveles de la organización. Esto significa una
estrecha interacción entre la función de auditoría interna, la
auditoría externa y los supervisores.

3. Las ventajas y riesgos que surgen de un aumento de

colaboración entre estas tres funciones requiere de más
investigación para desarrollar posibles soluciones a los
problemas que se identificaron.

4. Observar los cambios realizados en adelante en la

supervisión y prácticas de auditoría que se aplican al sector
financiero para identificar y abordar los problemas clave en
las instituciones en una etapa anterior y estar más cerca de
las operaciones de la organización sin comprometer la
independencia de las funciones de defensa de la tercera y
cuarta línea.
 NUEVO MODELO DE LAS TRES LINEAS
Modelo de las Ayudar a las
El Modelo de facilitan el
Tres Líneas organizaciones
las Tres Líneas logro de los
tiene un a evitar
ayuda a las objetivos y
propósito confusiones,
organizaciones promuevan un El Modelo se aplica a todas las organizaciones y se optimiza mediante lo
similar a las duplicación,
a identificar las gobierno siguiente:
Tres Líneas de ineficiencia y
estructuras y sólido y
Defensa que superposición
los procesos gestión de
aparecieron en en la gestión
que mejor riesgo.
2013: de riesgos.

Modelo de las tres líneas permite salvaguardas

Enfocar la
(especialmente la externalización del aseguramiento sobre Adoptar un
contribución de la
Comprender
Implementar
gestión de riesgo medidas para
programas en los que auditoría interna haya participado enfoque basado
en la obtención
claramente los
garantizar que las
en principios y roles y
de objetivos y la actividades y los
como asesor). adaptar el
creación de valor,
responsabilidades
objetivos estén
Modelo a los representados en
Garantiza la independencia de auditoría interna y reducen los objetivos y
así como en
cuestiones de
el Modelo y las
alineados con los
intereses
circunstancias de relaciones entre
costes, a la vez que se incrementan las sinergias y el la organización.
"defensa" y
ellos.
prioritarios de las
protección del partes interesada
alineamiento, la colaboración y la compartición de valor.
información.
 Principios del nuevo Modelo de las Tres Líneas

El cambio más significativo dentro

del nuevo Modelo de Las Tres Se ha mantenido el concepto de El documento ha sido traducido al
Líneas es el enfoque basado en las “líneas” pero no con el fin de español por la Fundación
seis principios clave para denotar elementos estructurales, Latinoamericana de Auditores
proporcionar a las organizaciones sino de diferenciar las funciones. Internos.
una mayor flexibilidad.
 PRINCIPIOS DEL NUEVO MODELO DE LAS TRES LÍNEAS

Principio 1: Estructurar el gobierno de la organización para rendir cuentas, definir acciones, asegurar y asesorar.

Principio 2: Establecer los roles dentro del órgano de gobierno para que funcione de forma eficaz. Es necesario alinear los objetivos y actividades a los intereses de cada
parte.

Principio 3: Definir responsabilidades para alcanzar objetivos tanto en primera como segunda línea. Las funciones de la primera línea están directamente alineadas con la
entrega del producto o servicio. La segunda línea se encarga de la asistencia en la gestión de riesgos.

Principio 4: Establecer los roles de tercera línea como la auditoría interna. Este principio también sirve para asesorar a los demás órganos para asegurarse del
cumplimiento de los objetivos.

Principio 5: La auditoría interna es independiente de las responsabilidades de la dirección para ser totalmente objetiva y creíble.

Principio 6: Creación y protección del valor. Todas las funciones trabajan colectivamente con el objetivo de alinearse y lograr los intereses de todas las partes involucradas.
 NUEVOS ROLES EN EL MODELO DE TRES LÍNEAS

Asimismo, garantiza el
El órgano de gobierno: cumplimento de todas las Auditoría Interna:
La Dirección:
Es quién establece la expectativas legales, éticas y La auditoría interna es
Se divide entre roles de reglamentarias. La segunda
dirección de la organización y independiente del órgano de
primera línea y de segunda línea de la dirección vigila y
define la visión, misión y gobierno y la dirección. Se
línea. Los que están en la mide el desarrollo,
valores. También es quien encarga de asegurarse que la
primera línea se encargan de implementación y mejora
elige el grado de aceptación gestión de riesgos sea
dirigir las acciones, mantener continua de las prácticas
de riesgos dentro de la adecuada según los objetivos
la comunicación con el enfocadas a la gestión de
misma. Este agente se establecidos y promueve la
órgano de gobierno y riesgos. También se encarga
encarga de delegar mejora continuada. La
establecer los procesos para del cumplimento de objetivos
responsabilidades para independencia y objetividad
la gestión de operaciones y dentro de la misma como el
alcanzar los objetivos de la son las dos características
riesgos. cumplimiento de las leyes y
organización. principales de este rol.
reglamentos.
Finalizamos
Sesión 5