El Marco Integrado de Control Interno con su última actualización del 2013 ha obtenido una gran aceptación entre las organizaciones por ser una herramienta muy útil en la administración del riesgo a través de la implementación de controles internos efectivos, y debido a que define claramente los 5 componentes, principios y puntos de enfoque necesarios para una administración efectiva.
El pasado 7 de Julio de 2015, COSO en colaboración con el Instituto de Auditores Internos, publicó el documento “Leveraging COSO Across the Three Lines of Defense”, Usando/aprovechando COSO a través de tres líneas de defensa; documento que presenta cómo las responsabilidades y funciones relacionadas a la administración y control de riesgos pueden ser asignadas y coordinadas, con el fin de minimizar los vacíos en los controles y la duplicación de actividades yresponsabilidades dentro de una organización para el cumplimiento de los objetivos establecidos.
El modelo de Tres líneas de Defensa define claramente las responsabilidades y funciones para tres aspectos esenciales del riesgo: propiedad/titularidad del riesgo, control del riesgo, y garantía/seguridad del riesgo. En la primera línea se encuentra la propiedad y la administración del riesgo, está conformada por los controles de la administración y el control interno; las unidades operacionales tienen la propiedad y responsabilidad para evaluar, controlar y mitigar los riesgos junto con el mantenimiento de controles internos efectivos. En la segunda línea están los controles del riesgo y funciones de cumplimiento para el monitoreo del riesgo, supervisando el cumplimiento de las leyes, normas y estándares tanto internos como externos. En la última línea se encuentra la auditoria interna, la cual proporciona la seguridad de la efectividad de los controles y funciones y de la evaluación del riesgo.
Cuando una organización estructura apropiadamente las tres líneas tiene una mayor probabilidad de llevar a cabo una administración efectiva de riesgos, evitando esfuerzos innecesarios y logrando una respuesta adecuada a los riesgos.
Este modelo está diseñado para ser flexible, cada organización puede implementar el modelo de acuerdo a sus características (industria, tamaño, estructura operativa, y enfoque para la administración de riesgo) y necesidades. Bajo la dirección y supervisión de la alta dirección y la Junta Directiva las tres líneas de defensa proporcionan una forma efectiva de mejorar la comunicación en relación al riesgo y control.
Fuente: Auditool
