Gestión organizacional: Modelo de las tres líneas

Es necesario destacar el significado que se le da en el nuevo esquema a la auditoría interna, no sólo definiendo sus funciones, sino colocando a la independencia como una piedra angular.

El Modelo de las tres líneas de defensa distingue los tres grupos que deben concurrir en una efectiva gestión de riesgos:

• Funciones que son propietarias de los riesgos y los gestionan
• Funciones que supervisan los riesgos
• Funciones que proporcionan aseguramiento independiente

A continuación, se reflejan los elementos cardinales que configuran la estructura del Modelo de las tres líneas de defensa.

En 2013, el IIA a través de una declaración de posición, fijó su postura sobre el Modelo de las tres líneas de defensa, indicando que éste proporcionaba una manera efectiva y sencilla para mejorar las comunicaciones en la gestión de riesgos y el control, esto mediante la aclaración de las funciones y deberes esenciales relacionados. Dicho modelo entró en un proceso de revisión por parte del IIA a partir de 2018, emitiendo una versión actualizada en julio de 2020 denominada Modelo de las tres líneas.

Evolución: Modelo de las tres líneas

El nuevo modelo emplea el término “líneas” de manera distinta al esquema precedente. Se alude a “roles de primera línea”, “roles de segunda línea” y “roles de tercera línea”, y no a la primera, segunda y tercera línea, para destacar y dejar claro que no se trata de la estructura organizacional, sino de funciones y relaciones, su asignación, combinación o separación y sus interrelaciones.

Las Normas Globales de Auditoría Interna subrayan la relevancia de la independencia funcional de la auditoría interna, así como lo relativo a la protección y creación de valor organizacional.

El Modelo de las tres líneas evolucionó de un enfoque con carácter defensivo (como era el anterior) a uno proactivo, el cual busca proporcionar una cobertura adecuada de riesgos y funciones de control a las entidades que lo apliquen. El modelo ahora tiene una orientación proactiva y holística, haciendo énfasis en la protección y creación de valor como una de sus mayores prioridades; sin evitar los riesgos, sino de seleccionar de forma certera la cantidad de riesgo conveniente para proteger y crear el valor organizacional.

Modelo de las tres líneas

Tal como se advierte en el gráfico anterior, a diferencia del Modelo de las tres líneas de defensa, aquí las relaciones entre los actores principales no son unidireccionales, sino bidireccionales, observándose hilos comunicantes a través de conectores:

• Responsabilidad y reporte de informes
• Delegación, dirección, aporte de recursos y supervisión
• Alineamiento, comunicación, coordinación y colaboración

De acuerdo con lo que se presenta, el nuevo enfoque incorpora un mayor grado de agilidad para facilitar su utilización de un modo más dinámico, buscando evitar brechas, solapamientos y malentendidos en los distintos roles definidos; asimismo, propiciando entre los actores participantes (gobierno, alta dirección y auditoría interna) la cooperación, comunicación y compromiso.

Una novedad importante a resaltar es la incorporación del enfoque basado en principios al Modelo de las tres líneas, dichos principios se catalogan de la siguiente manera:

• Gobierno
• Roles del organismo de gobierno
• Dirección y roles de primera y segunda línea
• Roles de tercera línea
• Independencia de tercera línea
• Creación y protección de valor

Respecto a las funciones, en los roles de primera línea se encuentra ubicado el personal responsable directo de la gestión de riesgos, correspondiendo a los roles de segunda línea proporcionar la asistencia en la gestión de riesgos; contemplándose como una muestra de mayor flexibilidad del modelo que, las funciones de primera y segunda línea, puedan ser independientes o combinadas.

Las sociedades empresariales son entidades manejadas por personas en un entorno cada vez más complicado, cambiante e interconectado en el que confluyen diversos actores con variados intereses.

Por su parte, los roles de tercera línea reposan únicamente en la auditoría interna, unidad que tiene como responsabilidad proveer aseguramiento, así como asesoramiento independiente y objetivo en lo concerniente a lo adecuado y eficaz del desempeño del gobierno corporativo y la gestión de riesgos.

Asimismo, este modelo (al igual que el de las tres líneas de defensa) establece que se proporcione aseguramiento adicional a través de proveedores externos, los cuales podrían ser entes como organismos reguladores o auditores externos; esto con el objeto de satisfacer las expectativas legislativas y reglamentarias de las partes interesadas, así como complementar el aseguramiento de las fuentes internas.

Consideraciones

La actualización del modelo no fue un cambio cosmético que sólo afectó su denominación al eliminar la palabra “defensa”, sino que introdujo ajustes importantes en su planteamiento con la finalidad de optimizarlo y brindar una mejor cobertura de riesgos y funciones de control. Quienes cuestionaban el Modelo de las tres líneas de defensa argumentaban que tenía deficiencias, tales como que era muy rígido, costoso, burocrático e inhibía la colaboración; así como que se enfocaba, principalmente, en acciones defensivas; no obstante, el cambio del modelo fue un reto desafiante, pues éste estaba ampliamente arraigado en el ámbito organizacional.

Por regla general, en muchas empresas el personal trabaja en silos (cada uno a lo suyo) y, a este respecto, el Modelo de las tres líneas, basándose en principios, estimula a que se desarrolle un ecosistema organizacional en su totalidad a través del énfasis que se hace de la colaboración y la coordinación, esto mediante el establecimiento de relaciones entre los roles principales de todos los actores participantes. El nuevo modelo buscó articular, de manera sencilla, las funciones clave de un gobierno corporativo eficaz; lo anterior, sin que el esquema estructurado fuese complejo, ya que, la simplicidad fue uno de los atractivos principales del modelo previo.

Las organizaciones requieren estructuras y procesos eficaces que ayuden a conseguir los objetivos que se establecen y persiguen.

Conclusiones

Resulta necesario destacar la relevante significación que se le da en el nuevo esquema a la auditoría interna, no sólo definiendo sus funciones en el Principio 4, Roles de la tercera línea, sino al colocar a la independencia del área de auditoría interna como una piedra angular del Modelo de las tres líneas, lo que queda preceptuado en el Principio 5, Independencia de la tercera línea.

De igual forma, hay que indicar que las Normas Globales de Auditoría Interna emitidas por el IIA, publicadas en enero de 2024 y que entrarán en vigor en 2025, están en plena concordancia con el Modelo de las tres líneas, pues en éstas se subraya la relevancia de la independencia funcional de la auditoría interna, así como lo relativo a la protección y creación de valor organizacional a través del aseguramiento y el asesoramiento.

---

Referencias

• Instituto de Auditores Internos de España, s.f., Presentación del nuevo Modelo de las Tres Líneas, 2024, de Instituto de Auditores Internos de España: https://auditoresinternos.es/presentacion-del-modelo-de-las-tres-lineas-de-defensa/
• Robert Pérez, 2020, 10 Preguntas sobre el nuevo Modelo de las tres líneas, 2024, de Scribd: https://es.scribd.com/document/507399421/10-PREGUNTAS-SOBRE-EL-MODELO-DE-LAS-TRES-LINEAS
• The Institute of Internal Auditors, 2013), Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgos y Control, 2024, de IIA: https://www.funcionpublica.gov.co/eva/admon/files/empresas/ZW1wcmVzYV83Ng==/imagenes/93/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control%20Spanish.pdf
• The Institute of Internal Auditors, 2020, El Modelo de las tres líneas del IIA 2020. Una actualización de las tres líneas de defensa, 2024, de IIA: https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-spanish.pdf