Tres líneas de defensa y COSO 2013
El Marco Integrado de Control Interno con su última actualización del 2013 ha obtenido una gran aceptación entre las organizaciones por ser una herramienta muy útil en la administración del riesgo a través de la implementación de controles internos efectivos, y debido a que define claramente los 5 componentes, principios y puntos de enfoque necesarios para una administración efectiva.
El pasado 7 de Julio de 2015, COSO en colaboración con el Instituto de Auditores Internos, publicó el documento “Leveraging COSO Across the Three Lines of Defense”, Usando/aprovechando COSO a través de tres líneas de defensa; documento que presenta cómo las responsabilidades y funciones relacionadas a la administración y control de riesgos pueden ser asignadas y coordinadas, con el fin de minimizar los vacíos en los controles y la duplicación de actividades yresponsabilidades dentro de una organización para el cumplimiento de los objetivos establecidos.
El modelo de Tres líneas de Defensa define claramente las responsabilidades y funciones para tres aspectos esenciales del riesgo: propiedad/titularidad del riesgo, control del riesgo, y garantía/seguridad del riesgo. En la primera línea se encuentra la propiedad y la administración del riesgo, está conformada por los controles de la administración y el control interno; las unidades operacionales tienen la propiedad y responsabilidad para evaluar, controlar y mitigar los riesgos junto con el mantenimiento de controles internos efectivos. En la segunda línea están los controles del riesgo y funciones de cumplimiento para el monitoreo del riesgo, supervisando el cumplimiento de las leyes, normas y estándares tanto internos como externos. En la última línea se encuentra la auditoria interna, la cual proporciona la seguridad de la efectividad de los controles y funciones y de la evaluación del riesgo.
Cuando una organización estructura apropiadamente las tres líneas tiene una mayor probabilidad de llevar a cabo una administración efectiva de riesgos, evitando esfuerzos innecesarios y logrando una respuesta adecuada a los riesgos.
Este modelo está diseñado para ser flexible, cada organización puede implementar el modelo de acuerdo a sus características (industria, tamaño, estructura operativa, y enfoque para la administración de riesgo) y necesidades. Bajo la dirección y supervisión de la alta dirección y la Junta Directiva las tres líneas de defensa proporcionan una forma efectiva de mejorar la comunicación en relación al riesgo y control.
Fuente: Auditool