Auditoria Inteligente

Resultados, no procesos

Invítame a un café en Ko-fi!

Rescatando a COSO y las Tres Líneas del pasado analógico

Rescatando a COSO y las Tres Líneas del pasado analógico

En nuestro primer artículo, utilizamos la analogía de un automóvil deportivo para ilustrar una verdad incómoda de la era corporativa moderna. En un entorno hiperconectado, los departamentos de control interno no deben actuar como un ancla que detiene el progreso. En cambio, deben actuar como un sistema de dirección asistida y telemetría que permite a la organización acelerar de forma segura. Concluimos que el mayor riesgo estratégico que enfrentan las empresas hoy no es la adopción de inteligencia artificial o la migración a la nube, sino la persistencia de "silos" departamentales que fragmentan la gestión del riesgo y paralizan la toma de decisiones.

La pregunta lógica e inmediata que surge ante este diagnóstico es: ¿Cómo derribamos esos muros invisibles? ¿Acaso necesitamos inventar desde cero nuevos marcos de trabajo, metodologías ágiles e incomprensibles para lidiar con la velocidad de la era digital?

La respuesta, afortunadamente para las juntas directivas y los equipos de gestión, es un rotundo no. No necesitamos reinventar la rueda; necesitamos instalarle neumáticos de alto rendimiento y conectarla a una computadora a bordo. Para lograr una verdadera sinergia organizacional en el siglo XXI, el secreto reside en evolucionar nuestra comprensión y aplicación de dos estándares dorados y universalmente reconocidos en la industria: el Modelo de las Tres Líneas y el Marco COSO.

En este segundo artículo, desmitificaremos estos marcos —a menudo percibidos injustamente como reliquias burocráticas del pasado analógico— y exploraremos cómo su reciente evolución filosófica los convierte en el "idioma común" indispensable para alinear a toda la organización.

El fin de la "defensa"

Durante más de dos décadas, el mundo corporativo operó bajo un paradigma conocido como el "Modelo de las Tres Líneas de Defensa". Este lenguaje, aunque fue inmensamente útil en su momento para estructurar los departamentos de las empresas, tenía un defecto psicológico profundo que, con el tiempo, se volvió tóxico para la innovación.

Piénselo por un momento: ¿qué imagen mental evoca la palabra "defensa"? Sugiere trincheras, escudos, posiciones estáticas, barreras y, sobre todo, la anticipación temerosa de un ataque inminente.

Bajo ese arcaico modelo mental, la Primera Línea (operaciones y negocios) era el ejército en el frente haciendo el trabajo duro; la Segunda Línea (riesgos y cumplimiento) construía un muro defensivo para evitar que el negocio cometiera errores; y la Tercera Línea (auditoría interna) vigilaba desde una torre de marfil para asegurar que el muro estuviera intacto, reportando a la junta quién había roto las reglas. Esta estructura fomentaba inherentemente el trabajo en silos, la evasión de responsabilidades y una mentalidad adversarial. Operaciones veía a Riesgos como la "policía del proceso", y Riesgos veía a Operaciones como un "peligro constante".

Reconociendo que este enfoque defensivo era insostenible en un entorno de negocios impulsado por la agilidad y la transformación digital, el Instituto de Auditores Internos (IIA) dio un paso audaz. En su actualización global, publicó el Modelo de las Tres Líneas del 2020, eliminando deliberadamente la palabra "Defensa" de su título y de su filosofía.

Este cambio no fue un simple ajuste cosmético o semántico de relaciones públicas; representó un terremoto en la filosofía de la gobernanza corporativa. El nuevo modelo nos enseña que el riesgo no es algo de lo que simplemente debemos "defendernos"; es una variable dinámica que debemos gestionar colaborativamente para alcanzar los objetivos estratégicos.

Las líneas dejaron de ser barreras estáticas para convertirse en roles dinámicos orientados a un mismo fin:

  1. Roles de la primera línea: Ya no solo "operan" o ejecutan. Son los dueños absolutos del riesgo. Al diseñar un nuevo producto digital o adoptar una nueva tecnología, su enfoque no es solo generar ingresos, sino integrar la seguridad desde el diseño (Security by Design). Su mandato es la creación de valor.
  2. Roles de la segunda línea: Ya no son los "policías" que dicen "no". Ahora actúan como arquitectos y consejeros. Brindan asistencia, experiencia técnica, marcos de trabajo y herramientas de monitoreo (como analítica de datos) para desafiar y ayudar a la primera línea a tomar decisiones seguras. Su enfoque es la protección del valor.
  3. Roles de la tercera línea: Proporcionan aseguramiento independiente y objetivo. Sin embargo, su misión ya no es mirar por el retrovisor hacia el cumplimiento pasado mediante auditorías forenses, sino ofrecer asesoría prospectiva al Cuerpo de Gobierno, anticipando cómo los riesgos tecnológicos futuros podrían afectar la estrategia.

El Modelo de 2020 establece principios de alineación, comunicación, coordinación y colaboración. Nos da el mapa de relaciones perfecto, indicándonos quién debe hablar con quién. Sin embargo, para que este equipo multidisciplinario sepa exactamente qué hacer y cómo evaluar los riesgos bajo un estándar riguroso, necesita un motor metodológico. Es aquí donde entra en juego nuestro segundo protagonista.

El estigma de COSO: No es solo para contadores

Tres profesionales de Operaciones, Riesgos y Auditoría colaboran sobre una mesa digital con un mapa de riesgos integrado
Integrando las tres lineas bajo marcos comunes (Gemini/Auditoría Inteligente)

Si usted menciona el acrónimo "COSO" (Committee of Sponsoring Organizations of the Treadway Commission) en una sala de juntas moderna, es altamente probable que muchos directivos lo asocien inmediatamente con aburridas auditorías financieras, la Ley Sarbanes-Oxley (SOX) de principios de los años 2000, o con largas e interminables hojas de cálculo llenas de controles manuales.

Hay un estigma en las empresas que considera al Marco Integrado de Control Interno COSO como algo anticuado, demasiado rígido, complicado y burocrático para la agilidad que necesitan la computación en la nube o el desarrollo de software ágil. Esta percepción es un error de apreciación monumental que cuesta millones a las empresas.

El Marco COSO, actualizado por última vez en su totalidad en 2013, no es un manual rígido de reglas tecnológicas, sino un marco basado principalmente en principios que son independientes de la tecnología; y lo bueno de los principios bien estructurados es que envejecen excepcionalmente bien. El marco contiene 5 componentes interrelacionados (Entorno de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación, y Actividades de Monitoreo) que están respaldados por 17 principios inmutables.

Lo que ha cambiado radicalmente en la era digital no son los principios de COSO, sino el mecanismo y la velocidad mediante los cuales cumplimos esos principios.

Tomemos como ejemplo práctico el Principio 10: "La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de riesgos".

  • En el año 1995: Cumplir con este principio significaba que un gerente debía recibir una pila de facturas impresas, revisarlas manualmente contra un presupuesto en papel y firmarlas con un bolígrafo azul para autorizar el pago.
  • En el año 2026: Seguir este principio significa crear un algoritmo en un sistema ERP moderno que, usando la Automatización Robótica de Procesos (RPA), valide miles de transacciones por segundo. El sistema bloquea de inmediato cualquier pago superior a los umbrales de tolerancia predefinidos, sin necesidad de intervención humana.

El principio metodológico de COSO (la mitigación del riesgo mediante una actividad de control) sigue vigente, sólido y más pertinente que nunca. La digitalización ha cambiado la naturaleza de ese control, que ha pasado de ser un esfuerzo manual, retrospectivo y propenso a errores humanos a ser un proceso automatizado, preventivo y embebido (embedded) directamente en el código de la operación diaria.

La fórmula perfecta: Uniendo el “quién” con el “cómo”

Aquí es donde la sinergia organizacional nace y donde la verdadera magia estratégica ocurre. La realidad triste es que cuando las organizaciones intentan digitalizar sus operaciones o mejorar su gobernanza usando sólo uno de estos dos marcos, casi siempre fracasan.

Si una empresa adopta solamente el Modelo de las Tres Líneas del IIA, termina con un organigrama hermoso y altamente colaborativo, donde todos saben quién es su compañero de equipo. Pero no existe un estándar claro que permita evaluar si un riesgo tecnológico está bien gestionado o no. Ya tienen el “Quién”, pero falta el “Cómo”.

Si una empresa aplica el Marco COSO de forma aislada (como suele hacer el departamento de auditoría tradicional encerrado en su silo), al final tiene un excelente y voluminoso manual de controles técnicos. Pero la Primera Línea (operaciones) no hará caso a ese manual, porque no lo sienten como algo propio y lo perciben como una imposición externa a su flujo de trabajo. Saben el “Cómo”, pero fallan en el “Quién”.

La empresa invencible de la era digital surge de la combinación intencionada de dos mundos: usar la organización de roles cambiantes del Modelo de las Tres Líneas para poner en práctica los 17 principios de COSO.

Para usar una analogía musical, el Marco COSO es la partitura (la teoría, las notas, la metodología comprobada) mientras que el Modelo de las Tres Líneas es la orquesta (los músicos, la dirección, las responsabilidades de cada sección). De nada sirve tener a los mejores músicos si cada uno toca una canción diferente (silos), y de nada sirve tener una obra maestra escrita en papel si no hay quién se haga cargo de tocarla (teoría sin ejecución).

Al integrar ambos, creamos un “lenguaje común”. Cuando un gerente de ventas, un ingeniero de seguridad de la información y un auditor interno se sienten alrededor de la misma mesa de diseño para evaluar la adopción de una nueva herramienta de inteligencia artificial, dejan atrás sus jergas departamentales. Todos hablan el lenguaje estandarizado de COSO para la clasificación de riesgos, y todos comprenden su nivel de responsabilidad colaborativa según el Modelo de las Tres Líneas.

Hacia la matriz de sinergia digital

Hemos establecido firmemente que la evolución no se basa en descartar los marcos tradicionales por considerarlos viejos, sino en cambiar la mentalidad analógica con la que los aplicábamos. La colaboración de Las Tres Líneas se mantiene sin perder la responsabilidad individual y COSO nos brinda la rigurosidad metodológica para adaptarnos a cualquier tecnología disruptiva.

Pero, ¿cómo se ve esto en la práctica en la trinchera del día a día corporativo? ¿Cómo cogemos la teoría del famoso “Cubo de COSO” y la mapeamos exactamente sobre las responsabilidades del negocio, los especialistas técnicos y los auditores de manera que no queden zonas grises?

Para ir de la filosofía a la acción necesitamos una herramienta de puente, una arquitectura tangible que asigne responsabilidades específicas sobre componentes de control específicos. En el tercer artículo de esta serie, nos vamos a meter en el núcleo técnico de la sinergia. Veremos uno por uno cómo los 5 componentes de COSO se distribuyen entre los diferentes roles organizacionales, creando el plano arquitectónico (blueprint) de una gobernanza moderna, lista para ser automatizada por la tecnología.

Redactado por:

Christian Vargas

Christian fundó Auditoría Inteligente para compartir sus conocimientos y experiencias sobre la transformación y mejora de procesos de aseguramiento en toda Latinoamérica.

Categorías: ,