Las tres líneas de defensa

Los ingenieros ibéricos diseñaron sus castillos y fortalezas, desde el siglo XVI, con tres líneas de defensa. La frontera hispano-lusa presenta muchos ejemplos de esa inexpugnable construcción militar de la época. Una muestra es la bella población portuguesa de Almeida, que puede verse en la foto superior. Allí, si fallaba la primera muralla, el enemigo (¡supongo que nosotros!) tenía muy difícil atravesar la segunda y, aun así, quedaba la tercera fortificación para resistir… En fin, el ejemplo viene a cuento para ilustrar la entrada que hoy dedicamos a divulgar el modelo de las tres líneas de defensa, popularizado por el Instituto de Auditores Internos, así como dos interesantes publicaciones sobre el estado de esa profesión. 

Para asumir con eficacia sus responsabilidades, la Alta Dirección procura asegurar la gestión y el control de los riesgos, a través de distintas herramientas, internas y externas a la organización. Respecto a las primeras, el Instituto de Auditores Internos (IIA) reconoce que el buen gobierno corporativo -a través del cual las organizaciones son dirigidas y controladas- exige una buena Comisión de Auditoría; y no hay una buena Comisión de Auditoría sin una buena Auditoría Interna, de acuerdo con el Modelo de las Tres Líneas de Defensa.

Las «Tres líneas de defensa» (3LoD, en inglés) suponen un parámetro de referencia para describir las responsabilidades mediante capas o niveles de actividad que contribuyen a garantizar que los riesgos se gestionan y se supervisan de forma eficiente y eficaz. Se describe (ver Documento del IIA, Apéndice B) en este cuadro de síntesis:

La primera línea de defensa de una organización está formada por los gestores (del día a día) y el control interno, como proceso (COSO). La segunda existe en algunas organizaciones que han establecido funciones especializadas como Seguridad, Calidad, Inspección, Control Financiero o Gestión de Riesgos, todas ellas con una característica de control transversal de los procesos. La Auditoría Interna constituye la tercera línea de defensa y es el control de los controles, en el ámbito interno. Después quedarán, en el ámbito externo, las auditorías externas y los Organismos de control, que a veces (vg: las AAPP) coinciden en los OCEX.

La Auditoría Interna en 2013

En otra anterior entrada, el año pasado hablamos sobre cómo se estaban alcanzando las expectativas sobre la función de auditoría interna en todo el mundo, de acuerdo con un estudio de PwC. Ahora, esa consultora y auditora multinacional presenta otro interesante documento titulado Estudio sobre el estado de la profesión de auditoría interna de 2013. Han participado en él 1.100 directores de auditoría interna y más de 630 stakeholders (CEOs, presidentes de comités de auditoría, otros miembros del Consejo y altos directivos del área de finanzas y riesgos), procedentes de un total de 18 sectores y 60 países.

En el entorno actual, caracterizado por un aumento generalizado de los riesgos, el estudio identifica tres cuestiones clave que afectan a la capacidad de muchos departamentos de auditoría interna para añadir más valor. Problemas de alineación con los stakeholders, mejoras en sus capacidades básicas y la necesidad de mayor aportación de la función de auditoría interna, todas estrechamente relacionadas. Avanza las siguientes conclusiones:

1.- La dirección y los miembros del Consejo no coinciden en su percepción del rendimiento de la función de auditoría interna. El porcentaje de miembros del Consejo para los que la auditoría interna les aporta valor de manera significativa es muy superior al de los miembros de la dirección (35% de diferencia) y consideran que la función tiene un margen de mejora en determinados atributos clave (como por ejemplo, promoción de la innovación y la calidad), lo cual podría indicar que sus expectativas con respecto a la función de auditoría interna son menores de las deseables. En plata: los gestores acusan a los contralores de anquilosantes.

 2.- La función de auditoría interna se está esforzando para desarrollar sus capacidades. 

Aunque las empresas están subiendo el listón de su propio rendimiento para poder hacer frente a un panorama de riesgos en constante evolución y unas mayores expectativas de las autoridades reguladoras y los stakeholders, parece que en ocasiones no están haciendo lo propio con la función de auditoría interna. Los datos de PwC indican que, aunque estas funciones se esfuerzan por alcanzar la excelencia en ocho atributos clave, su capacidad para aportar el valor adecuado a sus organizaciones tiene todavía capacidad de mejora. Hablando claro: los directores acusan a los contralores de no estar a su nivel.

3.- La auditoría interna sigue teniendo capacidad de desarrollo, especialmente en áreas fuera de su ámbito tradicional. Los stakeholders están menos satisfechos con la aportación de la auditoría interna en aquellas áreas de riesgo emergentes, como la gestión de grandes proyectos, la introducción de nuevos productos o servicios, la gestión de proyectos de inversión y las fusiones o adquisiciones. Es decir, que los contralores creen vivir en un mundo estático y concreto que no se corresponde a la realidad.

En realidad, el documento recoge y pone de relieve, en buenas y caras palabras de consultor, la clásica lucha de mentalidades de gestores y auditores, que con alguna frecuencia termina en un conflicto serio.

Desarrollando la auditoría interna de las universidades

Las Universidades Públicas españolas cuentan con servicios de Auditoría Interna que han sido reconocidos por sus colegas auditores externos y premiados por los mejores académicos de la especialidad. De acuerdo con la tesis doctoral recientemente presentada en la Universidad de Cantabria y de la que es autor Carlos Iván Campos Arana (pincha aquí para descargarla después de registrarte) los responsables directos de la auditoría interna deberían asumir el compromiso de prepararse para el nuevo rol de la función en los terrenos de las cuestiones sobre la gestión de riesgos y de gobierno así como de cumplir los atributos básicos del enfoque moderno.

El reciente doctor identificó las distintas interpretaciones y alcances de esa función, lo que condujo a realizar un estudio empírico que profundiza en el conocimiento de la auditoría interna universitaria. Concluye que en las universidades públicas de España existe la función de auditoría interna con un enfoque moderno, pero en un nivel medio de desarrollo, evidenciando un “desequilibrio entre el perfil del titular y el de la Unidad como equipo de trabajo”. Además, se demanda una mayor implicación de los órganos colegiados de la Universidad, especialmente del Consejo Social, para el caso de las universidades españolas.