Blog de Juan Chong Salazar

Auditoría ¿Porqué las líneas de defensa no funcionan?

Para contestar tenemos que primero indicar cuáles son las líneas de defensa, y empezaremos indicando que son 3, estas son:


Primera Línea

Medidas de control interno del proceso, indicados por la Gerencia o Directores

  • Poseen y gestionan sus riesgos (responsabilidad primaria)
  • Gestión Operativa: Mantenimiento efectivo de controles internos, ejecutan procedimientos de riesgo y control en el día a día.
  • Evalúan, controlan y mitigan los riesgos, orienta el desarrollo e implementa poíticas y procedimientos internos. Asegura que las actividades sean compatibles con las metas y objetivos.
  • Medidas de Control Interno: implementa acciones correctivas y de mejora, para abordar el proceso y para cumplir políticas internas y regulaciones.

El problema que encuentro es que en la primera línea de defensa a pesar que existen políticas y procedimientos, y talvez reportes de monitoreo, las instrucciones no se cumplen debido a la falta de liderazgo por parte de las gerencias, sub gerencias y jefaturas, lográndose vulnerar los controles internos y satisfaciendo al ladrón.

Debemos tomar en cuenta que esta personas con pocos escrúpulos ahora tienen conocimiento de tecnología, procesos y saben donde encontrar los "gaps" o huecos en cada una de las actividades que se realizan en el proceso.

Es por ello que la primera línea de defensa necesita capacitar más a su personal y dotarlos de herramientas de análisis de información detectivos y predictivos para adelantarse a posibles eventos.

No es suficientes con la políticas y procedimiento, sino con un control fuerte que haga que el ladrón se sienta temeroso de planear su acto, y es que un buen control puede disuadirlos.


Segunda Línea

Control financiero, Seguridad, Gestión de Riesgos, Calidad, Inspección, Cumplimiento

  • Facilitan y supervisan la implementación de eficaces prácticas de gestión de riesgos y otras de aseguramiento, por parte de la Gerencia Operativa
  • Ayudan a los responsables de riesgos (Gerentes de negocio) a distribuir la información adecuada sobre riesgos hacia arriba y hacia abajo en las empresas.

Observo y compruebo que por ejemplo las áreas de riesgos están lejos de conocer los riesgos operativos, mas se concentran en los de negocio y de alto nivel, que no aporta a las áreas que necesitan un "feed back" frecuente, oportuno, que capacite a los empleados, jefaturas, sub gerencia y gerencias, incluso directores. Encontramos que fueron creados porque la ley pide que existan pero que no son lo suficientemente fuertes para colaborar en la organización y minimizar los riesgos en cada una de las áreas principales de la empresa.


Tercera Línea 

3. Auditoría Interna

  • A través de un enfoque  basado en el riesgo, proporciona a la Alta Gerencia: Aseguramiento razonable sobre la eficacia de gobierno, gestión de riesgo y control interno (incluidas la primera y segunda línea de defensa), y propone correcciones y mejoras al sistema de control interno.

Una línea muy importante, pero que siempre llegará tarde si las dos anteriores no hicieron su trabajo.

Pero también es la línea que aunque con pocos recursos intenta mostrar que existen problemas y que deben ser solucionados rápidamente antes que se concreten actos dolosos.

Tiene un reto importante porque ahora cuentan con herramientas de análisis de información con las que puede trabajar y talvez predecir problemas futuros. Estas herramientas pueden transformar los datos en información que bien interpretada podría minimizar el riesgo de cualquier evento identificado. 

Es necesario que los dueños de procesos, sub gerentes, gerentes y directores les den el rol protagónico porque es posible que se privilegie el giro del negocio y se relajen los controles.

Comentarios

No hay ningún comentario

Añadir un Comentario: