Este mes fue un gusto compartir con Giny Monzón de República Dominicana en un live donde conversamos sobre la importancia de las Tres Líneas de Defensa en la gestión de riesgos. La sesión nos permitió resaltar puntos clave que ayudan a fortalecer la gobernanza, la cultura de control y la confianza en las organizaciones. A continuación, te compartimos lo más relevante de esta conversación.
Las Tres Líneas de Defensa: una mirada integral
La gestión de riesgos es responsabilidad de toda la organización, pero se articula mejor cuando se estructura bajo el modelo de las Tres Líneas de Defensa:
🛡️ Primera Línea: la gestión operativa
Por lo general está conformada por las áreas de negocio y operativas, responsables de identificar, medir y gestionar los riesgos en el día a día. Son la primera barrera de protección porque aplican los controles directamente en los procesos.
👁️ Segunda Línea: la supervisión del riesgo y el cumplimiento
Aquí encontramos a las áreas de riesgos y cumplimiento, que establecen las políticas, metodologías y límites. Su rol es vigilar, asesorar y apoyar a la primera línea para que los riesgos se mantengan dentro del apetito definido por la organización.
🔎 Tercera Línea: la auditoría interna
Es la línea que asegura la efectividad de las dos anteriores, realizando evaluaciones independientes. Su función es verificar que la gestión de riesgos y controles esté alineada a las mejores prácticas y regulaciones, informando directamente a la alta dirección y al consejo.
📚 Lecciones destacadas en el live
Durante el intercambio con Giny Monzón, abordamos varios puntos que son esenciales para comprender y aplicar el modelo de las Tres Líneas de Defensa de manera práctica en las organizaciones. Más allá de la teoría, lo importante es cómo este marco se vive en el día a día, y cómo cada línea aporta valor en la construcción de una cultura de control y gestión de riesgos efectiva.
En primer lugar, resaltamos la claridad en los roles y responsabilidades. Uno de los principales errores en muchas instituciones es creer que todas las áreas deben hacer lo mismo en materia de riesgo. Sin embargo, el modelo es exitoso justamente porque cada línea tiene un papel distinto: la primera gestiona, la segunda supervisa y la tercera evalúa.
Un segundo aspecto que discutimos fue la comunicación y coordinación entre las líneas. Si bien cada línea es independiente en sus funciones, todas comparten un mismo objetivo: proteger a la organización. La primera línea no puede gestionar adecuadamente si no recibe la guía clara de la segunda, y la auditoría de la tercera línea pierde valor si sus observaciones no se retroalimentan en mejoras reales.
Otro tema relevante fue el de la cultura de cumplimiento y control interno. Muchas veces se piensa que los modelos de riesgo se limitan a metodologías, matrices y reportes. Sin embargo, detrás de cada línea de defensa debe existir una mentalidad organizacional que valore la integridad, la transparencia y la ética. Solo así los controles dejan de ser vistos como obstáculos y se transforman en herramientas para crecer de manera sostenible.
También conversamos sobre el rol de la alta dirección. Las tres líneas pueden estar perfectamente definidas, pero si no cuentan con el respaldo del directorio, la gerencia general o el consejo de administración, su aplicación será débil. Es fundamental que el liderazgo impulse el modelo, lo incorpore en la estrategia institucional y lo defienda como parte de la visión de largo plazo. Este compromiso desde arriba es lo que garantiza que las líneas de defensa tengan legitimidad y se mantengan vigentes con el tiempo.
Finalmente, compartimos la idea de que las Tres Líneas de Defensa no deben ser un esquema rígido, sino un marco flexible que cada organización adapta a su realidad. Una cooperativa de ahorro y crédito, un banco, una fintech o incluso una empresa de otro sector pueden aplicar el modelo, pero lo harán con matices diferentes. Lo importante es que exista coherencia entre los procesos internos, los riesgos más relevantes y las exigencias regulatorias del entorno.