• Flavio San Martín

La verdadera integración de las 3 líneas de defensa

Sin entrar en detalles sobre las 3 líneas de defensa pero si conceptualmente en su definición, es muy común que existan en una Organización, pero que estén muy aisladas entre sí, teniendo un efecto mas reactivo que preventivo como realmente debería ser.



En el mundo ideal, la tercera línea “no debería encontrar hallazgos’ sobre el incumplimiento de la aplicación de controles y/o su efectividad, sin embargo lo que usualmente se encuentra es lo siguiente:

  1. Los procesos y controles a ser auditados no están establecidos y auditoría parte de una base empírica de control o se involucra en el diseño y documentación fuera de su rol natural y cayendo en posibles conflictos de interés

  2. La información de procesos y controles existe pero no está difundida o debidamente actualizada. Es un repositorio voluminoso difícil de “consumir” o “explotar” y no está claro que es lo que debe conocer cada colaborador por su puesto y rol en el Modelo de Gobierno

  3. La difusión de la información sobre los procesos, riesgos y controles no es oportuna. La información puede existir y hasta ser actualizada pero en forma de islas y dicha información no llega de forma oportuna a la primera línea de defesa que es donde se ejecutan los procesos y se aplican los controles

  4. No existen KPI’s o KRI’s que ayuden a medir de forma continua la perfomance de los procesos y el cumplimiento de los controles y si lo hay muchas veces no está asociada a la evaluación del desempeño de los colaboradores o no son medidos porque no se cuenta con los datos o las herramientas adecuadas para ponerlas en práctica.


En resumen, usualmente existe una desintegración importante de la información. Los colaboradores de la primera línea no tienen información o información en línea de los riesgos y controles que son importantes para su gestión y menos de forma diferenciada para facilitar su conocimiento y aplicación práctica, la segunda línea actualiza su información periódicamente a fin de cumplir con alguna metodología o normativa pero no logra comunicarse de forma efectiva y oportuna con la primera línea. Finalmente, la tercera línea “audita” sobre la base de su conocimiento sin necesariamente basarse en los procesos, riesgos, controles, políticas y documentos establecidos en la Organización porque pueden no existir, estar incompletos o no actualizados y simplemente son parcial o totalmente desconocidos.

Orquestar la información y comunicación entre las tres líneas de defensa es clave para tener una operación eficiente, controlada y ágil. Lograr esto muchas veces genera una gran carga operativa y un esfuerzo muy grande de coordinación entre las partes, más aún cuando no se cuenta con las herramientas adecuadas y cada “parte” trabaja en función a sus objetivos y con su propia información.

Hoy gracias a la tecnología y las herramientas adecuadas como Goldenbelt, el alineamiento, información, comunicación y gestión de los procesos, riesgos, controles y auditoria está totalmente integrada, donde cada uno ejecuta su función desde su área de responsabilidad pero todos comparten la misma información vista y gestionada desde la perspectiva que le compete y sobre todo cada colaborador de la Organización cuenta con información en línea para cumplir sus funciones y su rol en la gestión integral de procesos en la empresa.


Y en tu organización, están debidamente integradas las tres líneas de defensa?

29 vistas0 comentarios

Entradas Recientes

Ver todo