Autor: Albert Salvador Lafuente
La gestión eficaz del riesgo en una organización requiere una clara estructura de responsabilidades y controles. Un enfoque ampliamente reconocido es el modelo de líneas de defensa, que tradicionalmente consta de tres capas o “líneas” encargadas de gestionar y supervisar los riesgos . Cada línea tiene un propósito definido: desde la gestión directa de los riesgos en las operaciones diarias, hasta las funciones independientes de auditoría que aseguran la eficacia del control interno. En los últimos años, sin embargo, ha cobrado fuerza la idea de ampliar este esquema a un modelo de cuatro líneas de defensa, incorporando de forma explícita la función de cumplimiento normativo (Compliance) como una línea separada. Con la aparición del rol de Compliance Officer, el antiguo modelo de 3 líneas debe evolucionar a uno de 4 líneas, fortaleciendo así el sistema de control interno . Esta teoría ya fue lanzada en el año 2019 en mi articulo sobre: ¿Cómo afecta la aparición del Compliance Officer al modelo de 3 líneas de defensa?.
A continuación, se explican las funciones y objetivos de cada una de las cuatro líneas de defensa, destacando por qué el Compliance Officer debe situarse en la tercera línea, seguido de un ejemplo práctico de su implementación en una organización genérica.
Primera línea de defensa: Gestión operativa y propietarios del riesgo
La primera línea de defensa está formada por la gestión operativa, es decir, los gerentes y personal de las unidades de negocio que poseen y gestionan directamente los riesgos en las actividades diarias. Son los propietarios del riesgo: identifican los riesgos en sus procesos, ejecutan los controles diarios y se aseguran de que las operaciones se desarrollen conforme a las políticas y procedimientos establecidos. En otras palabras, la primera línea asume la responsabilidad de mantener los controles internos en su área y de cumplir con los requisitos regulatorios externos (leyes, normativas) y las políticas internas aplicables a sus operaciones. Por ejemplo, un jefe de área debe garantizar que su equipo siga las normas de seguridad, calidad y conducta ética en el trabajo. Esta línea es la base del modelo: si la gestión operativa falla en controlar un riesgo, las demás líneas tendrán que detectar y corregir esa deficiencia.
Segunda línea de defensa: Supervisión de riesgos y control interno
La segunda línea de defensa la constituyen las funciones de control y supervisión internas que respaldan y monitorizan a la primera línea. Estas funciones desarrollan la estrategia de gestión de riesgos de la organización, establecen políticas, procedimientos y límites, y dan seguimiento al cumplimiento de los controles. Típicamente, en este nivel se encuentran departamentos como Gestión de Riesgos, Control Interno, Contraloría o Gestión Financiera, y en el modelo tradicional también la función de Cumplimiento . Su rol principal es proporcionar supervisión y asesoramiento: por un lado, asisten a la primera línea en la identificación y mitigación de riesgos; por otro, vigilan de forma independiente que la primera línea esté gestionando esos riesgos adecuadamente. La segunda línea puede, por ejemplo, diseñar indicadores de riesgo clave, verificar el cumplimiento de controles financieros o alertar sobre desviaciones en procesos. Incluso puede desafiar la eficacia de las medidas de la primera línea, solicitando mejoras cuando sea necesario. En resumen, la segunda línea crea un marco de control interno sólido y ayuda a garantizar que la organización actúe dentro del apetito de riesgo definido.
Es importante señalar que, en el modelo tradicional de tres líneas, la función de Cumplimiento Normativo se consideraba parte de esta segunda línea junto con la gestión de riesgos . El departamento de compliance, en ese esquema, supervisa que las unidades de negocio cumplan con las leyes y regulaciones, apoyando y asesorando a la primera línea en sus obligaciones de cumplimiento. No obstante, la creciente relevancia y especialización de la función de cumplimiento ha llevado a replantear su posición dentro del modelo. Muchos profesionales argumentan que el Cumplimiento debe tener mayor independencia y visibilidad, constituyendo su propia línea de defensa separada. Esto da pie al modelo de cuatro líneas, donde la función de Compliance se ubica en la tercera línea de defensa, elevando su autonomía dentro de la organización
Tercera línea de defensa: Función de Cumplimiento (Compliance Officer)
En el modelo de cuatro líneas de defensa, la tercera línea está ocupada por la función de Cumplimiento Normativo, liderada típicamente por el Compliance Officer. Separar el compliance de la segunda línea y elevarlo a una tercera línea tiene un propósito claro: reforzar su independencia y autoridad dentro del sistema de control interno. El Compliance Officer es responsable de velar porque toda la organización cumpla con las leyes, regulaciones externas, estándares éticos y políticas internas aplicables. A diferencia de las funciones de la segunda línea (que forman parte de la estructura de gestión), la función de cumplimiento se considera un control de nivel superior, con mayor autonomía para revisar y monitorear las actuaciones de la primera y segunda línea. De hecho, expertos en la materia sostienen que la incorporación formal del Compliance Officer como tercera línea “desplaza a Auditoría Interna” al cuarto nivel, clarificando el lugar que debe ocupar la función de cumplimiento en la empresa. Esto significa que el Compliance Officer actúa como un ente de control independiente de 3er nivel, que se añade a las salvaguardas tradicionales y reporta a la alta dirección por separado de la línea gerencial.
¿Por qué ubicar el Compliance en la tercera línea? Principalmente, porque la naturaleza de su trabajo requiere objetividad e independencia respecto de la gestión diaria. El Compliance Officer debe tener la autoridad para supervisar e incluso cuestionar decisiones y prácticas internas que pudieran implicar incumplimientos normativos, sin conflictos de interés. Según el Comité de Supervisión Bancaria de Basilea, la independencia es un principio fundamental de la función de cumplimiento, lo que implica, entre otras cosas, un estatus formal adecuado, ausencia de responsabilidades comerciales y acceso directo a los órganos de gobierno de la entidad. Colocar al Compliance Officer en la tercera línea ayuda a garantizar estos criterios: esta función suele reportar funcionalmente al consejo de administración o a un comité de cumplimiento dedicado, en lugar de depender únicamente de la gerencia ejecutiva. De hecho, la incorporación de esta nueva línea de defensa ha dado lugar a la creación de comités específicos de cumplimiento que, junto con el comité de auditoría, informan directamente al máximo órgano de gobierno de la organización. De este modo se asegura que las alertas o informes de cumplimiento lleguen con la debida importancia e independencia a la alta dirección, al igual que sucede con los informes de auditoría interna.
En cuanto a sus funciones concretas, la tercera línea (Compliance) actúa como guardiana normativa de la organización. Algunas de las responsabilidades típicas del Compliance Officer incluyen:
- Identificación de obligaciones: mantener un inventario actualizado de las obligaciones externas e internas que afectan al negocio, tanto de Hard Law (leyes y regulaciones de cumplimiento obligatorio) como de Soft Law (códigos de conducta, estándares voluntarios y buenas prácticas que la empresa adopta). Esto asegura que la empresa conozca qué debe cumplir y qué ha decidido cumplir voluntariamente, evitando pasivos por desconocimiento.
- Integración en procesos y asesoramiento: comprender a fondo los procesos operativos de la empresa para integrar los requerimientos normativos en dichos procesos. El Compliance Officer brinda capacitación continua a los empleados sobre las políticas de cumplimiento y actúa como punto de consulta para resolver dudas éticas o sobre interpretación de normas en el trabajo diario).
- Monitoreo y control de incumplimientos: implantar mecanismos para detectar e informar incumplimientos o riesgos de incumplimiento de forma oportuna. Por ejemplo, administrar un canal de denuncias interno y sistemas de reporte de incidencias, realizar revisiones periódicas con responsables de procesos, y establecer puntos de control donde ciertas decisiones (p. ej., aprobar gastos inusuales o regalos de alto valor) requieran la aprobación del Compliance Officer. Asimismo, supervisa el funcionamiento del sistema preventivo (p. ej., programas anticorrupción o de privacidad) y promueve mejoras para garantizar su eficacia.
- Informes y consejo a la alta dirección: evaluar periódicamente el estado de cumplimiento en la organización y reportar las conclusiones a la alta dirección o consejo, junto con recomendaciones. El Compliance Officer debe informar de cualquier incumplimiento significativo y puede proponer medidas disciplinarias o correctivas. También asesora proactivamente en nuevos proyectos o productos para asegurar que nazcan cumpliendo con la normativa aplicable.
Todas estas tareas subrayan que el Compliance Officer opera independientemente de la gestión diaria, pero en estrecha colaboración con ella. Su presencia en la tercera línea crea una capa adicional de defensa antes de la auditoría interna, focalizada en riesgos legales y reputacionales. En síntesis, la función de cumplimiento en la tercera línea refuerza la cultura ética y de cumplimiento en la empresa, actuando como un enlace entre la gestión de riesgos (segunda línea) y la evaluación independiente (auditoría interna).
Cuarta línea de defensa: Auditoría Interna
La cuarta línea de defensa corresponde a la Función de Auditoría Interna, que en el modelo tradicional ocupaba la tercera línea. Auditoría Interna es la última línea dentro de la organización y proporciona una garantía independiente de que todo el sistema de control interno y gestión de riesgos (es decir, las tres primeras líneas) funciona de manera eficaz. Al moverla al cuarto nivel en el modelo ampliado, no se disminuye su importancia; por el contrario, se deja claro que actúa independientemente de las otras líneas operativas y de control, con plena autonomía para evaluar a las demás. Esta función típicamente reporta al consejo de administración a través del comité de auditoría, manteniendo objetividad y neutralidad.
El papel de Auditoría Interna es realizar evaluaciones exhaustivas y periódicas de los procesos de la organización, abarcando tanto a la primera línea (operaciones), como a las funciones de la segunda línea (riesgos, control interno) y ahora también a la función de cumplimiento como tercera línea. Su misión es verificar que los riesgos estén correctamente identificados y gestionados, que los controles sean adecuados y estén implementados, y que las funciones de supervisión (2ª línea) y cumplimiento (3ª línea) estén cumpliendo efectivamente con sus responsabilidades. En esencia, actúa como un evaluador independiente que identifica brechas o debilidades en el sistema de control y recomienda mejoras para proteger a la organización.
Dado que tanto el Compliance Officer (3ª línea) como Auditoría Interna (4ª línea) tienen roles de control independientes, es fundamental que haya coordinación y comunicación entre ellos. Por ejemplo, Auditoría Interna puede incluir en sus planes auditorías al programa de compliance, y compartir con el Compliance Officer hallazgos relevantes sobre incumplimientos o controles deficientes. A su vez, el Compliance Officer puede informar a Auditoría Interna sobre áreas de riesgo normativo que deberían ser auditadas. Esta retroalimentación mutua fortalece el sistema de defensa global, evitando duplicidades y garantizando que no queden “zonas ciegas” sin supervisión. Eso sí, dicha colaboración debe darse preservando la independencia de cada uno: Auditoría Interna no interviene en la gestión de cumplimiento diaria, ni el Compliance Officer en las auditorías, pero ambas funciones se complementan para ofrecer una cobertura integral de aseguramiento.
Cabe mencionar que, fuera de estas cuatro líneas internas, existen órganos externos de supervisión (a veces llamados informalmente una quinta línea de defensa en algunas literaturas). Entre ellos están los auditores externos, los entes reguladores o incluso órganos de gobierno corporativo como el directorio o el comité de auditoría en su rol de supervisión. Estas instancias externas revisan de forma independiente a la organización, aportando una última capa de confianza. Sin embargo, en el modelo de cuatro líneas descrito nos hemos centrado en las defensas internas de la empresa, donde cada línea tiene una función específica en la gestión del riesgo organizacional.
Ejemplo ilustrativo de implementación del modelo
Para entender cómo funciona este modelo en la práctica, imaginemos una organización genérica (por ejemplo, una empresa industrial mediana) que adopta el modelo de cuatro líneas de defensa:
- Primera línea – Equipo de Operaciones y Negocio: Los jefes de departamento (producción, ventas, logística, etc.) son responsables directos de los riesgos en sus áreas. Por ejemplo, el gerente de producción asegura el mantenimiento de las máquinas y la formación en seguridad de sus operarios para prevenir accidentes (riesgo operativo). En ventas, la jefa comercial verifica que su equipo cumpla las políticas de precios y ética en la relación con clientes, gestionando el riesgo de prácticas inapropiadas. Cada área identifica y controla sus riesgos cotidianos, y cuando surge un problema (p. ej., un defecto de calidad o una queja importante de un cliente), lo ataja siguiendo los procedimientos internos. Este es el primer escudo de la organización frente al riesgo.
- Segunda línea – Función de Riesgos y Control: La empresa cuenta con un Departamento de Gestión de Riesgos y Control Interno que apoya a todas las áreas. Siguiendo el ejemplo, este departamento establece un mapa de riesgos corporativo que incluye riesgos operativos, financieros, legales, etc., y define políticas para manejarlos. El equipo de riesgos monitorea indicadores (por ejemplo, tasa de accidentes en planta, morosidad de clientes, cumplimiento de presupuesto) y reporta periódicamente a la dirección cualquier desviación significativa. Si el gerente de producción de la primera línea pasa por alto un mantenimiento crítico, la segunda línea podría detectarlo mediante un indicador de aumento de incidencias y emitir una alerta. Del mismo modo, si en ventas se ofrece un descuento fuera de las políticas, el área de control interno lo identifica en una revisión. Este departamento también actualiza las políticas internas (como el manual de calidad o el código ético) y capacita a los mandos medios en su aplicación. En resumen, la segunda línea actúa como árbitro y asesor, garantizando que las reglas del juego del control interno se entiendan y apliquen correctamente en toda la organización.
- Tercera línea – Compliance Officer (Cumplimiento): La empresa ha designado a un Compliance Officer que lidera la función de cumplimiento normativo de forma independiente. Supongamos que, dada la naturaleza industrial, la compañía está sujeta a regulaciones medioambientales, de seguridad laboral y quizás a normas anticorrupción si opera con contratistas públicos. El Compliance Officer identifica todas estas obligaciones legales y se asegura de que haya procedimientos para cumplirlas (por ejemplo, verifica que la fábrica tenga sus permisos ambientales en regla y que se realicen las inspecciones de seguridad obligatorias). Además, imparte formación en ética y cumplimiento a todos los empleados, explicando el código de conducta de la empresa y cómo reportar cualquier irregularidad. La organización cuenta con un canal confidencial de denuncias donde un trabajador puede informar, por ejemplo, de un posible fraude o de prácticas contrarias a la ley. El Compliance Officer gestiona ese canal: cuando recibe una denuncia de posible soborno en el departamento de compras, inicia una investigación interna y recomienda medidas disciplinarias si corresponde. También asesora a otras áreas; por ejemplo, si el departamento de ventas tiene dudas sobre si cierto regalo a un cliente es apropiado, consulta con Compliance antes de actuar. Periódicamente, el Compliance Officer informa al Comité de Cumplimiento (y a la dirección) sobre el estado del programa de cumplimiento: cuántas incidencias se han detectado, si se requieren nuevas políticas o entrenamientos, etc. En este ejemplo, la tercera línea proporciona una capa especializada de control que vela por la integridad y el cumplimiento legal, evitando sanciones y protegiendo la reputación de la empresa.
- Cuarta línea – Auditoría Interna: Finalmente, la empresa cuenta con un Departamento de Auditoría Interna que reporta al Comité de Auditoría del consejo. Sus auditores, que son independientes de las operaciones diarias, revisan periódicamente todas las funciones anteriores. Siguiendo el caso, Auditoría Interna realiza una auditoría anual de seguridad en la planta de producción para verificar que los controles de la primera línea (mantenimiento, formación, equipos de protección) estén funcionando y que las inspecciones de la segunda línea y las verificaciones de Compliance se hayan llevado a cabo correctamente. Del mismo modo, audita el proceso de ventas para asegurarse de que se cumplen las políticas comerciales y que no haya prácticas fraudulentas, evaluando tanto el control de la gerencia (1ª línea) como la efectividad de las supervisiones de riesgos y de cumplimiento (2ª y 3ª línea). Si encuentra deficiencias, las documenta en un informe con recomendaciones. Por ejemplo, podría descubrir que, pese a las capacitaciones, un área no está registrando correctamente ciertos datos requeridos por ley; esto se reporta como hallazgo para que el Compliance Officer y la gerencia tomen acciones correctivas. Auditoría Interna también evalúa a la propia función de cumplimiento (3ª línea) para asegurar su independencia y suficiencia: podría revisar si el canal de denuncias está funcionando o si el Compliance Officer tiene acceso a los recursos necesarios. Todas sus conclusiones se presentan al comité de auditoría, que a su vez informa al consejo de administración. De esta forma, la cuarta línea provee una garantía global e independiente de que el sistema de controles (primera, segunda y tercera línea) es confiable y de que la organización está gestionando sus riesgos adecuadamente.
En síntesis, este ejemplo muestra cómo las cuatro líneas de defensa operan de manera complementaria en una estructura de control integral. La primera línea enfrenta el riesgo directamente en el día a día, la segunda línea establece el marco y corrige el rumbo, la tercera línea (Compliance) aporta una visión especializada e independiente en materia normativa, y la cuarta línea (Auditoría Interna) valida de forma objetiva que todo lo anterior funcione. Al situar al Compliance Officer en la tercera línea, la organización refuerza su cultura de cumplimiento y ética, asegurando que este tenga la capacidad de actuar con autonomía y eficacia. Este modelo de cuatro líneas de defensa proporciona así múltiples capas de protección frente a los riesgos organizacionales, incrementando la probabilidad de detectar problemas a tiempo y salvaguardando la integridad y la sostenibilidad de la empresa.
Fraude Interno 
He leído la propuesta y creo es el regreso al pasado, el famoso «control Previo» que en el sigo pasado un grupo de servidores que al final fueron parte de las operaciones y una de las causas de los problemas, hasta ahora la corrupción se gesta en el proceso de revisiones que pasan operaciones equivocadas, miran a otro lado y es poco el beneficio comparado con el costo de su funcionamiento. Las aduanas es un ejemplo y una lástima los resultados en el sector púbico, casi siempre tentado por los privados que evitan a toda costa el pago de aranceles y más.
El modelo desarrollado por la Fundación COSO es práctico, sencillo y nada burocrática en todos los sectores. La máxima autoridad y sus funcionarios son responsables de las operaciones, incluido el Gerente Financiero donde se identifican los principales problemas niveles de ventas, costos relacionados y resultados oportunos y para acciones correctivas. Allí esta el control normativo, no debe ser posterior. La función del auditor interno debe ser oportuna, no cuando se termina el período, debe ser en cuando haya resultados de operaciones si es posible mensuales en los puntos críticos y al final depende del Consejo Directivo para proteger su independencia. el tercer nivel es el control externo puede ser auditoría independiente cada año, pero oportuna. Los organismos de control del Estado vigilan muy tarde las operaciones de los privados y de los públicos es el problema y las acciones correctivas inmediatas.
La relación costo beneficio sin duda es débil con tantas líneas y resultados pobres.
Me gustaMe gusta
Muchas gracias por tus comentarios. Sin duda cada organización deberá establecer su modelo de control interno en función de varios factores: Tamaño, Sector, Obligaciones legales, «Sensibilidad» de la propiedad, etc…
Me gustaMe gusta
Excelente aporte Alberto. Por la experiencia de tantos años en estas lides, agrego que muchas de estas líneas de defensa no funcionan como deberian habida cuenta de los actos de corrupcion tan descarados que se cometen en forma diaria. Estas lineas de defensa correctamente explicadas por Alberto, deben funcionar acompañadas en forma simultanea por personal suficiente, preparado, honesto y con amor a su pais, algo muy alejado de la realidad actual y lo que es peor de la realidad futura. Todos los buenos aportes de Alberto, el que escribe y muchos profesionales mas deberian ser canalizados y acompañados por otras lineas de defensa como el Poder Ejecutivo, el Poder Legislativo, la Fiscalia y el Poder Judicial, caso contrario llegaremos al 2026 y otros años mas con los mismos comentarios. La normatividad actual para combatir la corrupcion es amplia, diversa y eficiente, solo falta EJECUTARLA. Lo mas dificil
Me gustaMe gusta
Muchas gracias por tu comentario
Me gustaMe gusta