En las empresas del siglo XXI, no es raro encontrar diversos equipos de auditores internos, especialistas en gestión de riesgos, funcionarios de cumplimiento, especialistas en control interno, inspectores de calidad, investigadores de fraude, y otros profesionales de riesgo y control que trabajan en conjunto para ayudar a las organizaciones a gestionar el riesgo.
Cada
una de estas
especialidades tiene una única perspectiva y habilidades específicas que pueden ser muy valiosa para las organizaciones a
las que prestan servicios, pero ya que
los derechos relacionados con la gestión y control de riesgos están cada vez más divididos
en múltiples departamentos y divisiones,
estos deben ser coordinados cuidadosamente para asegurar
que los procesos de riesgo y control deben funcionar según lo previsto.
No es
suficiente que diversas funciones del riesgo y control
existan, el reto es asignar roles
específicos y coordinar con
eficacia y eficiencia entre estos grupos de manera que
no haya "lagunas" en controles
innecesarios ni duplicación de funciones. Se debe definir responsabilidades claras de modo que cada grupo de profesionales de riesgo y controle entienda los límites de sus responsabilidades y
cómo encajan en la posición
global de riesgos en la organización y la estructura de control.
Como
primera línea de defensa, los gerentes operativos poseen y gestionan
los riesgos. Ellos también son
responsables de implementar acciones correctivas para
abordar el proceso y las deficiencias de control. La gestión
operativa se encarga del mantenimiento efectivo
de controles internos, ejecutar procedimientos de riesgo y el control sobre
una base del día a día. La gestión operativa identifica, evalúa,
controla y mitiga los riesgos, orienta
el desarrollo e implementación de políticas y procedimientos internos y asegura que las
actividades sean compatibles con
las metas y objetivos.
A través de una estructura de responsabilidad en cascada, gerentes de nivel medio diseñan e implementan procedimientos detallados que sirven como controles y supervisan la ejecución de estos procedimientos por parte de sus empleados.
La
gestión operativa naturalmente sirve como
primera línea de defensa porque los controles estén
diseñados en los sistemas y
procesos bajo una guía de gestión
de operación. Debe haber una adecuada gestión de control y establecidos para asegurar el cumplimiento y para resaltar el desglose de control, procesos inadecuados,
y los acontecimientos inesperados.
LA SEGUNDA LINEA DE DEFENSA: LA GESTIÓN DEL RIESGO Y
FUNCIONES DE CUMPLIMIENTO
En un mundo perfecto,
tal vez sólo una línea de defensa sería necesaria para asegurar una eficaz gestión
del riesgo. En el mundo real, sin embargo, una sola línea de defensa a menudo
puede resultar insuficiente. La gestión de riesgos establece diversas funciones
de gestión y cumplimiento para ayudar a construir y / o monitorear los primeros
controles de línea de defensa.
Las funciones
específicas varían según la organización y la industria, pero las funciones
típicas de esta segunda línea de defensa son:
·
Una
función de gestión de riesgos (y / o comité) que facilita y supervisa la
aplicación de la gestión eficaz de los riesgos, prácticas de gestión operativa
y dar asistencia de riesgos a los dueños en la definición del objetivo de la
exposición al riesgo y la notificación adecuada de riesgos relacionados con la
información en toda la organización.
·
Una
función de supervisar el cumplimiento de diversos riesgos específicos como el
incumplimiento de las leyes y reglamentos aplicables. Como tal, la función
independiente rinde cuentas directamente a los altos directivos, y en algunos
sectores de actividad, directamente a los órganos de gobierno.
·
La
contraloría como función de monitoreo de riesgos financieros y de la
información financiera.
LA TERCERA LINEA DE DEFENSA: AUDITORÍA INTERNA
Los auditores
internos proporcionan al órgano de gobierno y administración superior garantía
global basado en el más alto nivel de independencia y objetividad en la
organización. Este alto nivel de independencia no es disponible en la segunda
línea de defensa. La auditoría interna proporciona una garantía sobre la
eficacia del gobierno, la gestión de riesgos y controles internos, incluyendo
la manera en que las líneas primeras y segunda de defensa logran los objetivos
de gestión de riesgos y control. El alcance de esta seguridad, el cual se
informa a la alta dirección y al consejo de administración, por lo general se
refiere a:
·
Una
amplia gama de objetivos, incluyendo la eficiencia y eficacia de las
operaciones, salvaguarda de activos, fiabilidad y la integridad de los reportes
de información, y el cumplimiento de las leyes, reglamentos, políticas,
procedimientos y contratos.
·
Todos los
elementos de la gestión de riesgos y marco de control interno que incluye:
ambiente de control interno; los elementos del marco de la gestión de riesgos,
(es decir, identificación de riesgos, evaluación de riesgos y respuesta); información
y comunicación, y el monitoreo).
·
La
entidad global, divisiones, filiales, unidades operativas, y funciones, incluyendo los procesos de negocio, tales como
ventas, producción, marketing, seguridad, funciones de cliente y operaciones, así
como las funciones de apoyo (por ejemplo, los ingresos y la contabilidad de
gastos, recursos humanos, compras, nómina, elaboración de presupuestos, la
infraestructura y la gestión de activos, inventario, y tecnología de la
información).
El establecimiento de
una actividad profesional de auditoría interna debe ser un requisito de
gobierno para todas las organizaciones. Esto no sólo es importante para ampliar
a las organizaciones de tamaño medio, también puede ser igualmente importante
para las pequeñas entidades, ya que pueden enfrentarse a entornos igualmente
complejos con una sólida estructura organizativa formal para garantizar la
eficacia de su gestión y los procesos de gestión de riesgos.
PRÁCTICAS RECOMENDADAS:
•
Los
procesos de riesgo y control deben ser estructurados de acuerdo con las tres
líneas del modelo de defensa.
•
Cada
línea de defensa debería ser apoyado por políticas apropiadas y las
definiciones de funciones.
•
Debe
existir una adecuada coordinación entre las distintas líneas de defensa para
fomentar la eficiencia y la eficacia.
•
Las funciones
de riesgo y control operativo en las diferentes líneas deben compartir el
conocimiento y la información para ayudar a todas en un mejor cumplimiento de
sus funciones de manera eficiente.
•
Las líneas
de defensa no debe combinarse o coordinarse de una manera que pueda comprometer
su eficacia.
•
En
situaciones en que las funciones en las diferentes líneas se combinan, el
órgano rector debe estar informado de la estructura y su impacto. Para las
organizaciones que no han establecido una actividad de auditoría interna, el
Consejo de Administración deberá explicar y dar a conocer a las partes
interesadas que han considerado como garantía suficiente sobre la eficacia
de gobierno y la organización lo que se obtendrá de la gestión de riesgos y estructura de control.
de gobierno y la organización lo que se obtendrá de la gestión de riesgos y estructura de control.
¿Te ha gustado el post? ¡Compártelo con otro auditor
interno!
Excelente artículo
ResponderEliminarGracias por colaborar con nuestra actualización
¿¿Bendiciones ¡¡
Gracias a ti Fior por visitar nuestro blog. Saludos,
Eliminar