Contabilidad y Auditoría

ISSN 1515-2340 (Impreso) ISSN 1852-446X (En Línea) ISSN 1851-9202 (Vía Mail)

Nº 58 – año 29

 

PRINCIPALES DESAFÍOS EN LA IMPLEMENTACIÓN DEL MODELO DE LAS TRES LÍNEAS DE DEFENSA EN LAS EMPRESAS

 

MAIN CHALLENGES IN THE IMPLEMENTATION OF THE MODEL OF THE THREE LINES OF DEFENSE IN COMPANIES

 

 

 

Mag. Ingrid Jacqueline Palma Yáñez (ipalma@ucm.cl)

·    Magíster en Dirección y Gestión Tributaria Universidad Adolfo Ibáñez, Chile.

·    Contador Auditor y Licenciada en Auditoría (UCM, Chile).

·    Directora Escuela Administración y Auditoría (UCM, Chile).

 

Lic. Francisca Ignacia Robles Donoso

·    Contador Auditor y Licenciada en Auditoría (UCM, Chile).

 

Lic. Karen Ivette Valenzuela Fuentes

·    Contador Auditor y Licenciada en Auditoría (UCM, Chile).

 

Lic. Yasna Ayala Avilés

·    Contador Auditor y Licenciada en Auditoría (UCM, Chile).

 

 

 

Universidad Católica del Maule (UCM)

                                 

Presentado: 19/12/2022 | Aprobado: 23/06/2023 Publicado: Agosto del 2023


 

 

1.     Introducción

2.     Herramientas de gestión

3.     El modelo de la Tres Líneas de Defensa

4.     Fortalezas y oportunidades que brinda el modelo de las Tres Líneas de Defensa

5.     Metodología

6.     Conclusión

7.     Bibliografía

 


Resumen

El riesgo es un elemento inherente a las actividades de las empresas, estas buscan gestionarlo de forma adecuada mediante la utilización de diferentes modelos. Uno de estos es el modelo de las Tres Líneas de Defensa. La investigación tiene como finalidad identificar los principales desafíos a nivel de gestión que conlleva implementar el modelo de las Tres Líneas de Defensa. El estudio se basa en la revisión de fuentes secundarias con inclusión artículos científicos. Los resultados muestran que para un óptimo funcionamiento del modelo se requiere que las organizaciones puedan identificar sus riesgos y posean una estructura definida que facilite su implementación.

 

Palabras clave:

Control de gestión, riesgos, control interno, auditoría interna.

 

 

Abstract

Risk is an element inherent to the activities of companies, they seek to manage it properly through the use of different models. One of these is the Three Lines of Defense model. The purpose of the research is to identify the main management challenges involved in implementing the Three Lines of Defense model. The study is based on the review of secondary sources including scientific articles. The results show that for the model to function optimally, organizations are required to be able to identify their risks and have a defined structure that facilitates their implementation.

 

Keywords:

Management control, risks, internal control, internal audit.

 

 

 

1.     Introducción

El riesgo es un elemento inherente a la actividad de las empresas por lo cual es fundamental su adecuada identificación y evaluación.  Tal como lo señalan Rodríguez, Piñeiro y de Llano (2013), las diferentes manifestaciones del riesgo están presentes en cualquier tipo de actividad y como en la mayor parte de los casos no se puede eliminar completamente, se hace imprescindible gestionarlo adecuadamente.

Un método que resulta efectivo para la gestión del riesgo en las empresas es la correcta definición de roles, la comunicación oportuna y fluida entre el gobierno corporativo y la alta dirección de la entidad.  Un modelo que se ajusta a esto es el Modelo de las Tres Líneas de Defensa del Instituto de Auditores Internos (IIA), el que según esta organización “ayuda a las organizaciones a identificar estructuras y procesos que mejor ayuden a alcanzar los objetivos y faciliten un gobierno sólido y una gestión de riesgos”. (Instituto de Auditores Internos [IIA], 2020, pág. 3).

Aun cuando el modelo de las tres líneas de defensa puede ser una herramienta efectiva para la gestión del riesgo, en una encuesta aplicada a 155 profesionales de auditoría, riesgo, legal y cumplimiento publicada por la revista especializada en riesgo y cumplimiento Compliance Week, Jaeger (2020) señala que “si bien la mayoría de los encuestados tienen la intención de adoptar el modelo de la Tres Líneas del Instituto de Auditores Internos, no esperan un cambio significativo, ven su mayor ajuste como el nuevo énfasis del modelo en la coordinación para eludir el pensamiento aislado”. Adicionalmente a ello, surge una incorrecta aplicación del modelo pues en algunos casos se adopta la primera y la segunda línea solamente, y en otros sólo la segunda y la tercera.

Sumado a lo anterior, la implementación del modelo según Bantleon et al. (2020), se convierte en un desafío para las organizaciones, aunque los beneficios parecen ser obvios a primera vista.

El objetivo de este trabajo es identificar los principales desafíos a nivel de gestión que conlleva implementar el modelo de las Tres Líneas de Defensa en las empresas. Para ello se realiza revisión de fuentes secundarias mediante investigación documental que considera revisión de documentos, papers e investigaciones.

 

2.   Herramientas de gestión

En el año 2013 el Instituto de Auditores Internos, (IIA, por su sigla en inglés), adoptó de manera formal el modelo de las tres líneas de defensa en gestión de riesgos y control eficaces.  Si bien este modelo es considerado una buena herramienta para gestionar los riesgos y controles, su aplicación es incompleta o bien no se está familiarizado con él.

La gestión de riesgos puede ser definida como:

La acción y el efecto de gestionar y administrar. De una forma más específica una gestión es una diligencia, entendida como un trámite necesario para conseguir algo o resolver un asunto, habitualmente de carácter administrativo o que conlleva documentación, otra referencia; es también un conjunto de acciones u operaciones relacionadas con la administración y dirección de una organización. (Lourdes et al., 2016, pág. 3).

Para una adecuada gestión del riesgo existen una gran variedad de modelos de control que ayudan a las organizaciones a identificar, inspeccionar, comprobar y fiscalizar los controles que serán implementados por la organización, estos son COSO (Commite of Sponsoring of the tredway commisiión), COCO (Criteria of Control), COBIT (Control Objectives for Information and Related Technology) y Modelo de las Tres Líneas de Defensa.

Según Quinaluisa et al. (2018) “los modelos COSO y COCO son los más adaptados en las empresas del continente americano”.  Los mismos autores indican que COSO cuenta con cinco categorías (ambiente de control, evaluación de los riesgos, actividades de control, información y comunicación, y monitoreo), las que son diseñadas por la administración y aplicadas para proporcionar seguridad razonable de que los objetivos de control se llevarán a cabo adecuadamente.

En cuanto al modelo COCO Rivas (2011 como se citó en Elizalde, 2018) señala que este modelo “simplifica los conceptos y el lenguaje para hacer posible una discusión sobre el alcance total del control, con la misma facilidad en cualquier nivel de la organización empleando un lenguaje accesible para todos los empleados”. En tanto el modelo COBIT según Muñoz et al., (2011):

Es el marco aceptado internacionalmente de buenas prácticas para el control de la información TI y los riesgos que conllevan. COBIT se usa para implementar el gobierno de TI y mejorar los controles de TI. De igual manera, contiene objetivos de control, directrices de aseguramiento, mediciones de desempeño y resultados, factores críticos de éxito y modelos de madurez. (pág. 18).

Por su parte en el modelo de las Tres Líneas de Defensa según lo señala IIA (2019):

Su atractivo yace en las explicaciones simples y directas de los distintos roles y actividades que involucran la gestión de riesgos y el control (sin tener en cuenta el gobierno en un sentido más amplio), y su valor está en que ayuda a las organizaciones a evitar la confusión, la duplicación y las brechas al asignar responsabilidades para esos roles y actividades (pág. 4).

En este modelo la primera línea de defensa en la gestión de riesgos es el control de la gerencia, la segunda línea corresponde a las funciones de supervisión de riesgos, controles y cumplimiento establecidas por la administración, y la tercera corresponde al aseguramiento independiente.

 

3.     El modelo de las Tres Líneas de Defensa

Vásquez (2015) señala:

El modelo de las tres líneas de defensa (…) trata de un modelo impulsado por la European Confederation of Institutes of Internal Auditing (ECIIA), avalado por el IIA Global y popularizado por la Financial Supervisory Authority británica en 2011 con el objetivo de actuar como referencia para las diferentes funciones de aseguramiento de las entidades financieras (pág. 43).

Luego el Instituto de Auditores Internos adoptó de manera formal el modelo en el año 2013, tal como es publicado por IIA (2019):

El modelo de las Tres líneas de defensa surgió por primera vez hace más de 20 años y desde entonces se lo ha reconocido ampliamente, en especial en el sector de los servicios financieros donde se originó. La IIA lo adoptó formalmente en la declaración de posición “Las tres líneas de defensa en gestión de riesgos y control eficaces” publicada en 2013, y desde entonces la promocionó como una herramienta valiosa para los encargados del gobierno. (pág. 4).

El IIA ha efectuado actualizaciones en base a requerimientos en la gestión de riesgos y control para que pueda ser adoptado por las organizaciones acorde a las contingencias presentadas en la actualidad.

El modelo entrega lineamientos para coordinar las funciones dentro de las organizaciones, como también establecer roles y responsabilidades en cada línea existente con el fin evitar la duplicación de actividades por falta de comunicación o como se mencionó antes, la falta de tener formalizados los roles y responsabilidades de cada persona. Así, lo señalan también Bantleon et al. (2020):

El Modelo de las tres líneas de defensa tiene como objetivo proporcionar una manera simple y eficaz de mejorar la coordinación y mejorar las comunicaciones sobre la gestión y el control de riesgos al aclarar los roles y deberes esenciales de las diferentes funciones de gobierno (pág. 1).

Arndorfer y Minto (2015), señalan que para la consecución de dicho objetivo “los roles y responsabilidades deben comunicarse claramente a las funciones de riesgo y control para que cada grupo de profesionales comprenda el alcance de sus actividades y cómo ese alcance se relaciona con las actividades de otros grupos” (pág. 8).

Como ha quedado de manifiesto, el gran valor que da el modelo para el control de gestión y riesgos es una buena definición de roles y que cada línea esté al tanto de sus responsabilidades y actividades, logrando una comunicación eficaz ante cualquier error o sesgo en las operaciones propias de la organización.

Como se señaló anteriormente, el modelo se compone de tres líneas principales que tienen definidos sus roles y responsabilidades, la primera y segunda línea debe reportar a la alta dirección, mientras que la tercera línea reporta a la alta dirección y al organismo de gobierno/consejo/comité de auditoría, en donde “el consejo de administración y la alta dirección son responsables de supervisar la estrategia y el proceso de gestión de riesgos” (Luburic, Perovic y Sekulovic, 2015, pág. 6).  Estos mismos autores señalan que “la alta dirección debe establecer y mantener una misión, una visión y valores para la organización. Estos deben ser claramente comprendidos, aceptados y apoyados por personas de la organización y, según corresponda, por otras partes interesadas”.  Complementando lo anterior, Armendáriz et al. (2015) afirman:

El Consejo de Administración defiende el interés social de la compañía cuando comprueba que se cumplen las expectativas de los grupos de interés, dentro del marco de apetito de riesgo definido por el propio Consejo. Mientras la Alta Dirección desarrolla e implementa el sistema de Control Interno, el Consejo -a veces a través de la Comisión de Auditoria- asume la responsabilidad de su supervisión (pág. 11).

Es importante mencionar que el modelo se separa en tres líneas para poder apoyarse entre sí en la gestión de riesgos, así “logra resultados eficientes si los tres elementos de la estructura funcionan como líneas de defensas reguladas” (Luburic, 2016, pág. 6).

El funcionamiento general de las tres líneas de defensa es el siguiente:

Primera línea: está a cargo de la gerencia operativa y tiene como función ocuparse del riesgo y gestionarlo, deben realizar acciones correctivas para poder enfrentar deficiencias, también deben mantener un efectivo control interno para así poder controlar los riesgos de forma permanente. Según señala Vásquez (2015) en la “primera línea de defensa se encuentra la gestión operativa de la compañía. Aquellos que tienen la responsabilidad de ejecutar las operaciones objetivo de la compañía de acuerdo al marco de cumplimiento establecido” (pág. 7).

Segunda línea: tiene como rol gestionar los riesgos y el cumplimiento adecuado de los controles de la primera línea, así lo señala Vásquez (2015) “como una segunda línea de defensa las organizaciones disponen de las funciones que diseñan el marco de cumplimiento de la operación: la gestión de riesgos, funciones de diseño del control interno, normativa u otras de cumplimiento” (pág. 7). Es importante recalcar que según señalan Arndorfer y Minto (2015) “si los sistemas de control descritos en la primera línea de defensa resultan ineficaces o no existen, la segunda línea de defensa adquiere importancia” (pág. 8).

Tercera línea: esta línea es la encargada de las funciones que proporcionan aseguramiento independiente. Así lo señala Vásquez (2015):

La tercera línea de defensa queda reservada para la dirección de Auditoría Interna, que ofrece aseguramiento al órgano de gobierno de la organización y la alta dirección sobre cómo la organización evalúa y gestiona sus riesgos y la eficiencia y eficacia con la que ejecuta el marco de cumplimiento (pág. 7).

 

4.     Fortalezas y oportunidades que brinda el modelo de las Tres Líneas de Defensa

 El modelo de las Tres Líneas de Defensa prevalece sobre otros por características como su flexibilidad, en cuanto a la manera en que cada una de las empresas lo puede adoptar, sin importar su rubro o tamaño. Además, el modelo es rediseñado y actualizado con el fin satisfacer las necesidades de las empresas en lo largo del tiempo, así va adquiriendo fortalezas y oportunidades, como lo señala IIA (2019) “más que necesitar un rediseño total, el modelo actual tiene fortalezas que se pueden ampliar y mejorar para cubrir las necesidades de las organizaciones con más éxito todavía”.

Otro aspecto relevante es que: “el modelo de las tres líneas de defensa (...) proporciona una forma simple y efectiva para aumentar la claridad respecto a los riesgos y los controles y ayuda a mejorar la efectividad de los sistemas de gestión de riesgos” (Ruiz, 2018, pág. 3).

Además, una buena implementación puede contribuir de manera positiva a la organización la cual puede retroalimentarse con información relevante para la toma de decisiones, así lo señalan Dragičević, Stanojević y Stojanović (2017):

La aplicación con éxito de este modelo de gestión del riesgo puede contribuir a: la probabilidad y las consecuencias de la materialización de los riesgos, una mejor información en términos de toma de decisiones estratégicas, la reducción del coste del capital, una información financiera más precisa, crear ventajas competitivas, cuota de mercado y responsabilidad social de las empresas (pág. 7).

En cuanto a las distintas opiniones al respecto del modelo en sí y considerando su efectividad, existen autores que indican que las características de cada una de las organizaciones no son relevantes al momento de implementar el modelo. Es así que los autores Luburic, Perovic, y Sekulovic (2015) señalan que: “una cualidad particular del modelo es que su estructura central podría aplicarse en cualquier organización, independientemente de su tamaño y actividad” (pág. 3). Asimismo, Vásquez (2015) reafirma lo excluyente que es el tamaño de la organización para efectos de la implementación del control interno:

Independientemente del tamaño de las organizaciones, el establecimiento de un sistema maduro de control interno debe ser un requisito de gobierno para todas ellas. Esto no sólo es importante en las organizaciones de tamaño medio, también puede ser clave para las más pequeñas. Todas se enfrentan a entornos complejos que precisan de una estructura organizativa formal sólida que garantice la eficacia de su gestión operativa y de sus sistemas de evaluación de riesgos (pág. 43).

Es importante señalar que, independiente de las cualidades de las empresas, es fundamental que estas tengan bien definidas sus estructuras organizacionales y que sus colaboradores estén al tanto de sus roles claves dentro de la organización. Armendáriz, Alloza y Diaz (2015) afirman:

Aquellas organizaciones que no definen y/o comunican adecuadamente sus estructuras organizativas están expuestas a situaciones de riesgo. Su información para la toma de decisiones es menos clara. La falta de líneas definidas de responsabilidad posibilita actividades no éticas y fraudulentas. Si la estructura organizativa no está bien diseñada, la detección de desviaciones en el cumplimiento de objetivos es tardía y, por lo tanto, la supervisión ineficiente (pág. 13).

En esta misma línea, Lukman (2016) manifiesta lo siguiente:

En las instituciones financieras, diversos equipos, como auditores internos, especialistas en gestión de riesgos y oficiales de cumplimiento, colaboran para ayudar a sus organizaciones a gestionar los riesgos. Cada una de estas especialidades tiene una perspectiva única y habilidades específicas que pueden ser invaluables para la organización. El desafío consiste en asignar funciones específicas y coordinar eficaz y eficientemente entre esos grupos para que no haya "lagunas" en los controles ni duplicaciones innecesarias de la cobertura (pág. 5).

En torno a lo mencionado en la cita anterior, es importante destacar que el modelo se puede complementar con el Enfoque Integrado de Control Interno de COSO, ya que permite asignar funciones y responsabilidades específicas con respecto al control interno, donde lo más relevante es que permite definir las líneas que ayudan a las organizaciones a mejorar sus estructuras generales de gobierno y con ello la consecución de sus actividades relacionadas con los objetivos de la empresa. Así también lo afirma IIA (2015) al señalar que el modelo se puede usar en conjunto con el enfoque integrado de control interno de forma tal de que las personas dentro de cada línea de defensa comprendan el alcance de sus responsabilidades referidas al riesgo y control de la organización.

Es posible señalar entonces que existen autores que avalan el modelo de la Tres Líneas de Defensa, recalcando los beneficios y ventajas que brinda, así como también, señalan la importancia de definir las estructuras organizacionales y que estas sean comunicadas dentro de la organización. Es decir, la ausencia de estas estructuras organizacionales puede ocasionar desinformación y con ello generar duplicidad de actividades o procedimientos incompletos.  Ahora bien, en relación al tamaño, industria, y otras características de la organización, se entiende que, a partir de citas mencionadas anteriormente, no impedirá que se pueda aplicar este modelo. En efecto, el modelo según los autores no tiene impedimento en cuanto a características de las organizaciones para ser aplicado, pero estas características pueden ser determinantes a nivel de gestión para llevar a cabo el modelo.

En otro orden de ideas, Leech y Hanlon (2016, como se citó en Hakim, 2017) señalan que “a pesar de la simplicidad del modelo de las Tres Líneas de Defensa, el modelo se basa en el mecanismo de gobernanza tradicional y sus ideas subyacentes no responden bien en el cambiante entorno empresarial”. Con ello hace referencia a que el Modelo es poco flexible y puede no contemplar requerimientos de todas las organizaciones.

Adicionalmente, desde otro punto de vista se señala que “el talón de aquiles del modelo de las Tres Líneas de Defensa radica en la falta de una visión general amplia de toda la estructura organizativa, lo que resulta en medidas de control ineficaces en múltiples niveles de la empresa” (Vousinas, 2017, pág. 5).

Asimismo, Davies y Zhivitskaya (2018, como se citó en Tammenga, 2020) señalan algunas críticas y obstaculos del modelo:

 El modelo de las Tres Líneas de Defensa también ha recibido críticas. La preocupación central según Davies y Zhivitskaya (2018) es que la existencia de tres grupos separados que se supone que deben garantizar una conducta adecuada frente a los riesgos ha llevado a una falsa sensación de seguridad. Si varias personas están a cargo, nadie lo está realmente. Diferentes críticas apuntan a que el modelo podría restar importancia a una fuerte gestión del riesgo en las propias áreas de negocio: "no se hace suficiente hincapié en la primera línea de defensa que es la gestión" o que podría conducir a una gestión excesivamente burocrática, enfoque costoso y desmotivador de la gestión de riesgos (pág. 3).

Así como en la cita anterior, existen autores que cuestionan el modelo y hacen referencia a la independencia que debiese tener cada línea para una correcta y adecuada aplicación en las organizaciones. Howard & Zhivitskay (2018) afirman que: “a pesar de que cada línea es teóricamente separada y distinta, todavía hay cierto desacuerdo sobre dónde deben trazarse los límites entre las tres líneas, y una considerable divergencia en la forma de su operacionalización dentro de las empresas” (pág. 4).

En definitiva, existen opiniones que destacan la independencia que cada línea debe tener en relación a las otras, tal como lo señalan Arndorfer y Minto (2015):

Aun cuando las funciones de la segunda línea de defensa sean independientes desde el punto de vista organizativo, pueden carecer de las aptitudes y los conocimientos suficientes para cuestionar eficazmente las prácticas y los controles de la primera línea, como la validación de modelos complejos o para proporcionar valoraciones independientes de instrumentos "ilíquidos" o difíciles de valorar (pág. 11).

A pesar de la autonomía que deben tener las líneas, debe existir una coordinación y fluidez de la información ya que, la segunda línea supervisa a la primera, y a su vez la tercera línea supervisa a la primera y la segunda. En este aspecto, el foco de mantener una independencia constante puede afectar la coordinación entre las tres líneas, tal como lo sostiene Bantleon et al. (2020):

(…) al exigir claramente un alto nivel de independencia para cada línea, hay compensaciones obvias que podrían afectar la eficacia y eficiencia de toda la función de gestión del riesgo. En particular, la falta de coordinación podría reducir el efecto positivo de las tres líneas distintas porque las tareas y los recursos de cada línea no son independientes de los de las otras líneas (pág. 2).

Vinculado al concepto anterior y relacionado con la coordinación y también la integración que se debe tener para llevar a cabo la gestión de los riesgos Lyons (2012) menciona:

Si bien la base de una buena gestión de riesgos es que cada parte de la organización es responsable de gestionar los riesgos en su propia área de actividad, esto debe operarse en un enfoque integrado y holístico para asegurar la alineación con los objetivos y la estrategia de toda la organización (pág. 6).

En concordancia con lo anterior “las investigaciones sugieren que la falta de coordinación entre las tres líneas podría dar lugar a ineficiencias como la fatiga por las seguridades, las deficiencias en las seguridades o la presentación inadecuada de informes que repercuten negativamente en la gobernanza” (Bantleon, et al., 2020, pág. 2).

Con el objeto de mejorar la coordinación de las tres líneas Arndorfer y Minto (2015) señalan que existen otras partes que pueden colaborar en la gestión del riesgo, estas son una cuarta línea de defensa por medio de auditores y/o reguladores externos, especialmente para instituciones financieras (pág. 12).

Por lo tanto, según señalan algunos autores, la tercera línea no sería la última, sino que existiría una continuación después de esta, la denominada cuarta línea.  Huibers (2015) manifiesta que la cuarta línea defensa está compuesta por “auditores externos, reguladores y organismos externos. Independiente que la garantía es ofrecida por terceros externos, generalmente el auditor financiero de la empresa es quien brinda seguridad con respecto a los estados financieros” (pág. 11).

En la misma línea Arndorfer y Minto (2015) señalan que el objetivo de las cuatro líneas de defensa es:

Mejorar la coordinación entre las partes externas y los auditores internos, su éxito se basa en una mayor comunicación. La comunicación funciona reduciendo, si no eliminando, la información asimétrica entre las partes implicadas, siempre que, por supuesto, el tratamiento de la información sea tal que los sistemas de control de riesgos sean más eficaces. (pág. 13).

De este modo, la cuarta línea proporciona ciertos beneficios y potencia el ámbito de las oportunidades de mejora para hacer frente a los riesgos a través de los controles.

Si bien Arndorfer y Minto mafiestan que la cuarta linea se compone por auditores y reguladores externos, Vousinas (2017) señala que pueden existir dos nuevas líneas aplicables a las instituciones financieras:

Esencialmente el 5LoD es el modelo 3LoD con la adición de dos líneas adicionales - regulador y auditoría externa (líneas externas de defensa). Cabe señalar que el modelo desarrollado puede aplicarse a las instituciones financieras en general, pero el análisis exhaustivo y la atención se centra en las instituciones bancarias reguladas (pág. 9).

De la misma manera define la quinta línea como:

El papel de la auditoría externa es principalmente revisar los estados financieros para asegurarse de que sean una cuenta "verdadera y justa" del desempeño financiero pasado y la situación financiera actual y que estén preparados de acuerdo con un marco de información financiera apropiado (…) Más aún, los auditores internos pueden beneficiarse del conocimiento especializado de los auditores externos sobre instituciones financieras, mientras que los auditores externos pueden beneficiarse del profundo conocimiento interno de los auditores internos sobre el entorno de riesgo de los bancos y el sistema de control interno (Vousinas, 2017, pág. 12).

No obstante, también existe un autor que plantea un enfoque en donde se segregan las funciones en cuanto a roles externos o internos de las líneas de defensa de partes interesadas. El autor Lyons (2011) señala:

Varias líneas de defensa internas y externas se superponen en una jerarquía para ayudar a garantizar que exista una supervisión corporativa adecuada en todos los niveles dentro y fuera de la organización. Cada una de estas líneas de defensa tiene diferentes funciones, responsabilidades y responsabilidades de supervisión, y se espera que todas ellas hagan una contribución valiosa al marco general de supervisión (pág. 3).

Por el contrario, según IIA (2015) las partes externas no deberían ser consideradas parte del modelo:

Aunque las partes externas no se consideran formalmente entre las tres líneas de defensa de una organización, grupos como los auditores y reguladores externos a menudo desempeñan un papel importante en la estructura general de gobernanza y control de la organización (pág. 13).

A diferencia de lo señalado por IIA, Vousinas (2017) afirma que los auditores externos y reguladores si se coordinan de manera efectiva, se pueden considerar “como líneas de defensa adicionales, brindando seguridad a los accionistas de una institución, incluida la alta gerencia y el comité de administración” (pág. 10).

Con el objetivo de apoyar la implementación del modelo, el autor Wyman (2020) señala que una organización necesita ser consciente del tamaño de esta para no exponerla a riesgos. Además, con el fin de poder implementar el modelo de las tres líneas de forma correcta la empresa debe alinear los principios, evaluar el estado actual, evaluar objetivos e identificar los problemas y brechas.

 

5.     Metodología

En lo que se refiere al marco metodológico de este estudio, su enfoque es de carácter cualitativo; el tipo de estudio de esta investigación es exploratorio; y la técnica de investigación utilizada es la investigación documental ya que se espera poder interpretar, conocer opiniones y revisar la opinión de los autores expertos en la temática de estudio.

Para la recolección de información se procedió a realizar la búsqueda de artículos, documentos, informes y documentos relacionados con el modelo de las Tres Líneas de Defensa, para lo cual se definieron las palabras claves: modelos de las tres líneas de defesa, control de gestión y riesgos, control interno, auditoría interna. La población de este estudio, está dada por todos los artículos, documentos, papers, informes e investigaciones que tienen caracteres en común, de los cuales se extrae un subgrupo de la población definida anteriormente, donde el parámetro es que la fecha de publicación de artículos, documentos, papers, informes e investigaciones sea de los últimos 10 años, ello tomando en cuenta que el tema de investigación es relativamente nuevo. Además, para efectos de seleccionar los artículos, documentos, papers, informes e investigaciones se consideró la calidad de la información, es decir, se distingue entre artículos realizados por profesionales con vasta experiencia y aquellos artículos realizados por alumnos de pregrado, de manera de obtener información validada por profesionales que tengan experiencia en el tema. Es importante destacar que se seleccionó artículos de distintos países y en distintos idiomas, de manera obtener información más amplia de cómo funciona el modelo en distintas partes mundo.

 

6.     Conclusión

El modelo de las tres líneas puede ser aún más eficiente, siempre que las empresas tengan una base sólida de control interno. Este desafío conlleva a que muchas empresas deban adecuar su estructura de control con el modelo de las tres líneas al momento de implementarlo, y es muy importante que las empresas puedan identificar sus riesgos, es decir, estar en conocimiento de cuáles serán las vulnerabilidades que esperan gestionar con la aplicación del modelo.

Por otra parte, uno de los desafíos más importantes para implementar el modelo, es que las empresas deben estar preparadas en cuanto a su estructura organizacional, es decir, deben tener una estructura bien definida para poder enfrentar los obstáculos y facilitar el desarrollo efectivo del modelo de las tres líneas de defensa. Cabe destacar que una parte fundamental dentro de la estructura es definir roles y responsabilidades para que cada línea realice las funciones que le corresponden sin que exista duplicidad de las actividades o vacíos en funciones de cada una de las líneas.

Otro de los desafíos que arroja el modelo, es que la organización coordine la forma de implementación de este de tal manera que, al ser tres líneas independientes, de igual forma exista comunicación y coordinación entre ellas. Según algunos de los autores citados, es difícil poder mantener las tres líneas con total independencia ya que sobre todo las dos primeras se relacionan de manera más directa a diferencia de la tercera que es más independiente. El desafío aquí, es que la empresa pueda establecer la mejor forma para que estas líneas sean independientes y logren coordinación, de manera de no comprometer la eficacia del modelo.

Un tercer desafío para las organizaciones es investigar y mantenerse actualizadas en cuanto a las nuevas líneas de defensa, así como se mencionó en esta investigación, las cuales pueden ayudar a garantizar aún más la eficacia del modelo. Para esto se contemplan líneas que actúan de manera interna en la organización como también líneas que actúan de manera externa regulando y entregando lineamientos o recomendaciones sobre cómo gestionar los riesgos y mejorar procedimientos, entre otros.

En relación al punto anterior, si bien una cuarta o quinta línea de defensa no es reconocida oficialmente por el IIA, puede traer beneficios relevantes sobre todo en instituciones financieras como lo indican los autores. Es así que surge un nuevo desafío para las organizaciones donde, a través de la gestión empresarial puedan planificar y organizar antes de incorporar el modelo a sus filas, por lo que es necesario establecer un estudio previo respecto si es apropiado aplicar alguna línea adicional, la cual va a depender directamente del tipo de organización de la cual se trate.

 

7.     Referencias bibliográficas

Armendáriz, J., Alloza, A., & Diaz, J. (2015). Entorno de Control: Siete preguntas que cualquier consejero debe plantearse. The Institute of Internal Auditors.

Arndorfer, I., & Minto, A. (2015). The model "Four lines of defense" for financial institution. Bank for international settlements, 8.

Bantleon, U., d'Arcy, A., Eulerich, M., Hucke, A., Pedell, B., & Ratzinger-Sakel, N. (2020). Coordination Challenges in Implementing the Three Lines of defense model. Wiley, 12.

Dragičević, Stanojević, & Stojanović. (2017). Three lines of defence model and the role of internal audit activities as the response to the global economic crisis. IOP Conference Series: Materials Science and Engineering, 7.

Elizalde Marin, L. (2018). Control Interno desde el enfoque contemporaneo.

Hakim, A. (2017). Application of Three Lines of defense in Islamic Financial Institution. International Journal of Management and Applied Research, 5.

Howard, D., & Zhivitskaya, M. (2018). Three Lines of Defence: A Robust Organising Framework, or Just Lines in the Sand? Special Issue Article, 4.

Huibers, S. (2015). Combined Assurance: One Language, One Voice, One View. The Global Internal Audit Common Body of Knowledge, 11.

IIA. (2013). Gestión de riesgos: tan fácil como 1...2...3. The institute Of Internal Auditors, 3.

IIA. (2013). Las tres lineas de defensa para una efectiva gestión de riesgos y control. The Institute of Internal Auditors.

IIA. (2015). Leveraging COSO Across the Three Lines of Defense. The Institute of Internal Auditors, 8.

IIA. (2019). Tres líneas de defensa. The institute of Internar Auditor, 4.

IIA. (2020). El modelo de las tres lineas de defensa del IIA 2020. The institute of Internal Auditors, 3.

Jaeger, J. (2020). Compliance Week. Obtenido de https://www.complianceweek.com/surveys-and-benchmarking/survey-practitioners-weigh-in-on-iias-new-three-lines-model/29531.article

Luburic, R., Perovic, M., & Sekulovic, R. (2015). Quality Management in terms og strengthening the "three lines of defence" in risk management process approach.

Luburic, R. (2016). Strengthening the three lines og defence in terms of more efficent operational risk management in central banks. De Gruyter Open, 6.

Lyons, S. (2012). Defending our stakeholders: Corporate defence management explored. Volumen One Issue Three, 6.

Lyons, S. (2011). Corporate Oversight and Stakeholder Lines of Defense. The conference board, 3.

Muñoz J. et al (2011). Eficacia en contexto de gestión en la seguridad de la información según COBIT. Pensamiento americano.

Quinaluisa et al (2018). El control interno y sus herramientas de aplicación entre COSO y COCO. Cofín Habana, 3.

Rodríguez, M., Piñeiro, C., & de Llano, P. (2013). Mapa de riesgos: Identificación y gestión de riesgos. Econstor.

Ruiz, E. (2018). El control interno de la gestión economico - financiera de la concesión de obras y concesión de servicios locales. Auditoría y gestión de los fondos públicos, 3.

Tammenga, A. (2020). The application of Artificial Intelligence in banks in the context of the three lines of defence model. Maandblad voor Accountancy en Bedrijfseconomie.

Vásquez, J. L. (2015). Desafios de auditoria interna en el horizonte 2020. Instituto de Auditores Internos, 43.

Vousinas, G. L. (2017). Más allá de las tres líneas de defensa. El modelo de las cinco líneas de defensa para instituciones financieras, 15.

Wyman, O. (2020). Right - Sizing The three lines of defense, 11