cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
PBarcenas
Retired

Durante la primera fase de la sesión se compartió un ejemplo modelo de las 3 líneas de defensa, del Instituto de Auditores Internos enero 2013.

Modelo de 3 Líneas de defensa_ MEGA.jpg

 

Primera línea de defensa – Gestión Operativa

La primera línea de defensa se compone de equipos gerenciales de primera y media línea, dueña de los procesos (cadena de valor) y la administración cotidianas sobre los riesgos y controles que ahí se experimentan.

La gerencia operativa es responsable de mantener efectivos controles internos y para la ejecución diaria de procedimientos de riesgo y control.

Evalúa, controla y mitiga los riesgos, orientando el desarrollo y la implementación de políticas y procedimientos internos (documentados) y asegura que las actividades sean coherentes con las metas y objetivos.


Segunda Línea – Funciones internas de supervisión

La segunda línea de defensa se orienta a respaldar a la administración superior al aportar experiencia y supervisión junto con la primera línea para garantizar que los riesgos y los controles se gestionen adecuadamente.

Consiste en actividades cubiertas por varios componentes de gobierno interno (cumplimiento, gestión de riesgos, calidad, TI y otros departamentos de control).

Esta línea de defensa supervisa y facilita la implementación de prácticas efectivas de administración de riesgos por parte de la administración operativa y ayuda a los propietarios de riesgos a comunicar información adecuada relacionada con el riesgo a toda la organización.


Tercera línea de defensa – Funciones de auditoría interna

La tercera línea de defensa brinda seguridad razonable a la Alta Dirección y al Consejo de Administración de que los esfuerzos de la primera y segunda líneas son consistentes con las expectativas.

Este grupo es una función de aseguramiento realizada por la función de auditor interno. Los auditores internos logran sus objetivos al brindar un enfoque sistemático para evaluar y mejorar la efectividad de los procesos de gestión de riesgos, control y gobierno.

Esta garantía cubrirá la eficacia con la que la organización evalúa y gestiona sus riesgos, así como la eficacia de la primera y segunda líneas de defensa. Abarca todos los elementos del marco de gestión de riesgos de una institución (desde la identificación de riesgos, la evaluación y respuesta de riesgos hasta la comunicación de información relacionada con los riesgos) y todas las categorías de objetivos organizacionales: estratégicos, éticos, operativos, informes y cumplimiento.

 

Demostración HOPEX para el Modelos de las 3 Líneas de Defensa

En la segunda parte de la sesión se realizó una demostración de HOPEX Gobierno, Riesgo y Cumplimiento, para apoyar en la gestión del modelo de las 3 Líneas de Defensa. Para ver la demostración, le invitamos a ver el video de la sesión (ver abajo el video).

 

Sesión de Preguntas y Respuestas

Finalmente, aprovechamos este espacio para compartir las respuestas de las preguntas que realizaron los participantes durante el evento:

P. Los diagramas de procesos se realizan desde la misma herramienta o se pueden cargar desde otras herramientas como visio, bizagi.

R. Los diagramas se pueden crear en HOPEX y también se pueden exportar desde otras herramientas de modelado, considerando que se tiene que realizar algunos ajustes a los diagramas una vez exportados.

P. ¿La herramienta es on-premise o en la nube?

R. Existen las dos modalides.

P. ¿La herramienta es adaptable para los niveles de riesgos, probabilidades e impactos?

R. La herramienta maneja una matriz de 5X5, considerando en su evaluación probabilidad, Impacto y Nivel de Control. En caso de requerir una matriz y una evaluación distinta se puede personalizar.

P. ¿Sobre la evaluación de riesgos e incidentes, consideran que los niveles de valoración deben ser los mismos o, pueden ser distintos?

De estándar se manejan 5 valores para calificar el Riesgo, por ejemplo: Muy Alto, Alto, Medio, Bajo y Muy Bajo. En caso de requerir una valoración distinta se puede personalizar.

P. ¿Dónde ubicar al compliance officer? ¿Hay algún perfil para el compliance officer?.

R. Sí, el módulo de HOPEX Regulatory Compliance puede identificar, implementar y supervisar los requisitos regulatorios, así como los riesgos y controles correspondientes.

P. Para el seguimiento de los planes de acción, ¿Cómo ayuda HOPEX?

R. La herramienta considera calendarios de seguimiento, por medio de los cuales se pueden programar notificaciones automáticas para que los usuarios correspondientes reciban recordatorios para su atención, así como también se cuentan con Flujos de trabajo para dar a conocer a los responsables que deben atender las acciones que están bajo su responsabilidad.

P. ¿Porqué es importate que la junta directiva tenga una injerencia o involucramiento para guiar el modelo de las 3 líneas de defensa?

R. Porque desde el Consejo de Administración o Junta Directiva se define la estratégia del negocio, los objetivos, los acuerdos de cómo se pretende alcanzarlos y es quien recibe la información ejecutiva por parte de la alta dirección (CEO) y por parte de Auditoría, para evaluar si se esta teniendo la efectividad deseada en el logro de los objetivos aprobados y deficidos por el Consejo.

P. ¿Es posible explicar cuál es la participación del modelo RACI en función a la mejorar los riegos?

R. El Modelo o la Matriz RACI, al igual que el Modelo de las tres líneas de defensa define las funciones (roles) y responsabilidades (tareas) de manera detallada para cada uno de los actores, lo que permite una adecuada identificación y medición de los riesgos y a su vez un eficiente diseño de los controles o mitigantes de los mismos. Sin embargo, en el Modelo de las tres líneas de defensa, es donde se hace énfasis en la gestión de riesgos y el control interno.

 

Finalmente, le compartimos el video de la sesión y las slides.

 

 

1 Comment