¿Cuál es la estructura del MECI?

Para la puesta en marcha del MECI se contemplan dos elementos estructurales fundamentales:

El primero, un esquema de responsabilidades integrada por cuatro líneas de defensa, el cual se configura a partir de la adaptación del esquema de “Líneas de Defensa”, que “proporciona una manera simple y efectiva para mejorar las comunicaciones en la gestión de riesgos y control mediante la aclaración de las funciones y deberes esenciales relacionados. Este modelo proporciona una mirada nueva a las operaciones, ayudando a asegurar el éxito continuo de las iniciativas de gestión del riesgo, y este modelo es apropiado para cualquier entidad – independientemente de su tamaño o complejidad” (IIA 2013:2). Las responsabilidades de la gestión de riesgos y del control están distribuidas en varias áreas y no se concentran en las oficinas de control interno; de allí que deban ser coordinadas cuidadosamente para asegurar que los controles operen:

  • Línea estratégica de defensa: está conformada por la alta dirección y el comité institucional de coordinación de control interno. La responsabilidad de esta línea se centra en la emisión, revisión, validación y supervisión del cumplimiento de políticas en materia de control interno, gestión del riesgo, seguimientos a la gestión y auditoría interna para toda la entidad.
  • Primera línea de defensa: esta línea de defensa esta conformada por los servidores en sus diferentes niveles, quienes aplican las medidas de control interno en las operaciones del día a día de la entidad. Esta línea se encarga del mantenimiento efectivo de controles internos, por consiguiente, identifica, evalúa, controla y mitiga los riesgos. 
  • Segunda línea de defensa: conformada por servidores que ocupan cargos responsables de la supervisión de temas transversales para la entidad y rinden cuentas ante la alta dirección, tales como jefes de planeación, coordinadores de equipos de trabajo, coordinadores de sistemas de gestión, gerentes de riesgos (donde existan), líderes o coordinadores de contratación, financiera y de TIC.
  • Tercera línea de defensa: esta línea de defensa está conformada por las oficinas de control interno, las cuales evalúan de manera independiente y objetiva los controles de 2ª línea de defensa para asegurar su efectividad y cobertura; así mismo, evalúa los controles de 1ª línea de defensa que no se encuentren cubiertos -y los que inadecuadamente son cubiertos por la 2ª línea de defensa.

 

El segundo, un esquema de control integrado por cinco componentes (COSO/INTOSAI):

  • Ambiente de Control: este componente busca asegurar un ambiente de control que le permita a la entidad disponer de las condiciones mínimas para el ejercicio del control interno. Requiere del compromiso, el liderazgo y los lineamientos de la alta dirección y del Comité Institucional de Coordinación de Control Interno.
  • Evaluación del riesgo: su propósito es identificar, evaluar y gestionar eventos potenciales, tanto internos como externos, que puedan afectar el logro de los objetivos institucionales.
  • Actividades de control: su propósito es permitir el control de los riesgos identificados y como mecanismo para apalancar el logro de los objetivos y forma parte integral de los procesos.
  • Información y comunicación: tiene como propósito utilizar la información de manera adecuada y comunicarla por los medios y en los tiempos oportunos. Para su desarrollo se deben diseñar políticas, directrices y mecanismos de consecución, captura, procesamiento y generación de datos dentro y en el entorno de cada entidad, que satisfagan la necesidad de divulgar los resultados, de mostrar mejoras en la gestión administrativa y procurar que la información y la comunicación de la entidad y de cada proceso sea adecuada a las necesidades específicas de los grupos de valor y grupos de interés.
  • Actividades de monitoreo: su propósito es desarrollar las actividades de supervisión continua (controles permanentes) en el día a día de las actividades, así como evaluaciones periódicas (autoevaluación, auditorías) que permiten valorar: (i) la efectividad del control interno de la entidad pública; (ii) la eficiencia, eficacia y efectividad de los procesos; (iii) el nivel de ejecución de los planes, programas y proyectos; (iv) los resultados de la gestión, con el propósito de detectar desviaciones, establecer tendencias, y generar recomendaciones para orientar las acciones de mejoramiento de la entidad pública.