COSO-2015-3LOD (1) .En - Es

C ommitteeof S ponsoring O rganizationsof la C omisión T readway
Gove rnanceand I nterna Co ntrol
L EVERAG iación COSO través de
los tres LI NE S DE DE F ENS E
Por
El Instituto de Auditors® Interna
Douglas J. Anderson | Gina Eubanks
La información contenida en este documento es de naturaleza general y en base a las autoridades que están sujetos a cambios. Aplicabilidad de la información a situaciones específicas debe
determinarse mediante la consulta con su asesor profesional, y este documento no debe considerarse como un sustituto
para los servicios de esos asesores, ni debe ser usada como base para cualquier decisión o acción que pueda afectar a su organización.
autores
El Instituto de Auditores Internos
Douglas J Anderson, CIA, CPA, CRMA, Jefe de Auditoría de CMA Gina Eubanks, CIA, CISA, CRMA, CCSA
Ejecutivo Asunto Consultor para el I yo Una de Auditoría Center ® vicepresidente de servicios profesionales
Ejecutivo
Expresiones de gratitud
Nos gustaría reconocer a Richard J. Anderson, Richard Chambers, Sally Dix, Jim DeLoach, Hal Gar y n, y Paul Marshall por su
ayuda y apoyo en la preparación de este documento.
Miembros de la Junta de COSO
Robert B. Hirth, Jr. Mitchell A. Danaher

Presidente COSO Los ejecutivos financiera internacional
Douglas F. Prawitt Charles E. Landes

Asociación Americana de Contabilidad Instituto Americano de Contadores Públicos (AICPA)
Richard F. Cámaras Sandra Richtermeyer

El Instituto de Auditores Internos Institute of Management Accountants
Prefacio
Este proyecto fue encargado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), que se dedica a proporcionar
liderazgo mediante el desarrollo de marcos generales y orientación sobre la gestión empresarial de riesgos, el control interno, y la disuasión del
fraude diseñado para mejorar el rendimiento de la organización y gobernabilidad y para reducir el alcance del fraude en las organizaciones. COSO
es una iniciativa del sector privado patrocinado y financiado conjuntamente por las siguientes organizaciones:
Asociación Americana de Contabilidad ( AAA)
Instituto Americano de Contadores Públicos ( AICPA)
Los ejecutivos financiera internacional ( FEI)
El Institute of Management Accountants ( IMA)

Comité de Organizaciones Patrocinadoras
de la Comisión Treadway
El Instituto de Auditores Internos ( IIA) www . coso. org

El Instituto de Auditores Internos | Aprovechando COSO través de las tres líneas de defensa | yo
Gove rnanceand I nterna Co ntrol
L EVERAG iación COSO través de
los tres LI NE S DE DE F ENS E
Una investigación
investigación encargada
encargada
por por la
COSO
de julio de el año 2015
www . coso. org

ii | Aprovechando COSO través de las tres líneas de defensa | El Instituto de Auditores Internos
Copyright © 2015, La COSO (COSO). 1234567890 PIP 198765432
Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, redistribuida, transmita o exhiba en cualquier forma o por cualquier medio sin el permiso por
escrito. Para obtener información sobre las licencias y permisos de reimpresión póngase en contacto con el Instituto Americano de concesión de licencias y permisos agente de
Contadores Públicos de materiales con derechos de autor COSO. Directos todas las consultas a copyright@aicpa.org~~V~~plural~~3rd o AICPA, la atención de:. Manager, Derechos y
permisos, 220 Leigh Farm Rd, Durham, NC 27707. Las consultas telefónicas pueden ser dirigidas a 888-777-7077.
www . coso. org

El Instituto de Auditores Internos | Aprovechando COSO través de las tres líneas de defensa | iii
Contenido Página
Introducción 1
Resumen ejecutivo 1
I. Las tres líneas de defensa Modelo 2
Roles de la Alta Dirección y el Consejo de Administración en las

tres líneas de defensa Modelo 4
La primera línea de defensa: Gestión de Operaciones 5
La segunda línea de defensa: Supervisión Interna y Funciones de

Supervisión 6
La tercera línea de defensa: Auditoría Interna 7
Los auditores externos, reguladores y otros cuerpos

externos 9
II. Estructuración y coordinación de las tres

líneas de defensa 10
La estructuración de las tres líneas de defensa 10
La coordinación de las tres líneas de defensa 11
III. Aprovechando COSO a través de las tres líneas de defensa 13
IV. Conclusión 14
Observaciones clave 14
Apéndice 15
Sobre los autores 23
sobre COSO 24
Sobre el IIA 24
Gráficos procedente de Las tres líneas de defensa en la gestión eficaz del riesgo y de control,
El Instituto de Auditores Internos, enero de 2013.
www . coso. org

iv | Aprovechando COSO través de las tres líneas de defensa | El Instituto de Auditores Internos
www . coso. org

El Instituto de Auditores Internos | Aprovechando COSO través de las tres líneas de defensa | 1
Introducción
Este trabajo es una colaboración entre el Comité de Organizaciones Patrocinadoras (COSO) y el Instituto de Auditores Internos, Inc. El objetivo de este documento es
ayudar a las organizaciones a mejorar sus estructuras de gobierno globales, proporcionando orientación sobre cómo articular y asignar funciones y responsabilidades
específicas en relación con el control interno relacionando la COSO
Control Interno - Marco Integrado 1 a las tres líneas de defensa del modelo. 2
Resumen ejecutivo
Cada organización tiene objetivos que se esfuerza por lograr. En la consecución de ni los “huecos” en el tratamiento del riesgo y el control, ni la
estos objetivos, la organización se encontrará con los eventos y circunstancias que duplicación innecesaria o no intencional de esfuerzo.
puedan poner en peligro la consecución de estos objetivos. Estos hechos y
circunstancias posibles riesgos crean una organización debe identificar, analizar, Las tres líneas de defensa (el modelo) se ocupa de cómo varias funciones
definir y dirección. Algunos riesgos pueden ser aceptados (en todo o en parte) y específicas relacionadas con el riesgo y el control podría ser asignado y coordinado
algunos pueden ser total o parcialmente mitigados a un punto en el que están en un dentro de una organización, independientemente de su tamaño o complejidad.
nivel aceptable para la organización. Hay un número de maneras de mitigar los Directores y la administración deben entender las diferencias fundamentales en los
riesgos, con un método clave es el diseño e implementación de un control interno roles y responsabilidades de estos derechos y cómo deben ser asignados de forma
efectivo. óptima para que la organización tiene una mayor probabilidad de lograr sus objetivos.
En particular, el modelo aclara la diferencia y la relación entre la garantía de las
organizaciones y otras actividades de vigilancia; actividades que pueden ser mal
interpretadas si no está claramente definido.
el COSO Control interno - Marco Integrado ( el
Marco de referencia) describe los componentes, principios y factores necesarios para
una organización para gestionar eficazmente sus riesgos a través de la implementación
del control interno. Sin embargo, es en gran medida en silencio con respecto a quién es A medida que avanzamos, tenemos la intención de extraer de ambos Marco de referencia
responsable de las tareas específicas descritas en el Marco de referencia. responsabilidadesy el modelo con la suposición de que el lector ya ha obtenido un conocimiento básico
claras deben definirse de manera que cada grupo entiende su papel en el tratamiento y de la Marco de referencia. Para aquellos que no están familiarizados con el Marco de
control de riesgos, los aspectos de los que son responsables, y cómo van a coordinar sus referencia, Más información está disponible en COSO.org. El modelo se describe con
esfuerzos con los demás. Debería haber más detalle en
Sección I, más adelante en este documento.
Figura 1. Relación entre los objetivos, la estructura y la Modelo
Establece objetivos de la
Junta de Organización
Organización
Marco utiliza para

gestionar el riesgo y
el control para lograr
los objetivos
Primera línea de defensa Segunda línea de defensa Tercera línea de defensa
Control financiero
Gestión de riesgos Estructura de la

organización para
administración Control interno de seguridad Auditoría ejecutar funciones de
controles medidas Calidad
interna riesgo y control
Cumplimiento de
Inspección
1
Control Interno - Marco Integrado, COSO (Jersey City, Nueva Jersey: Instituto Americano de Contadores Públicos, mayo de 2013. Disponible en coso.org
.
2 Las tres líneas de defensa en la gestión eficaz del riesgo y control, ( Altamonte Springs, FL: El Instituto de Interior
Cuentas Inc, enero de 2013). Disponible en: 3LinesofDefenseinEffectiveRiskManagementandControl .
www . coso. org

2 | Aprovechando COSO través de las tres líneas de defensa | El Instituto de Auditores Internos
I. Las tres líneas de defensa Modelo
El modelo mejora la comprensión de la gestión y control de riesgos mediante la Todos en una organización tiene alguna responsabilidad en el control interno, sino
aclaración de las funciones y deberes. Su premisa subyacente es que, bajo la para ayudar a asegurar que los derechos esenciales se llevan a cabo según lo
supervisión y dirección de la alta dirección y el consejo de administración 3, tres previsto, el modelo trae claridad a las funciones y responsabilidades específicas.
grupos separados (o líneas de defensa) dentro de la organización son Cuando una organización ha estructurado adecuadamente las tres líneas, y operar
necesarios para la gestión eficaz del riesgo y el control. Las responsabilidades con eficacia, no debe haber vacíos en la cobertura, sin duplicación innecesaria de
de cada uno de los grupos (o “líneas”) son: esfuerzos y de riesgos y control tiene un mayor probablemente de ser
administrados de manera eficaz. El consejo de administración se habrá
incrementado oportunidad de recibir información objetiva sobre los riesgos más
1. Poseer y administrar riesgos y control (gestión operativa de primera línea). significativos de la organización - y sobre cómo está respondiendo a la gestión de
dichos riesgos.
2. Monitor (Funciones de riesgos, control y cumplimiento de normas establecidas

por la gestión de riesgo y control) para apoyar la gestión.
El modelo proporciona una estructura flexible que puede ser implementado en apoyo de
la Marco de referencia. Funciones dentro de cada una de las líneas de defensa variarán
3. Proporcionar una garantía independiente al Consejo ya la alta de una organización a, y algunas funciones pueden ser combinadas o dividir a través de
dirección con respecto a la eficacia de la gestión de riesgos y las líneas de defensa. Por ejemplo, en algunas organizaciones, partes de una función de
control (auditoría interna). cumplimiento en la segunda línea pueden estar involucrados en el diseño de los controles
para la primera línea, mientras que otras partes de la segunda línea se centran
Cada una de las tres líneas juega un papel distinto en el marco más amplio de principalmente en el seguimiento de estos controles.
gobierno de la organización. Cuando cada uno realiza su función asignada de

manera efectiva, es más probable que la organización va a tener éxito en la
consecución de sus objetivos generales.
Figura 2. Tres líneas de defensa Modelo

Las tres líneas de defensa en la gestión eficaz del riesgo y control, el Instituto de Auditores Internos, Enero 2013
Consejo de Comité cuerpo / Junta / Auditoría
Gerencia senior
auditoría externa
Primera línea de defensa Segunda línea de defensa Tercera línea de defensa Regulador de
Control financiero
Gestión de riesgos
Controles de Control interno de seguridad Auditoría
gestión medidas Calidad

interna
Cumplimiento
de Inspección
3 De acuerdo con otras publicaciones Coso, este documento se utiliza el término “consejo de administración” para referirse a los órganos de gobierno
tales como consejos de administración, juntas directivas, socios generales, propietarios, o los consejos de vigilancia.
www . coso. org

Independientemente de cómo una organización en particular estructuras de sus tres El objetivo de cualquier organización es lograr sus objetivos. Para alcanzar estos
líneas de defensa, hay algunos principios fundamentales implícitos en el modelo: objetivos consiste en el aprovechamiento de oportunidades, la búsqueda del crecimiento,
la toma de riesgos y la gestión de los riesgos - todo para avanzar en la organización. Si
no se toman los riesgos apropiados, y el fracaso para gestionar adecuadamente los
1. La primera línea de defensa recae en los propietarios de negocios y procesos riesgos y de control adoptadas, puede evitar que una organización de cumplimiento de
cuyas actividades crear y / o gestionar los riesgos que pueden facilitar o impedir sus objetivos. No es, y siempre será, la tensión entre las actividades de creación de valor
objetivos de una organización de haberse alcanzado. Esto incluye tomar los de la empresa y las actividades para proteger el valor de la empresa. los Marco de
riesgos correctos. La primera línea posee el riesgo, y el diseño y ejecución de los referencia
controles de la organización para responder a esos riesgos.
proporciona una estructura para considerar el riesgo y el control para asegurarse de que
son apropiados y se gestiona adecuadamente. El modelo proporciona orientación en
2. La segunda línea se puso en marcha para apoyar la gestión aportando cuanto a una estructura organizativa para ser implementado, la asignación de funciones
experiencia, excelencia de procesos y control de la gestión junto a la primera y responsabilidades de las partes que incrementen el éxito de la gestión eficaz del riesgo
línea para ayudar a asegurar que el riesgo y el control de gestión eficaz. La y el control.
segunda línea de las funciones de defensa están separados de la primera línea
de defensa, pero todavía están bajo el control y la dirección de la administración
superior y típicamente realizar algunas funciones de gestión. La segunda línea
es esencialmente un sistema de gestión y / o la función de supervisión que
posee muchos aspectos de la gestión del riesgo.
3. La tercera línea proporciona una garantía a la alta dirección y el consejo sobre

los esfuerzos tanto la primera y segunda líneas consistentes con las
expectativas del consejo de administración y la alta dirección. La tercera línea
de defensa por lo general no se le permite realizar funciones de gestión para
proteger su objetividad e independencia de la organización. Además, la
tercera línea tiene una línea principal de rendición a la junta. Como tal, la
tercera línea no es una garantía de una función de gestión, que la separa de
la segunda línea de defensa.
www . coso. org

Roles de la Alta Dirección y el Consejo de Administración en las tres líneas de defensa Modelo
La alta dirección y el consejo de administración tienen un papel integral en el los Marco de referencia ayuda a aclarar estas responsabilidades del consejo de
modelo. El administrador es responsable de la selección, desarrollo y evaluación administración y la alta dirección. Como se indica en
del sistema de control interno con la supervisión de la junta de directores. Aunque figura 3 a continuación, la alta dirección y el consejo de administración tienen la
ni la alta dirección ni el consejo de administración se consideran parte de una de responsabilidad principal de ambiente de control de una organización que es apoyado
las tres líneas, estas partes tienen colectivamente la responsabilidad de establecer por los cinco principios que establecen el tono en la parte superior de la organización.
objetivos de una organización, la definición de estrategias de alto nivel para
alcanzar dichos objetivos, y el establecimiento de las estructuras de gobierno para
gestionar mejor el riesgo . Son también las partes mejor posicionados para El modelo proporciona una estructura bajo la Marco de referencia
asegurarse de que la estructura organizativa óptima para las funciones y que detalla cómo se asignan funciones y responsabilidades. Lo mejor es
responsabilidades relacionadas con el riesgo y el control. La alta dirección debe implementado con el apoyo activo y la orientación del consejo de
apoyar plenamente la gobernabilidad fuerte, gestión de riesgos y control. En administración y la alta dirección.
adición, que tienen la responsabilidad última de las actividades de la primera y
segunda líneas de defensa. Su compromiso es crítico para el éxito del modelo
general.
Figura 3. funciones de supervisión del entorno de control
Consejo de Comité cuerpo / Junta / Auditoría
Gerencia senior
Control medioambiental Vigilancia
1. Demuestra compromiso con la integridad

y los valores éticos
2. la responsabilidad de supervisar el ejercicio
3. Establece la estructura, la autoridad y

responsabilidad
4. Demuestra compromiso con la competencia
5. Hace cumplir la rendición de cuentas
www . coso. org

La primera línea de defensa: Gestión de Operaciones
La primera línea de defensa en el modelo lleva a cabo principalmente de primera línea La alta dirección tiene la responsabilidad general de todas las actividades de la línea
y de línea media gerentes que tienen la propiedad del día a día y la gestión de riesgos primeras. Para ciertas zonas de alto riesgo, la alta dirección también puede proporcionar
y control. directores de operaciones a desarrollar e implementar los procesos de una supervisión directa de primera línea y la gestión de la línea media, incluso hasta el
control y gestión de riesgos de la organización. Estos incluyen los procesos de control punto de llevar a cabo algunos de los propios primeras responsabilidades de línea.
interno diseñados para identificar y evaluar los riesgos signifi cativas, ejecutar
actividades según lo previsto, resalte procesos inadecuados, averías de control de
dirección, y comunicar a las partes interesadas clave de la actividad. gerentes de Los individuos en la línea primera de la defensa tienen responsabilidades signifi
operaciones deben estar debidamente capacitado para realizar estas tareas dentro de cativas relacionadas con la evaluación de riesgos, actividades de control, y las
su área de operaciones. secciones de información / comunicación de la
Marco de referencia. Como se indica en Figura 4 a continuación, los directores de

operaciones tienen la responsabilidad primaria de los 12 principios de control interno
que quedan expuestas en el Marco de referencia:
Figura 4. COSO y la primera línea de defensa
Evaluación de riesgos
Primera línea de defensa

6. es específi objetivos adecuados
7. es identifi y análisis de riesgos
8. Evalúa el riesgo de fraude
9. es identifi y analiza el cambio signifi cativo

Controles de Control interno
gestión medidas
Actividades de control
10. Selecciona y desarrolla actividades de control
11. Selecciona y desarrolla controles generales

encima de eso
12. Se implementa a través de políticas y procedimientos
Información y Comunicación
13. Utiliza la información relevante
14. Se comunica internamente
15. Se comunica externamente
Seguimiento de las actividades
dieciséis. Lleva a cabo en curso y / o separada

evaluaciones
17. Evalúa y comunica defi ciencias
www . coso. org

La segunda línea de defensa: Supervisión Interna y Funciones de Supervisión
La segunda línea de defensa incluye varias funciones de gestión de riesgos y Bajo la supervisión de la gestión, el personal de segunda línea supervisan controles
cumplimiento puestos en marcha por la administración para ayudar a asegurar controles específicos para determinar si los controles están funcionando según lo previsto. Las
y procesos de gestión de riesgos aplicadas por la primera línea de defensa están actividades de supervisión realizadas por la segunda línea normalmente cubren las tres
diseñados de manera adecuada y que operan como se pretende. Estas son las categorías de objetivos como se describe por el Marco de referencia:
funciones de gestión; separada de gestión de funcionamiento de primera línea, pero
todavía bajo el control y la dirección de la administración superior. Funciones en la operativa, generación de informes y el cumplimiento.
segunda línea suelen ser responsables de la supervisión continua del control y riesgo. A
menudo trabajan en estrecha colaboración con la gestión de operaciones para ayudar a Las responsabilidades de los individuos dentro de la segunda línea de defensa varían
definir la estrategia de implementación, proporcionar conocimientos especializados en el ampliamente, pero típicamente incluyen:
riesgo, implementar políticas y procedimientos, y recoger información para crear una • Ayudar a la administración en el diseño y desarrollo de procesos y
vista de toda la empresa de riesgos y control. controles para gestionar los riesgos.
• Definir las actividades para supervisar y cómo medir el éxito en comparación
con las expectativas de gestión.
• El seguimiento de la adecuación y eficacia de las actividades de control
interno.
La composición de la segunda línea puede variar significativamente dependiendo del • La escalada de problemas críticos, los riesgos emergentes y valores atípicos
tamaño y de la industria de la organización. En las grandes organizaciones, que cotiza en • Para contar con marcos de gestión de riesgos.
bolsa, complejos y / o altamente regulados, estas funciones pueden estar todos • Identificación y seguimiento conocido y problemas que afectan a los riesgos y
separados y distintos. En más pequeño, de propiedad privada, menos complejo y / o los controles de la organización emergente.
menos las organizaciones reguladas, algunas de las funciones de segunda línea se • La identificación de los cambios en la organización del apetito por el riesgo implícito
pueden combinar o inexistente. Por ejemplo, algunas organizaciones pueden combinar y la tolerancia al riesgo.
las funciones legales y de cumplimiento en un único departamento o pueden combinar un • Proporcionar orientación y formación relacionada con el riesgo de
departamento de salud y seguridad con una función ambiental. Algunos o todos los los procesos de gestión y control.
deberes de la segunda línea también puede ser retenido por los administradores dentro
de la primera línea de defensa en ciertas organizaciones. Control por la segunda línea de defensa debe ser adaptado a las necesidades
específicas de la organización. Típicamente, estas actividades están separadas de
las actividades operacionales del día a día. En muchos casos, las actividades de
vigilancia se dispersan por toda la organización. En algunas organizaciones, sin
embargo, las funciones de monitorización pueden limitarse a una sola o unas pocas
Las funciones típicas de segunda línea incluyen grupos experiencia de la especialidad áreas.
tales como:
• Gestión de riesgos Cada función de segunda línea tiene un cierto grado
• Seguridad de información de independencia respecto de las actividades que

La composición de la segunda línea
• Control financiero constituyen la primera línea de defensa, pero son por
• Seguridad física puede variar significativamente naturaleza, aún las funciones de gestión. funciones
• Calidad dependiendo de de segunda línea pueden desarrollar directamente,
• Salud y seguridad el tamaño de la organización implementar y / o modificar los procesos de control y
• Inspección de riesgo internos de la organización. También

y la industria.
• Conformidad pueden tener un papel en la toma de decisiones con
• Legal certeza
• Ambiental
• Cadena de suministro actividades operacionales. En la medida en que el papel de las funciones de segunda
• Otros (dependiendo de las necesidades específicas de la línea requieren que estén directamente involucrados en una actividad de primera línea,
industria o compañía específicos) esa función no puede ser totalmente independiente de la primera línea de defensa de la
actividad.
www . coso. org

Aunque no es independiente, la importancia de las funciones de segunda línea información de control a la alta dirección y el consejo de administración que no
fuerte, capaz no puede ser exagerada. Se espera que operar con un adecuado se esperarían de la línea primera. Para ser eficaz como una línea de defensa,
a grado de objetividad y proporcionar información útil e importante a la alta tiene que tener la estatura sufi ciente con los líderes y de gestión que operan en
dirección y el consejo de administración en relación con la gestión de riesgos y toda la organización. Estatura proviene de la autoridad y la transmisión directa
n control por la línea primera de la defensa. También pueden ofrecer riesgo en de las líneas que inspiran respeto.
toda la entidad y
Figura 5. COSO y la segunda línea de defensa
Supervisión continua
Segunda línea de defensa
Control financiero
Gestión de riesgos
de seguridad
Calidad
Cumplimiento
evaluaciones
17. Evalúa y comunica defi ciencias de Inspección
La tercera línea de defensa: Auditoría Interna
Los auditores internos sirven como tercera línea de defensa de una Entre otras funciones, la auditoría interna ofrece garantías en cuanto a la
organización. El IIA defi ne la auditoría interna como “independiente, eficiencia y eficacia de la gestión, la gestión de riesgos y control interno. El
objetiva y la actividad de consulta, concebida para agregar valor y mejorar alcance del trabajo de auditoría interna puede abarcar todos los aspectos de
las operaciones de una organización. Ayuda a una organización a cumplir las operaciones y actividades de una organización.
sus objetivos aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de la gestión de riesgos, control y gobierno “. 4
4 Marco para la Práctica Profesional Internacional (IPPF) ®, (Altamonte Springs, FL: El Instituto de Auditores Internos Inc, 2013), 2.
También disponible en na.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx .
www . coso. org

8 | Aprovechando COSO través de las tres líneas de defensa | El Instituto de Auditores Internos El Instituto de Auditores Internos | Aprovechando COSO través de las tres líneas de defensa | 9
Lo que distingue a la auditoría interna de las otras dos líneas de defensa es su alto fortalecido por una relación de subordinación directa entre el director ejecutivo de Auditoría interna contribuye activamente al gobierno de la organización eficaz que procesos, y pueden carecer de una segunda línea de defensa eficaz. Cada
nivel de independencia y objetividad de la organización. Los auditores internos no auditoría y el consejo de administración. Debido a este alto nivel de independencia proporciona ciertas condiciones que favorecen su independencia y profesionalismo se organización debe establecer y mantener un personal de auditoría interna
diseñan o implementan controles como parte de sus responsabilidades normales y no de la organización, los auditores internos están colocados estratégicamente para cumplen. El establecimiento de una actividad de auditoría interna profesional debe ser independiente, adecuada y competente; informar a un nivel suficientemente alto en la
son responsables de las operaciones de la organización. En la mayoría de las proporcionar aseguramiento fiable y objetiva para el consejo de administración y la una prioridad para todas las organizaciones. Esto es importante no sólo para las grandes organización sea capaz de realizar sus funciones de forma independiente; y que
organizaciones, la independencia de auditoría interna es mayor alta dirección respecto de gobierno, riesgo y control. organizaciones, sino también para las entidades más pequeñas. Las organizaciones más opera de acuerdo con un conjunto globalmente reconocido adecuado de las normas
pequeñas pueden hacer frente a entornos igualmente complejos con una estructura de (como el IIA de Normas Internacionales para la Práctica Profesional de la
organización menos formal, robusto para garantizar la eficacia de la gobernabilidad y la Auditoría Interna.
gestión del riesgo
Figura 6. COSO y la tercera línea de defensa
Evaluación del diseño y la

implementación Los auditores externos, reguladores y otros cuerpos externos
Control medioambiental
A pesar de que las partes externas no se consideran formalmente a estar entre tres Cuando se coordina con eficacia, los auditores externos, reguladores y
1. Demuestra compromiso con la integridad líneas de defensa de una organización, grupos tales como auditores externos y otros grupos fuera de la organización podrían ser considerados como
y los valores éticos reguladores a menudo desempeñan un papel importante en cuanto a la estructura líneas adicionales de defensa, proporcionando importantes puntos de
2. la responsabilidad de supervisar el ejercicio general de gobierno y control de la organización. Reguladores establecen requisitos vista y observaciones a las partes interesadas de la organización,
3. Establece la estructura, la autoridad y menudo destinados a fortalecer la gobernabilidad y el control, y revisar e informar sobre incluyendo el consejo de administración y la alta dirección. Sin embargo,
responsabilidad las organizaciones que regulan de forma activa. Del mismo modo, los auditores externos el trabajo de estos grupos tiene diferentes y generalmente más
4. Demuestra compromiso con la competencia pueden proporcionar importantes observaciones y evaluaciones de los controles de la específicos o estrechos objetivos, de tal manera que las áreas tratadas
5. Hace cumplir la rendición de cuentas organización sobre los informes financieros y los riesgos relacionados. son menos extensas que las evaluadas por líneas internas de la
Garantías sobre la
Eficacia organización de defensa. Por ejemplo, las auditorías reglamentarias
Evaluación de riesgos específicas pueden centrarse únicamente en las cuestiones de
Tercera línea de defensa cumplimiento, seguridad, u otras cuestiones de alcance limitado;
6. Especifica objetivos adecuados
mientras que las tres líneas de defensa están destinados a hacer frente
7. Identifica y analiza los riesgos
a toda la gama de funcionamiento, reporte y cumplimiento riesgos que
8. Evalúa el riesgo de fraude
enfrenta una organización. Partes tales como auditores externos y
9. Identifica y analiza cambios significativos reguladores,
Auditoría
interna
Actividades de control
10. Selecciona y desarrolla actividades de control
11. Selecciona y desarrolla controles generales

encima de eso
12. Se implementa a través de políticas y procedimientos
Información y Comunicación
13. Utiliza la información relevante
14. Se comunica internamente
15. Se comunica externamente

evaluaciones
17. Evalúa y comunica deficiencias
www . coso. org www . coso. org

Auditoría interna contribuye activamente al gobierno de la organización eficaz que procesos, y pueden carecer de una segunda línea de defensa eficaz. Cada
proporciona ciertas condiciones que favorecen su independencia y profesionalismo se organización debe establecer y mantener un personal de auditoría interna
cumplen. El establecimiento de una actividad de auditoría interna profesional debe ser independiente, adecuada y competente; informar a un nivel suficientemente alto en la
una prioridad para todas las organizaciones. Esto es importante no sólo para las grandes organización sea capaz de realizar sus funciones de forma independiente; y que
organizaciones, sino también para las entidades más pequeñas. Las organizaciones más opera de acuerdo con un conjunto globalmente reconocido adecuado de las normas
pequeñas pueden hacer frente a entornos igualmente complejos con una estructura de (como el IIA de Normas Internacionales para la Práctica Profesional de la
organización menos formal, robusto para garantizar la eficacia de la gobernabilidad y la Auditoría Interna.
gestión del riesgo
Los auditores externos, reguladores y otros cuerpos externos
A pesar de que las partes externas no se consideran formalmente a estar entre tres Cuando se coordina con eficacia, los auditores externos, reguladores y
líneas de defensa de una organización, grupos tales como auditores externos y otros grupos fuera de la organización podrían ser considerados como
reguladores a menudo desempeñan un papel importante en cuanto a la estructura líneas adicionales de defensa, proporcionando importantes puntos de
general de gobierno y control de la organización. Reguladores establecen requisitos vista y observaciones a las partes interesadas de la organización,
menudo destinados a fortalecer la gobernabilidad y el control, y revisar e informar sobre incluyendo el consejo de administración y la alta dirección. Sin embargo,
las organizaciones que regulan de forma activa. Del mismo modo, los auditores externos el trabajo de estos grupos tiene diferentes y generalmente más
pueden proporcionar importantes observaciones y evaluaciones de los controles de la específicos o estrechos objetivos, de tal manera que las áreas tratadas
organización sobre los informes financieros y los riesgos relacionados. son menos extensas que las evaluadas por líneas internas de la
organización de defensa. Por ejemplo, las auditorías reglamentarias
específicas pueden centrarse únicamente en las cuestiones de
cumplimiento, seguridad, u otras cuestiones de alcance limitado;
mientras que las tres líneas de defensa están destinados a hacer frente
a toda la gama de funcionamiento, reporte y cumplimiento riesgos que
enfrenta una organización. Partes tales como auditores externos y
reguladores,
www . coso. org

II. Estructuración y coordinación de las tres líneas de defensa
La estructuración de las tres líneas de defensa
Las tres líneas de defensa modelo es deliberadamente diseñadas para ser flexibles. claramente separados. Por ejemplo, cuando se inicia por primera vez una función de
Cada organización debe implementar el modelo de una manera que es adecuado para gestión de riesgos, algunas organizaciones pueden utilizar otra función como catalizador
su industria, tamaño, estructura operativa, y el enfoque de gestión de riesgos. Sin para la implementación. En situaciones en las que las funciones de las diferentes líneas
embargo, el entorno general de gobierno y control es normalmente más fuerte cuando no están claramente separados, sin embargo, el consejo de administración debe
hay tres líneas separadas y claramente definidas de defensa. Las organizaciones considerar cuidadosamente los impactos potenciales de la estructura. Donde sea
deben esforzarse por implementar una estructura de gobierno que es consistente con posible, estas situaciones en las que las líneas de defensa no están claramente
el modelo de tal manera que existen las tres líneas en alguna forma, separados deben ser a corto plazo y como funciones maduran, se deben establecer la
independientemente de su tamaño o complejidad de la organización. Las “líneas” separación apropiada. Si más largo que a corto plazo o temporal, el consejo de
deben ser distinta, con funciones y responsabilidades separadas, claramente administración debe comprender el impacto de no separar las funciones de gestión y de
articulados en las políticas y procedimientos de la organización apropiados, y reforzado garantía a través de la falta de mantenimiento de tres líneas independientes de defensa.
por un consistente “tono desde la parte superior.”
Exactamente donde se dibujan líneas variará dependiendo de las necesidades Al considerar o asignar tareas específicas y la coordinación entre las
específicas de cada organización. En algunas situaciones, como algunas empresas diversas funciones de riesgo y control de la organización, puede ser
pequeñas o en algunas de las funciones están en transición, las líneas de defensa útil tener en cuenta el papel fundamental de cada grupo en el modelo.
no pueden ser
Figura 7. Diferencias entre las tres líneas de defensa
Funciones administrativas Garantía
Primera línea de defensa Segunda línea de defensa Tercera línea de defensa
Auditoría Interna mayor

Informes de la Independencia limitada
Gestión de operaciones independencia Informes al Consejo
principalmente a la Gestión
de Administración
www . coso. org

Debido a la independencia de la organización y la objetividad son las características operaciones que de auditoría; y en organizaciones en las que la auditoría interna está
esenciales de la tercera línea de defensa, especial cuidado debe tomarse si la implicado en actividades de segunda línea, esta participación debe ser generalmente a
organización combina la función de auditoría interna con cualquier segunda línea corto plazo con papeles conflictivos asignados a diferentes individuos o grupos. Si la
de papeles de defensa. Si la función de auditoría interna se combina con cualquiera participación de auditoría interna con los deberes de segunda línea no es a corto plazo, la
de las segundas funciones de línea, la alta dirección y el consejo de administración alta dirección y el consejo de administración tienen que reconocer la limitación de la
debe asegurarse de que las funciones no se combinan o se coordinan de manera capacidad de auditoría interna para ofrecer una garantía independiente y objetiva, y que
que pudiera poner en peligro la independencia de la organización o la objetividad pueden necesitar para convertir a las partes externas para el aseguramiento de la
de la función de auditoría interna. Los auditores internos normalmente no deben actividades específicas afectadas.
asumir responsabilidades de gestión para
La coordinación de las tres líneas de defensa
Las tres líneas cada uno tienen el mismo objetivo final: ayudar a la organización a Al cumplir esta coordinación, es fundamental que las principales funciones de los
lograr sus objetivos con una gestión eficaz del riesgo. Sirven las mismas partes ejecutivos, como un agente de riesgo principal, un oficial jefe de cumplimiento, o un
interesadas en última instancia, y que a menudo se enfrentan con los mismos ejecutivo de auditoría son cuidadosamente revisados y estructurados de manera que
problemas de riesgo y control. La alta dirección y consejo de administración deben cada uno puede lograr sus responsabilidades únicas, mientras que la coordinación y la
comunicar claramente la expectativa de que la información sea compartida y comunicación con el otro riesgo y control ejecutivos.
actividades coordinadas entre cada una de las tres líneas en las que esto apoya la
eficacia global del esfuerzo y no infravalorar ninguna de las funciones clave de la
línea. Por ejemplo, muchas organizaciones han puesto en práctica políticas a nivel de La primera línea de defensa tiene la propiedad de los riesgos y los métodos utilizados
placa lugar o nivel de gestión de riesgo para articular estas expectativas. para gestionar esos riesgos. La segunda línea proporciona experiencia en riesgo, ayuda a
la estrategia de implementación conjunto, y ayuda en la implementación de políticas y
procedimientos. Si bien estas dos líneas tienen diferentes responsabilidades en materia
de riesgos y control, es esencial que trabajan juntos utilizando la misma terminología,
comprender la evaluación de riesgos de la organización de cada uno, y aprovechar un
La coordinación y la comunicación no debe ser confundido con la estructura conjunto común de herramientas y procesos siempre que sea posible.
organizativa. Mientras que tienen el mismo objetivo, cada línea tiene sus
propias funciones y responsabilidades únicas. Son líneas separadas, pero no
deben operar en silos. Deben compartir información y coordinar esfuerzos en
materia de riesgos, control y gobierno. En muchas situaciones, no puede
haber una perspectiva común frente a riesgos y control.
una cuidadosa coordinación es necesario evitar la duplicación innecesaria de

esfuerzos mientras se asegura que todos los riesgos significativos se tengan
debidamente. Esta coordinación es tan importante que en el marco del Standard
2050, directores ejecutivos de auditoría se requieren específicamente a “compartir
información y coordinar actividades con otros proveedores internos y externos de
aseguramiento y consultoría para asegurar una cobertura adecuada y minimizar la
duplicación de esfuerzos.” 5
5 Marco para la Práctica Profesional Internacional (IPPF) ®, (Altamonte Springs, FL: El Instituto de Auditores Internos Inc, 2013). También disponible en na.theiia.org/standards-guidance
.
www . coso. org

función de auditoría interna de la organización, la tercera línea de defensa, debe Para ayudar a establecer que el trabajo se puede coordinar de manera eficiente, el
incluir en todo su alcance importantes actividades de riesgo y control de la estatuto de auditoría interna debe especificar que la auditoría interna tiene la
organización. La comunicación con la primera y segunda línea de defensa de las responsabilidad de evaluar el rendimiento y la eficacia del trabajo de otra segunda
funciones de auditoría interna ayudará a usar la terminología de riesgo similar y línea de las funciones de defensa o cualquier actividad proporcionada por un tercero.
comprende estas dos líneas de comprensión de defensa de riesgo.
La coordinación puede extenderse más allá de las tres líneas de defensa, para incluir
otras partes externas tales como auditores externos. Los auditores internos pueden ser
La auditoría interna también se deberían coordinar sus esfuerzos con los capaces de confiar en funcionamiento o utilizar el trabajo de otros proveedores internos
de la segunda línea de defensa. Esta coordinación podría adoptar una o externos en la ordenación, gestión de riesgos, y la garantía de control si tienen un
variedad de formas dependiendo de la naturaleza de la organización, el conocimiento suficiente de los trabajos realizados, los resultados detallados, así como
trabajo específico de cada parte, la independencia de la organización de la independencia y la competencia de la fiesta externa. A la inversa, el trabajo de
las segundas funciones de línea, y las expectativas de la alta dirección y auditoría interna intencionalmente podría ser planificado y realizado para cumplir los
el consejo de administración. En algunos casos de auditoría interna requisitos de las partes externas. La coordinación de esfuerzos con las partes externas
puede ser capaz de basar una parte de su evaluación en el trabajo pueden conducir a una mayor eficiencia; Sin embargo, los ejecutivos de auditoría y el
realizado por una segunda función de línea. En esta situación, la consejo de administración deben considerar los costos, así como los potenciales
auditoría interna debe confirmar el trabajo está diseñado beneficios de diseñar el trabajo de auditoría interna para el beneficio de las partes
adecuadamente, planificado, supervisado, documentado y revisado. El externas.
alcance del uso y el nivel de confianza en el trabajo de otras funciones
puede variar en función de las circunstancias específicas. La auditoría
interna también se debe prestar especial atención a la independencia de
la organización de las segundas funciones de la línea sobre la que
planean basar una parte de su trabajo de evaluación. A medida que la
auditoría interna está estructurado con independencia de la organización
para proporcionar evaluaciones imparcial y objetiva, la función que
realiza el trabajo sobre el que planea la auditoría interna que depender
debe exhibir un nivel suficientemente alto de independencia organizativa
y objetividad. Capacidad y eficiencia no son los únicos criterios. La
capacidad de la primera o segunda línea de defensa para realizar un
trabajo de auditoría interna no significa que traer un nivel necesario de
independencia y objetividad. Similar,
7 Hacer programas de gobierno de datos más eficaz,

deloitte.wsj.com/riskandcompliance/2014/08/04/good-riddance-to-bad-data-data-governance-gains-momentum/ .
www . coso. org

III. Aprovechando COSO a través de las tres líneas de defensa
los Marco de referencia define cinco componentes del control interno y 17 La información en el apéndice está destinado a proporcionar un ejemplo de cómo se
principios que representan los conceptos fundamentales asociados con estos pueden asignar funciones entre las tres líneas de defensa. Debido a que cada
componentes. La publicación COSO, organización es única, las organizaciones pueden tener razones de peso para la
Control Interno - Marco Integrado afirma que debido a que los 17 principios definición de funciones y responsabilidades de manera diferente. Independientemente
proceden directamente de los cinco componentes de control interno, el control de cómo se asignan funciones dentro de una organización, funciones y
interno efectivo se puede lograr mediante la aplicación de cada uno de estos responsabilidades específicas con respecto a todos los 17 principios deben estar
principios. La administración tiene la responsabilidad de asignar las tareas claramente establecidos y comunicados a todas las partes pertinentes para mitigar las
esenciales relacionadas con los 17 principios y confirman tareas se llevan a cabo brechas en la cobertura de los controles internos y la duplicación innecesaria de
según lo previsto. esfuerzos.
El apéndice proporciona ejemplos de cómo la responsabilidad de los 17 principios

se puede asignar entre las tres líneas de defensa. Control Interno - Marco
Integrado también identifica varios “puntos de enfoque” en relación con cada uno
de los 17 principios. Dado que muchos de los puntos de enfoque representan las
principales responsabilidades de los individuos dentro de las tres líneas de
defensa, los lectores que están familiarizados con Control Interno - Marco
Integrado se encuentra que muchos de los puntos de enfoque se reflejan en toda
la sección siguiente.
www . coso. org

IV. Conclusión
Cada organización debe definir claramente las responsabilidades relacionadas con la Observaciones clave
gobernabilidad, riesgo y control para ayudar a minimizar los “huecos” en los controles y
duplicaciones innecesarias de tareas asignadas relacionadas con el riesgo y el control. 1. La alta dirección y el consejo de administración tienen la
Las tres líneas de defensa modelo proporciona una forma eficaz de mejorar las responsabilidad última de garantizar la eficiencia y eficacia de la
comunicaciones en relación con el riesgo y el control mediante la aclaración de las gobernabilidad, gestión de riesgos y control de procesos.
funciones y tareas esenciales. El modelo puede ser útil para la delimitación de
responsabilidades en relación con el riesgo y el control pueden ser coordinados a
través de una organización. 2. La gestión del riesgo es más fuerte cuando hay tres líneas separadas y claramente
identificados de defensa. Las tres líneas de defensa deben existir en alguna forma
en todas las organizaciones, independientemente de su tamaño o complejidad.
La premisa subyacente de este modelo es que, bajo la supervisión y

dirección de la alta dirección y el consejo, tres grupos separados (o
líneas de defensa) son necesarias para la gestión eficaz del riesgo y 3. Cada grupo dentro de las tres líneas de defensa debería haber roles y
el control. Los tres grupos: responsabilidades que son compatibles con las políticas apropiadas,
procedimientos y mecanismos de información claramente definida.
• Propia y gestionar riesgos y control (gestión

operativa). 4. La información debe ser compartida y actividades coordinadas entre cada una de las
líneas de defensa para mejorar la eficiencia y evitar la duplicación de esfuerzos
• Monitor (Funciones de riesgos, control y cumplimiento de normas garantizando al mismo tiempo todos los riesgos significativos se tratan
establecidas por la gestión de riesgo y control) para apoyar la gestión. adecuadamente.
5. Líneas de defensa no se deben combinar o coordinados de una manera que

• Ofrecer una garantía independiente sobre eficacia de la gestión y compromete su eficacia. Cada línea de defensa tiene posicionamiento único
control de riesgos a la junta y la alta dirección (auditoría interna). en la organización y responsabilidades únicas. Se debe tener especial
cuidado si la organización combina las funciones a través de las tres líneas de
defensa. La eficacia de la segunda o tercera línea de defensa puede verse
Cada uno de los tres “líneas” tiene un papel distinto en el marco más amplio de gobierno afectada negativamente si la combinación lesiona la singularidad de esa línea.
de la organización, y cuando cada uno realiza su función asignada de manera efectiva, Capacidad y eficiencia no son los únicos criterios; la independencia y la
se reduce la probabilidad de un ataque de un control significativo. Esta estructura objetividad son también elementos esenciales a tener en cuenta.
también es compatible con el consejo de administración en recibir información imparcial
sobre los riesgos más significativos de la organización - y sobre cómo está respondiendo
a la gestión de dichos riesgos.
El modelo puede ser utilizado en conjunción con el COSO

Control Interno - Marco Integrado para ayudar a asegurar los individuos dentro de cada
línea de defensa comprender todo el alcance de sus responsabilidades en cuanto al
riesgo y el control, y cómo sus funciones encajan en la estructura general del riesgo y el
control de la organización.
www . coso. org

Apéndice
Principio 1. La organización demuestra un compromiso con la integridad y los valores éticos.
Primera línea de defensa Segunda línea de defensa Tercera línea de defensa Otro
(Propietarios de los riesgos / Administradores) (Riesgos, control y cumplimiento) (Auditoría interna)
se debe esperar que todas las líneas de defensa para demostrar a través de sus directivas, las acciones y el comportamiento de la importancia de la integridad y los valores éticos.
• Predica con el ejemplo en la aplicación • miembros específicos de la 2 Dakota del Norte Línea • Evalúa el estado del clima ético de la • La junta supervisa el clima ético y asegura administración tiene
de valores, una filosofía y un estilo de puede ser solicitada para apoyar líneas directas organización y la eficacia de sus programas y objetivos relacionados con la ética de sonido.
funcionamiento de la organización. de cumplimiento, investigar el potencial estrategias, tácticas, comunicaciones y
infractor, o llevar a cabo otras tareas otros procesos para lograr el nivel
específicas relacionadas con la integridad y los deseado de cumplimiento legal y ético. • La junta es responsable de establecer efectiva “tono en la parte
• Implementa relacionada con la ética valores éticos. superior.” Esto incluye las expectativas que se comunican con
objetivos, programas y actividades. respecto a la integridad, los valores éticos y normas de conducta.
• Evalúa el diseño, implementación y efectividad de
las relacionadas con la ética objetivos, programas
• Los diseños y procesos de implementos y actividades de la organización.
para evaluar el desempeño de los
individuos y los equipos contra las
normas de conducta esperadas. • Proporciona seguridad de que los programas de ética
a alcanzar los objetivos establecidos, los principales
riesgos se gestionan con eficacia y controles siguen
operando de manera efectiva.
• Proporciona servicios de consultoría para ayudar

a la organización a establecer un programa de
ética robusta y mejorar su eficacia al nivel de
rendimiento deseado.
Principio 2. El consejo de administración demuestra la independencia de gestión y ejerce la supervisión del desarrollo y desempeño
de control interno.
• Suministra el tablero con información adecuada • supervisión de la junta se apoya en • Proporciona seguridad en cuanto al desarrollo y • La junta es responsable de asegurar que tiene suficientes
sobre el desarrollo y el funcionamiento de los estructuras y procesos que establece la funcionamiento de los controles internos, la miembros que son independientes de la dirección y objetivo
controles internos para permitir el tablero para gestión a nivel empresarial ejecución. Este evaluación de si o no los controles están diseñados de las evaluaciones y la toma de decisiones.
cumplir con sus obligaciones fiduciarias. apoyo puede ser proporcionado por la adecuadamente y efectivamente aplicado, y
primera o la segunda línea de defensa. Por operando según lo previsto.
ejemplo, ya sea un comité de gestión o una • La junta tiene la responsabilidad de supervisión para el
segunda línea de defensa del grupo pueden diseño de la gestión, implementación y desarrollo de control
centrarse en temas como la informática o de • Puede ayudar a la Directiva por lo que sugiere temas interno:
cumplimiento. específicos relacionados con el Principio 2 de discusión - Control medioambiental - El establecimiento de integridad y los
en las reuniones del consejo de administración. valores éticos, las estructuras de supervisión, autoridad y
responsabilidad, las expectativas de competencia y
responsabilidad de la junta.
- Evaluación de riesgos - Participar con la dirección para establecer el

apetito por el riesgo. La supervisión de la evaluación de la gestión de los
riesgos para el logro de objetivos, incluyendo el impacto potencial de los
cambios significativos, fraude y administración sobrepase los controles
internos.
- Actividades de control - Proporcionar supervisión a la alta

dirección en el desarrollo y ejecución de las actividades de
control.
- Información y comunicación - Analizar y discutir la

información relacionada con el logro de los objetivos de
la organización.
- Las actividades de vigilancia - La evaluación y supervisión de la

naturaleza y el alcance de las actividades de monitoreo y evaluación
de la gestión y remediación de deficiencias.
• La junta se reúne con la auditoría interna, y posiblemente partes en

la segunda línea de defensa, independientemente de la dirección.
www . coso. org

dieciséis | Aprovechando COSO través de las tres líneas de defensa | El Instituto de Auditores Internos
Principio 3. Dirección establece, con la supervisión de la junta, estructuras, líneas de comunicación y las autoridades apropiadas y responsabilidades en el
consecución de los objetivos.
• Establece estructuras, líneas de responsabilidad, y • Trabajar con la gestión, estructuras organizativas, • Proporciona una garantía en cuanto a la • La Junta aprueba los objetivos de toda la
las autoridades apropiadas y responsabilidades en las líneas de responsabilidad, y las autoridades conveniencia y la eficacia de las estructuras organización y es responsable de la supervisión
la búsqueda de objetivos. apropiadas y responsabilidades apropiados para operativas de la organización, las relaciones del desarrollo y mantenimiento de estructuras,
que ejecuten sus responsabilidades. jerárquicas, autoridades y responsabilidades en relaciones jerárquicas, y la asignación de
la búsqueda de objetivos. responsabilidades y autoridades apropiadas en la
• Se comunica información con respecto a las búsqueda de objetivos.
estructuras, líneas de responsabilidad, y las
autoridades y responsabilidades de la junta, para • Implementa políticas y prácticas para
permitir a la junta para cumplir con sus ejecutar sus actividades en ajustan su carta • Los problemas de mesa cartas apropiadas para
responsabilidades de supervisión. incluyendo las líneas y las autoridades de establecer sus comités, incluyendo el comité de
informes adecuados. auditoría.
• El comité de auditoría aprueba las cartas adecuadas

• Periódicamente confirma a la Junta su para las funciones de control de riesgo y que es
independencia organizativa y objetividad. responsable de incluir la auditoría interna.
Principio 4. La organización demuestra un compromiso para atraer, desarrollar y retener a las personas competentes en alineación con los objetivos.
• Atrae, desarrolla y retiene individuos compe- • Atrae y desarrolla el talento competente • Atrae, desarrolla y retiene individuos • La placa proporciona supervisión para garantizar que
tentes en alineación con los objetivos. para lograr sus objetivos. competente y capacitado para cumplir su la gestión demuestra un compromiso para atraer,
misión y de alquiler. desarrollar y retener a las personas competentes en
• Se asegura de que sus personas y actividades están alineación con los objetivos.
debidamente alineados con agement hombre-. Esto • Pueden evaluar y ofrecer garantías en
puede incluir la rotación de las personas a través de cuanto a la eficiencia y eficacia de las
varias funciones de gestión. políticas y procesos tales como: • Comisiones del Consejo asegurar que las funciones
que supervisa tener talento competente.
- políticas de recursos humanos.
- Las prácticas de contratación.
- Formación y desarrollo de • comité de compensación de la Junta asegura que los
programas. incentivos y planes de compensación están alineados
- Los sistemas de evaluación de resultados. con los objetivos de propensión al riesgo ya largo plazo
- Los planes de compensación. de la organización.
- Los planes de sucesión.
Principio 5. La organización mantiene los individuos responsables de sus responsabilidades de control interno en la búsqueda de objetivos.
• Sostiene individuos responsables de sus • Como delegada por la administración, los • Proporciona una garantía sobre el • La junta es responsable de asegurar que la
responsabilidades de control interno en la búsqueda de individuos en la segunda línea del monitor de cumplimiento de las responsabilidades administración mantiene los individuos responsables
objetivos. Esta responsabilidad incluye la comunicación defensa e informar sobre el cumplimiento de específicas de control interno. de sus responsabilidades de control interno.
de las responsabilidades específicas, la implementación las responsabilidades específicas de control
de sistemas de evaluación del desempeño, y la interno. • Los auditores internos pueden hacer
implementación de procesos de personal diseñados para recomendaciones con respecto a la rendición de • El comité de compensación de la Junta asegura
hacer que las personas responsables de sus acciones. cuentas, pero normalmente no tienen autoridad que los planes de incentivos y compensación están
directa para tomar decisiones con respecto a las alineados con los objetivos de la organización.
acciones de personal u otros procesos diseñados
para hacer que las personas responsables de sus
responsabilidades de control interno.
www . coso. org

Principio 6. La organización especifica objetivos con claridad suficiente para permitir la identificación y evaluación de los riesgos relacionados con los objetivos.
Todas las personas que forman parte del sistema de control interno necesitan entender las estrategias y los objetivos generales establecidos por la organización.
• El establecimiento de objetivos es una parte clave • No es responsable de establecer y aprobar objetivos a nivel de • Verifica que los objetivos están en su lugar y que son • El consejo tiene la responsabilidad de
del proceso de gestión relacionados con la entidad en su conjunto; pero pueden ser llamados a elaborar, específicos, medibles u observables, alcanzables, supervisar el establecimiento de
planificación estratégica. implementar, monitorear e informar sobre los objetivos o relevantes y de duración determinada. objetivos, ayudando a asegurar que los
sub-objetivos relacionados con sus áreas específicas de objetivos de alto nivel reflejan las
• Con supervisión de la junta, fija objetivos a nivel de especialización, tales como los objetivos relacionados con el - opiniones sobre la entidad en el proceso de decisiones relativas a cómo la
entidad que se alinean con la misión, visión y cumplimiento o control de calidad. establecimiento de objetivos se pueden realizar como organización pretende crear, preservar y
estrategias de la organización. compromisos independientes separadas. realizar el valor para sus grupos de
- Objetivos específicos o sub-objetivos también pueden interés.
• Evaluar si los apetitos y las tolerancias al riesgo se ser revisados durante otros compromisos de auditoría
• Especifica objetivos adecuados en detalle consideran apropiadas. interna.
suficiente para que los riesgos para la
consecución de los objetivos pueden ser • Para mantener la independencia de auditoría interna de la • La junta con la administración
identificados y evaluados. organización, los auditores normalmente no se desarrollan establece niveles de tolerancia de
objetivos (que no sean los específicos de la función de riesgo apropiadas y apetito y
• Aplicar las tolerancias a riesgos específicos. auditoría interna). asegurar que se comunican a
través de la organización.
• Enlaces Objetivos a nivel de entidad a los
sub-objetivos más específicos que caen en cascada
en toda la organización.
• Ambos objetivos a nivel de entidad y sub-objetivos

asociados deben ser específicos, medibles,
alcanzables, relevantes, y de duración determinada.
Principio 7. La organización identifica los riesgos para la consecución de sus objetivos a través de la entidad y los análisis de riesgos como base para la determinación
cómo se deben manejar los riesgos.
• Identifica y controla los riesgos relacionados con la • Una función de gestión de riesgos de la empresa se puede • Tiene en marco de riesgo de la organización cuenta para • La junta establece la estrategia
consecución de los objetivos. delegar responsabilidades significativas en cuanto a los riesgos y llevar a cabo un plan de auditoría basado en el riesgo en global de la organización y sus
controles. Las tareas típicas pueden incluir: toda la organización. objetivos, incluyendo la
• Define el apetito y las tolerancias de riesgo de la comprensión de los riesgos como-
organización, establece los sistemas de gestión de - El establecimiento de un lenguaje de riesgo común o un • Puede facilitar ciertas actividades de gestión de sociated con la estrategia.
riesgo, y establece responsabilidades para el control de glosario. riesgos de la empresa, siempre y cuando la
riesgos específicos bajo la supervisión del consejo. - Al describir el apetito y las tolerancias de riesgo de la independencia y la objetividad no se ve afectada.
organización. • La junta supervisa y hace
- Identificación y descripción de riesgos en un “inventario de responsables de gestión para
riesgos.” • Consideraciones para el desarrollo de un plan identificar y gestionar los
- La implementación de una metodología de riesgo de rango para de auditoría interna puede incluir: riesgos para el logro de los
priorizar los riesgos dentro ya través de las funciones. - Identificación y evaluación de los riesgos objetivos.
- El establecimiento de un comité de riesgos y el director de riesgos inherentes y residuales.
o para coordinar ciertas actividades de otras funciones de gestión - controles de mitigación, planes de contingencia, y las
de riesgos. actividades de supervisión vinculados a riesgos
- El establecimiento de la propiedad de determinados riesgos y específicos.
respuestas. - Exactitud e integridad de los registros de riesgos.
- El desarrollo de planes de acción para asegurar que los riesgos
se gestionan adecuadamente. - Adecuación de la documentación relativa a las
- Desarrollo de la información consolidada para varios actividades de riesgo y control de gestión.
actores.
- El seguimiento de los resultados de las acciones tomadas
para mitigar el riesgo.
- Asegurando una cobertura eficiente de los riesgos por parte de
auditores internos, los equipos de consultoría y otras entidades
que evalúan.
- El desarrollo de un marco de gestión de riesgos que
permite la participación de terceros y empleados remotos.
• grupos específicos, como las funciones de seguridad y

cumplimiento pueden ayudar a la administración en la
identificación de los riesgos relacionados con su área de
especialización, teniendo en cuenta los niveles de apetito de
riesgo establecidos por la dirección para las diferentes
actividades o partes de la organización.
www . coso. org

Principio 8. La organización considera que la posibilidad de fraude en la evaluación de los riesgos para el logro de los objetivos.
• Implementa procesos para identificar, prevenir y detectar • Asegura que las evaluaciones de riesgos y de • los normas requieren que los auditores internos ejercer • La junta es responsable de la supervisión de los
el fraude. control incluyen la consideración del riesgo de el debido cuidado profesional al considerar la sistemas y procesos destinados a prevenir y
fraude. probabilidad de que hubo fraude en las zonas que se detectar el fraude.
• Para revisar las exposiciones de la organización para el examina.
fraude con los auditores internos y externos de la • Grupos como las dependencias de investigación • El consejo y la alta dirección establecen el
organización. pueden desempeñar un papel importante en la • Los auditores internos deben tener un conocimiento tono para la prevención y detección del
disuasión y detección del fraude. Estos grupos suficiente para evaluar el riesgo de fraude y la forma fraude.
pueden ser acusados de desarrollo y en que es administrado por la organización, pero no
seguimiento de las políticas y procedimientos se espera que tenga la experiencia de una persona • La junta debe recibir informes periódicos sobre la
globales de la entidad en relación con el fraude. cuya responsabilidad principal es la detección e exposición de la organización a fraude, incluyendo
investigación del fraude. el fraude de información financiera.
Principio 9. La organización identifica y evalúa los cambios que podrían afectar significativamente el sistema de control interno.
Dado que el cambio puede surgir de una amplia variedad de fuentes internas y externas, los individuos dentro de las tres líneas de defensa deben estar alerta para los problemas que podrían afectar significativamente el sistema de control interno
emergente.
• Tiene la responsabilidad principal para el sistema de • Se le puede pedir a ayudar a la • Identifica y evalúa los cambios que podrían afectar • El consejo tiene la responsabilidad de
control interno y para la identificación y evaluación de los administración con las evaluaciones del significativamente el sistema de control interno asegurar que la administración ha establecido
cambios que podrían afectar significativamente el sistema impacto de los cambios en el sistema de durante las evaluaciones periódicas de los riesgos y procesos para permitir la identificación y
de control interno. control interno. en todo el curso del trabajo de auditoría interna. evaluación de los cambios que podrían
afectar significativamente el sistema de
• Debe ser proactivo para adaptarse a los control interno.
• Se comunica la información relativa a los cambios que podrían cambios. • Se comunica regularmente con la administración para
afectar significativamente el sistema de control interno de la anticiparse a los cambios y el impacto sobre la
junta con el suficiente detalle para permitir a la junta para • Regularmente monitorea y considera los evaluación del riesgo de la organización.
cumplir con sus responsabilidades de supervisión. cambios en el riesgo legal, regulatorio y
cumplimiento de la organización.
Principio 10. La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de los riesgos para el logro de los objetivos de
niveles aceptables.
• Mantiene controles internos eficaces y para la ejecución de • Funciones dentro de la segunda línea de • Proporciona seguridad de que los controles • La junta evalúa la información y proporciona
los procedimientos de control de riesgo y sobre una base defensa que normalmente son responsables de establecidos por la administración están diseñados supervisión para ayudar a asegurar que el
del día a día. La gestión operativa identifica, evalúa, supervisar los controles específicos en nombre adecuadamente y efectivamente aplicado, y sistema de gestión del control interno es
controla y mitiga los riesgos, que guían el desarrollo y la de la gestión. funcionando según lo previsto para mitigar los riesgos adecuada para mitigar los riesgos para el logro
implementación de políticas y procedimientos internos y para el logro de objetivos a niveles aceptables. de objetivos a niveles aceptables.
asegurar que las actividades son consistentes con las
metas y objetivos establecidos. A través de una estructura • Que le sean asignadas por la administración,
de responsabilidad en cascada, los gerentes de nivel medio los individuos en la segunda línea de defensa • Proporciona sugerencias destinadas a
a diseñar e implementar procedimientos detallados que también pueden participar en la selección y mejorar la eficiencia y efectividad de los
sirven como controles y supervisan la ejecución de esos desarrollo de controles específicos; Sin controles internos; Sin embargo, la gestión
procedimientos por sus empleados. embargo, la gestión siendo el responsable del siendo el responsable del sistema de
sistema de controles internos. controles internos.
• Naturalmente sirve como la primera línea de defensa

ya que los controles están diseñados en los sistemas
y procesos bajo la dirección de la gestión operativa.
No debe haber una adecuada gestión de control y
supervisión en el lugar para asegurar el cumplimiento
y para resaltar las averías de control, procesos
inadecuados y acontecimientos inesperados.
www . coso. org

Principio 11. La organización selecciona y desarrolla actividades de control general sobre la tecnología para apoyar el logro de los objetivos.
• Diseña e implementa el control de las actividades • Los individuos en la segunda línea de defensa a menudo se • Evalúa si los procesos de gobierno de TI de la • La placa tiene responsabilidades de
relacionadas con la tecnología. Esto incluye la le asignen funciones con respecto a la supervisión de los organización de apoyo a las estrategias y objetivos supervisión significativas en cuanto a
creación y la comunicación de las políticas y controles específicos de tecnología. de la organización. dirección, evaluación y monitoreo de los
procedimientos relativos a la tecnología y asegurar controles. función de supervisión de la junta
que los controles de TI son adecuadas para apoyar el • Ofrecer garantías en cuanto a la eficiencia, la debe abarcar los aspectos de gobierno de TI,
logro de los objetivos. • Grupos como los departamentos de seguridad de la eficacia y la integridad de los controles de la tales como
información también pueden desempeñar un papel tecnología y, en su caso, puede recomendar
importante en la selección, desarrollo y mantenimiento mejoras en las actividades de control - estructuras de organización y
gobierno.
• Establece procesos para supervisar y evaluar el de controles sobre la tecnología, según lo señalado por específicas.
desarrollo de la exposición al riesgo re- RELAClONADAS la dirección. - El liderazgo ejecutivo y
apoyo.
a tecnologías nuevas y emergentes.
• Para preservar la independencia y objetividad de auditoría - La planificación estratégica y
operativa.
interna, los auditores internos normalmente no seleccionar
o desarrollar actividades de control general sobre la - La prestación de servicios y la
medición.
tecnología; sin embargo, pueden hacer recomendaciones
sobre controles de la tecnología. - organización de TI y gestión de
riesgos.
• Los auditores internos deben tener un conocimiento

suficiente de los riesgos de TI y controles clave para
llevar a cabo su trabajo asignado. Sin embargo, no se
espera que todos los auditores internos para tener la
experiencia de un auditor interno cuya responsabilidad
principal es la auditoría de tecnología de la información.
Principio 12. La organización implementa las actividades de control a través de políticas que establecen lo que se espera y los procedimientos que ponen en práctica las políticas.
• Establece las actividades de control que están • Vigila el cumplimiento de las políticas y procedimientos • Proporciona la seguridad en el diseño y • La junta proporciona supervisión para
integradas en los procesos de negocio y los empleados específicos según lo designado por la dirección. ejecución de políticas, procedimientos y asegurar que un sistema robusto de políticas
las actividades del día a día a través de políticas que otros controles. y procedimientos está en su lugar para guiar
establecen lo que se espera y procedimientos las operaciones y ayuda a garantizar el
pertinentes que especifican acciones. • Ayuda a la gestión en el desarrollo y la • Hace recomendaciones respecto a las políticas y cumplimiento de los objetivos.
difusión de políticas y procedimientos. procedimientos, pero normalmente no tiene autoridad
para diseñar o implementar políticas y procedimientos
• Establece la responsabilidad y la rendición de cuentas para las operaciones que residen fuera de la función de
de las actividades de control de la gestión (u otro • Asegura que los riesgos son monitoreados en relación con auditoría interna.
personal designado) de la unidad de negocio o función el apetito de riesgo establecido de la organización.
en la que residen los riesgos relevantes.
• Asegura que el personal competente con suficiente

autoridad realizan actividades de control con
diligencia y enfoque continuo, en tiempo y forma
según la definición de políticas y procedimientos.
• Asegura que el personal responsable investigar y

actuar sobre asuntos identificados como resultado
de la ejecución de las actividades de control.
• Revisa periódicamente las actividades de control

para determinar su pertinencia actual, y las actualiza
cuando sea necesario.
www . coso. org

Principio 13. La organización obtiene o genera y utiliza la información pertinente, de calidad para apoyar el funcionamiento del control interno.
• Crea y mantiene los datos para monitorear las • Compila la información de toda la organización para • Proporciona seguridad en cuanto fiabilidad de la • La alta dirección y la información de tabla de
actividades del día a día, compartiendo información a su uso en actividades de monitoreo. información y la integridad y las exposiciones de riesgo apalancamiento para tomar decisiones para
través de, arriba, y abajo de la organización. asociados. Esto incluye tanto las exposiciones de riesgo monitorear el éxito de la organización,
internos y externos, y las exposiciones relativas a las anticipar los riesgos, y comunicarse con las
relaciones de la organización con entidades externas. partes interesadas externas, tales como
• Considera los costos y beneficios, asegurando inversores.
que la naturaleza, cantidad, y la precisión de la
información comunicada son proporcionales y
apoyar el logro de los objetivos. • Periódicamente se evalúan las prácticas de integridad • Periódicamente recibirá informes
fiabilidad de la información de la organización y en su sobre las operaciones y la eficacia
caso y recomendar, mejoras en, o la implementación del sistema de control interno de la
• confiabilidad de la información y la integridad es de nuevos controles y salvaguardas. Tales organización.
responsabilidad de la dirección. Esta responsabilidad evaluaciones pueden llevar a cabo ya sea como
incluye toda la información crítica de la organización, compromisos independientes separadas o integradas
independientemente de cómo se almacena la en otras auditorías o compromisos realizados como
información. confiabilidad de la información y la parte del plan de auditoría interna.
integridad incluye exactitud, integridad y seguridad.
• Determina si se pueden hacer rápidamente la fiabilidad

de la información y las infracciones y de las condiciones
de integridad que podrían representar una amenaza para
la organización conocida a la alta dirección, el tablero y la
actividad de auditoría interna.
Principio 14. La organización se comunica internamente información, incluyendo los objetivos y las responsabilidades de control interno, necesarias para
apoyar el funcionamiento del control interno.
• Desarrolla y mantiene procesos para comunicar la • Monitores, recopila información y se comunica la • Proporciona la seguridad respecto a la integridad, • La junta establece y
información necesaria para que todo el personal información de resumen de primera línea y la tercera exactitud y calidad de la comunicación en comunica el tono de espera
de entender y llevar a cabo sus responsabilidades línea de defensa y la junta con respecto a los controles alineación con consejeros y altos directivos en toda la organización.
de control interno. específicos. necesidades.
• Puede ser responsable de controlar los canales de • El consejo y la alta dirección debe
• Se comunica la información adecuada para el consejo comunicación separados, tales como líneas directas de proporcionar orientación con respecto a la
de administración para que puedan cumplir sus denuncia. naturaleza de las comunicaciones que se
funciones con respecto a los objetivos de la entidad. esperan de individuos en cada línea de
defensa.
• Establece canales de comunicación separados tales

como líneas directas de denuncia, que sirven como
mecanismos a prueba de fallos para permitir la
comunicación anónima o confidencial cuando los
canales normales son inoperantes o ineficaces.
www . coso. org

Principio 15. La organización se comunica con las partes externas con respecto a asuntos que afectan al funcionamiento del control interno.
• Asegura procesos están en su lugar para comunicar • Con la excepción de ciertas comunicaciones a los • Proporciona seguridad de que las • La junta debe recibir información e
información relevante y oportuna a las partes externas reguladores, auditores externos, y otros grupos comunicaciones esenciales de los demás informes de gestión sobre el
incluyendo accionistas, socios, propietarios, reguladores, específicos, normalmente la segunda línea de son exactos. funcionamiento y la efectividad del
clientes y analistas financieros y otras partes externas. defensa no se comunica con las partes externas con control interno y la base de
respecto a asuntos que afectan al funcionamiento del • Normalmente, la función de auditoría interna opiniones de la gerencia antes de la
control interno. no se comunica con las partes externas con comunicación con las partes
• Establece y asegura canales de comunicación abiertos para respecto a asuntos que afectan al externas.
permitir la entrada de clientes, consumidores, proveedores, funcionamiento del control interno.
auditores externos, reguladores, analistas financieros, y otros, • Si la organización informa externamente en sus controles
proporcionando la gestión y el consejo de administración con internos, la segunda línea de defensa proporcionar
la información pertinente. funciones de gestión con los resultados de sus • La junta debe discutir con los auditores
actividades en apoyo de las opiniones de la externos sus opiniones y dictámenes que
administración. se incluirían en cualquiera de informes
• Se comunica la información pertinente de las evaluaciones externos sobre los sistemas de control de
llevadas a cabo por personal externo a la junta de directores. la organización.
• Selecciona métodos de comunicación y asegura que el

método de comunicación considera el momento, la
audiencia y la naturaleza de la comunicación y los
requisitos y expectativas legales, regulatorios, y
fiduciarias.
• Establece criterios apropiados para tratar factores tales como la

autorización requerida para la presentación de información fuera de
la organización; directrices relativas a la información permisibles y
no permisibles que pueden ser alcanzadas; personas externas
designadas para recibir información y los tipos de información que
pueden recibir; reglamentos relacionados con la privacidad, los
requisitos regulatorios y consideraciones legales para la
presentación de información fuera de la organización; y la
naturaleza de las garantías, consejos, recomendaciones,
opiniones, orientación y otra información que pueda ser incluido en
la comunicación de información fuera de la organización.
principio 16 . La organización selecciona, desarrolla, y realiza y o evaluaciones en curso / separados para determinar si los componentes del interior
de control están presentes y funcionando.
• Selecciona y desarrolla un equilibrio de las evaluaciones en curso y • Realiza en curso y las evaluaciones separadas • Proporciona seguridad de que las • La junta proporciona supervisión y
por separado, teniendo en cuenta la tasa de cambio en los procesos para monitorear el estado de varios componentes evaluaciones de gestión en curso sostiene gestión responsable de
comerciales y de negocios, y variando el alcance y la frecuencia de del sistema de control interno como se indica por están integrados en los procesos de seleccionar, desarrollar, y la realización
las evaluaciones separadas en función de los riesgos. (Estas la dirección. negocio y se ajustan a las condiciones de evaluaciones de los componentes del
evaluaciones pueden ser realizadas por el 2 Dakota del Norte línea de cambiantes según el caso. control interno.
defensa.)
• Lleva a cabo evaluaciones continuas y separadas
para supervisar si logro de los objetivos se • Proporciona seguridad de que la • Recibe informes periódicos sobre los
• Asegura que los evaluadores realizan evaluaciones continuas y encuentra dentro de las tolerancias de riesgo información proporcionada por las riesgos y la eficacia de sus actividades
separadas tienen suficiente conocimiento para comprender lo que establecidos. evaluaciones de gestión es justo y de gestión de riesgos de la
está siendo evaluado. presentado con precisión. organización.
• El diseño y el estado actual del sistema de control interno pueden ser • Proporciona seguridad de que el sistema de
utilizados para establecer una línea de base para las evaluaciones control interno está funcionando como se
en curso y separadas. esperaba y los riesgos se gestionan en el
apetito de riesgo de la organización y la
• Informa periódicamente a la junta sobre la realización tolerancia.
de actividades de gestión de riesgos de la
organización.
www . coso. org

Principio 17. La organización evalúa y comunica deficiencias de control interno de manera oportuna a las partes responsables de tomar
medidas correctivas, incluyendo la alta dirección y el consejo de administración, según el caso.
• Se comunica información sobre las deficiencias a • Los individuos en la segunda línea de defensa • Los auditores internos establecer y mantener un sistema para • La junta debe asegurarse de que recibe
las partes responsables de la adopción de medidas pueden delegarse la responsabilidad de supervisar e supervisar la disposición de los resultados de la auditoría información con respecto a las deficiencias de
correctivas y de la alta dirección y el consejo de informar en relación con determinados tipos de interna y las recomendaciones comunicados a la dirección. Este control en el momento oportuno y que las
administración, según el caso. deficiencias de control. sistema se ocupa normalmente: acciones correctivas son oportuna y suficiente
para hacer frente a las deficiencias
- Se requiere que el marco de tiempo dentro del cual la significativas de control.
• Pistas si las deficiencias se rehabiliten en gestión de la respuesta a las observaciones y
el momento oportuno. recomendaciones.
- Evaluación de la respuesta de la administración. • Dirección y el Consejo de Administración,
- Verificación de la respuesta (si es apropiado). en su caso, evaluar los resultados de las
- El rendimiento de un compromiso de seguimiento (en su evaluaciones en curso y separadas.
caso).
- Un proceso de comunicación que intensifica las
respuestas insatisfactorias / acciones, incluyendo la
asunción de riesgos, a los niveles apropiados de la alta
dirección o el tablero.
www . coso. org

Sobre los autores
Douglas J. Anderson, CIA, CPA, CRMA, CMA , es el presidente ejecutivo de Auditoría Materia Consultor
para el Centro Ejecutivo de Auditoría del IIA ®, un Ejecutivo en Residencia en Saginaw Valley State
University, y proporciona servicios de consultoría que se centran en la gobernabilidad, riesgo y control.
Anderson tiene más de 30 años de experiencia en auditoría interna, auditoría externa, la contabilidad y
las finanzas. Sus responsabilidades de trabajo le han llevado por todo el mundo y le proporciona
experiencia con una amplia variedad de organizaciones. Anderson ha ocupado una serie de funciones de
los voluntarios con el Instituto de Auditores Internos incluyendo instructor, miembro / presidente del
Comité de Orientación Profesional y vicepresidente de Orientación Profesional en el Comité Ejecutivo del
Consejo de Administración. También se desempeñó en el Grupo Asesor Permanente de la Junta de
auditoría generalmente aceptadas y ha sido miembro de los grupos de vigilancia para los dos proyectos
de COSO.
Gina Eubanks, la CIA, CISA, CRMA, CCSA, es el vicepresidente de servicios profesionales en el IIA, donde
dirige la Calidad, Director Ejecutivo de Auditoría y programas de servicios de la industria. Ella tiene más de
20 años de experiencia en auditoría interna, incluyendo 15 años con una Big 4 en servicios globales de
riesgo de la empresa. Eubanks experiencia ha sido a la vez dentro de los Estados Unidos y en el extranjero,
después de haber pasado mucho tiempo en la India. También ha sido un practicante y director en los
sectores minorista y de servicios financieros. Eubanks también es miembro del comité de auditoría de una
entidad financiera local y era un líder voluntario con el IIA durante casi 15 años.
www . coso. org

sobre COSO
formó originalmente en 1985, COSO es una iniciativa conjunta de cinco organizaciones del sector privado y se dedica a proporcionar el liderazgo de pensamiento a
través de la elaboración de marcos y orientación sobre la gestión del riesgo empresarial (ERM), el control interno, y la disuasión del fraude. organizaciones de apoyo de
COSO son el Instituto de Auditores Internos (IIA), la Asociación Americana de Contabilidad (AAA), el Instituto Americano de Contadores Públicos Certificados (AICPA),
Financial Executives Internacional (FEI), y el Instituto de Contadores Administrativos (IMA).
Sobre el IIA
El Instituto de Auditores Internos (IIA) es de la profesión de auditoría interna abogado, educador, y el proveedor más ampliamente reconocido de normas,
guías y certificaciones. Establecido en 1941, el IIA hoy sirve a más de 180.000 miembros en 170 países. La sede mundial de la asociación están en
Altamonte Springs, Florida. Para obtener más información, visite theiia.org .
El Instituto de Centro Ejecutivo de Auditoría de los auditores internos ® es el recurso esencial para capacitar a los CAE a tener más éxito. El conjunto de
información, productos y servicios del Centro permite a los DEA para responder a los retos y los riesgos emergentes de la profesión. Para obtener más
información sobre el Centro, visite theiia.org/cae .
Esta publicación contiene información general y ninguno de COSO, cualquiera de sus organizaciones constituyentes o cualquiera de los autores de esta publicación es, por medio de
esta publicación, contabilidad, negocios, financiera, de inversiones, legal, fiscal o de otro profesional o la prestación de servicios . La información contenida en este documento no es
un sustituto de dicha asesoría o servicios profesionales, ni debe ser usada como base para cualquier decisión o acción que pueda afectar a su negocio. Puntos de vista, opiniones o
interpretaciones expresadas en este documento pueden diferir de las de los reguladores pertinentes, las organizaciones de autorregulación u otras autoridades y pueden reflejar las
leyes, reglamentos o prácticas que están sujetos a cambiar con el tiempo.
Evaluación de la información contenida en este documento es responsabilidad exclusiva del usuario. Antes de tomar cualquier decisión o realizar cualquier acción que pueda afectar a su negocio
con respecto a los asuntos descritos en el presente documento, usted debe consultar con asesores profesionales cualificados pertinentes. COSO, sus organizaciones constituyentes y los autores
renuncian expresamente a cualquier responsabilidad por cualquier error, omisión o inexactitud contenida en este documento o cualquier pérdida sufrida por cualquier persona que confíe en esta
publicación.
www . coso. org

El Instituto de Auditores Internos | Aprovechando COSO través de las tres líneas de defensa | Y
Gobernabilidad y Control Interno
Comité de Organizaciones Patrocinadoras

de la Comisión Treadway
www . coso. org
www . coso. org

Z | Aprovechando COSO través de las tres líneas de defensa | El Instituto de Auditores Internos
Gobernabilidad y Control Interno
LEVERAGINGCOSOACROSST
HETHREELINESOFDEFENSE
COSO
www . coso. org
www . coso. org

COSO-2015-3LOD (1) .En - Es

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

COSO-2015-3LOD (1) .En - Es

Caricato da

Copyright:

Formati disponibili

C ommitteeof S ponsoring O rganizationsof la C omisión T readway

Gove rnanceand I nterna Co ntrol

L EVERAG iación COSO través de

los tres LI NE S DE DE F ENS E

El Instituto de Auditors® Interna

Douglas J. Anderson | Gina Eubanks

El Instituto de Auditores Internos

ayuda y apoyo en la preparación de este documento.

Miembros de la Junta de COSO

Robert B. Hirth, Jr. Mitchell A. Danaher

Douglas F. Prawitt Charles E. Landes

Richard F. Cámaras Sandra Richtermeyer

Asociación Americana de Contabilidad ( AAA)

Instituto Americano de Contadores Públicos ( AICPA)

Los ejecutivos financiera internacional ( FEI)

El Institute of Management Accountants ( IMA)

El Instituto de Auditores Internos ( IIA) www . coso. org

Gove rnanceand I nterna Co ntrol

L EVERAG iación COSO través de

los tres LI NE S DE DE F ENS E

de julio de el año 2015

www . coso. org

Copyright © 2015, La COSO (COSO). 1234567890 PIP 198765432

www . coso. org

I. Las tres líneas de defensa Modelo 2

Roles de la Alta Dirección y el Consejo de Administración en las

La primera línea de defensa: Gestión de Operaciones 5

La segunda línea de defensa: Supervisión Interna y Funciones de

La tercera línea de defensa: Auditoría Interna 7

Los auditores externos, reguladores y otros cuerpos

II. Estructuración y coordinación de las tres

La estructuración de las tres líneas de defensa 10

La coordinación de las tres líneas de defensa 11

III. Aprovechando COSO a través de las tres líneas de defensa 13

Sobre los autores 23

www . coso. org

www . coso. org

Figura 1. Relación entre los objetivos, la estructura y la Modelo

Marco utiliza para

Primera línea de defensa Segunda línea de defensa Tercera línea de defensa

Gestión de riesgos Estructura de la

www . coso. org

I. Las tres líneas de defensa Modelo

2. Monitor (Funciones de riesgos, control y cumplimiento de normas establecidas

gobierno de la organización. Cuando cada uno realiza su función asignada de

Figura 2. Tres líneas de defensa Modelo

Consejo de Comité cuerpo / Junta / Auditoría

Controles de Control interno de seguridad Auditoría

gestión medidas Calidad

www . coso. org

la toma de riesgos y la gestión de los riesgos - todo para avanzar en la organización. Si

no se toman los riesgos apropiados, y el fracaso para gestionar adecuadamente los

3. La tercera línea proporciona una garantía a la alta dirección y el consejo sobre

www . coso. org

Figura 3. funciones de supervisión del entorno de control

Consejo de Comité cuerpo / Junta / Auditoría

Control medioambiental Vigilancia

1. Demuestra compromiso con la integridad

2. la responsabilidad de supervisar el ejercicio

3. Establece la estructura, la autoridad y

4. Demuestra compromiso con la competencia

5. Hace cumplir la rendición de cuentas

www . coso. org