Diseñamos e implementamos el modelo de las tres líneas de defensa en tu organización: gestión operativa del riesgo, función de compliance y supervisión, y auditoría interna independiente. Un marco de gobierno corporativo que protege el valor y cumple con las mejores prácticas del IIA.
Consulta gratuita
Te respondemos en menos de 24 h
Desde el diagnóstico inicial hasta la implementación y auditoría del modelo: un marco de gestión de riesgos adaptado a tu organización.
Definimos la estructura de roles y responsabilidades de cada línea: primera línea (gestión operativa), segunda línea (compliance, control de riesgos, cumplimiento normativo) y tercera línea (auditoría interna). Adaptado al tamaño, sector y complejidad de tu organización.
Revisamos tu modelo actual de tres líneas: cobertura de riesgos, independencia de la auditoría interna, eficacia de los controles, coordinación entre líneas y alineación con los principios del IIA 2020.
Diseño e implementación de la función de compliance como segunda línea: políticas, procedimientos, supervisión de riesgos, reporte a la alta dirección y coordinación con la primera y tercera línea.
Identificación, evaluación y priorización de riesgos. Definición del apetito de riesgo aprobado por el órgano de gobierno y alineación con las tres líneas de defensa.
En sujetos obligados, la función de PBC/FT es una segunda línea de defensa especializada: compliance officer, monitorización, reporte de operaciones sospechosas y diligencia debida.
Para entidades reguladas (ESI, gestoras, entidades de pago), las tres líneas de defensa son una exigencia supervisora: MiFID II, Solvencia II, Basilea III y normativa sectorial.
Entidad financiera, empresa industrial, startup regulada o grupo multinacional: el modelo se adapta al tamaño, sector y perfil de riesgo de cada organización.
"En entidades financieras, las tres líneas de defensa son una exigencia regulatoria. La primera línea gestiona el riesgo operativo, la segunda incluye compliance, control interno y gestión de riesgos, y la tercera es auditoría interna con reporte directo al comité de auditoría."
"En empresas no financieras, el modelo se adapta: la primera línea son los responsables de área, la segunda puede ser un compliance officer único o compartido con legal y riesgos, y la tercera puede externalizarse parcialmente si no existe auditoría interna."
"Las fintech deben implementar las tres líneas desde el inicio. Con equipos pequeños, los roles de primera y segunda línea pueden combinarse, pero la independencia de la tercera línea es irrenunciable frente al regulador."
"En grupos multinacionales, las tres líneas se replican a nivel local y global. La coordinación entre la función de compliance corporativa y las unidades locales es clave para evitar brechas de cobertura y duplicidades."
Sin un marco estructurado de gestión de riesgos, la organización queda expuesta a brechas de control, duplicidades y falta de supervisión independiente.
Brechas en la cobertura de riesgos: sin roles definidos, algunos riesgos quedan sin propietario. Nadie identifica, evalúa ni mitiga los riesgos que caen entre áreas funcionales.
Duplicidad de funciones: sin coordinación entre líneas, varias áreas pueden estar controlando lo mismo mientras otros riesgos críticos quedan desatendidos. Ineficiencia y falsa sensación de seguridad.
Falta de independencia en la supervisión: si la auditoría interna depende jerárquicamente de la dirección operativa, pierde la objetividad necesaria para cuestionar las decisiones de gestión.
Para entidades financieras, la implementación de las tres líneas de defensa es una exigencia regulatoria explícita. Su ausencia o deficiencia puede derivar en requerimientos del supervisor e incluso sanciones.
El artículo 31 bis del Código Penal español exige un modelo de organización y gestión con medidas de vigilancia y control. Las tres líneas de defensa son la estructura natural para cumplir este requisito.
Inversores, socios, reguladores y clientes esperan un gobierno corporativo robusto. Las tres líneas de defensa son el estándar internacional para demostrar madurez en la gestión de riesgos.
Diseñamos, revisamos o auditamos tu modelo de tres líneas de defensa: roles, responsabilidades, coordinación entre líneas, apetito de riesgo y alineación con el IIA 2020. Un marco que protege y que genera confianza.
El modelo de las tres líneas de defensa (3LoD) es un marco de gobernanza y gestión de riesgos que estructura la organización en tres niveles de protección: la primera línea (gestión operativa, propietaria de los riesgos), la segunda línea (funciones de supervisión, compliance y control de riesgos) y la tercera línea (auditoría interna independiente).
Fue popularizado por el Instituto de Auditores Internos (IIA) y actualizado en julio de 2020 con el "Modelo de las Tres Líneas", que pone mayor énfasis en la creación de valor, la coordinación y la alineación con los objetivos de la organización.
Depende del sector y la jurisdicción. Para entidades financieras (bancos, ESI, gestoras, aseguradoras), la implementación de las tres líneas es una exigencia regulatoria implícita o explícita derivada de MiFID II, Solvencia II, Basilea III y las directrices de EBA y EIOPA.
Para empresas no financieras, no es legalmente obligatorio, pero es el estándar de buenas prácticas en gobierno corporativo. Además, el artículo 31 bis del Código Penal español exige un modelo de organización y gestión con medidas de vigilancia y control, que las tres líneas de defensa satisfacen de forma natural.
El IIA publicó en julio de 2020 el "Modelo de las Tres Líneas" (eliminando "de defensa" del nombre), con cambios significativos respecto al modelo de 2013:
La función de compliance se sitúa en la segunda línea de defensa. Su rol es supervisar el cumplimiento normativo, asesorar a la primera línea sobre los riesgos regulatorios, definir políticas y estándares, y reportar a la alta dirección y al órgano de gobierno.
En algunas organizaciones, compliance puede coexistir con otras funciones de segunda línea como gestión de riesgos, control interno, seguridad de la información o prevención de blanqueo. La clave es que cada función tenga un mandato claro y no haya brechas ni duplicidades.
Sí, con matices. La primera línea es inherentemente interna (es la gestión operativa). La segunda línea puede apoyarse en asesores externos, pero la responsabilidad sigue siendo de la dirección. La tercera línea (auditoría interna) puede externalizarse total o parcialmente, aunque en entidades reguladas se exige un mínimo de función interna.
También existe una "cuarta línea" informal: auditores externos, reguladores y supervisores que proporcionan aseguramiento adicional desde fuera de la organización.
El artículo 31 bis del Código Penal español establece que la persona jurídica puede quedar exenta de responsabilidad penal si dispone de un modelo de organización y gestión que incluya medidas de vigilancia y control para prevenir delitos. Las tres líneas de defensa son la estructura natural para satisfacer este requisito.
La primera línea implementa los controles operativos, la segunda línea (compliance) supervisa el cumplimiento y la prevención penal, y la tercera línea (auditoría interna) verifica la eficacia del modelo. La norma UNE 19601 sobre sistemas de gestión de compliance penal se alinea con este enfoque.
En el modelo actualizado del IIA (2020), el órgano de gobierno (consejo de administración, comité de auditoría) tiene un rol explícito y central: establece los objetivos de la organización, define el apetito de riesgo, delega responsabilidades a la dirección y supervisa el funcionamiento de las tres líneas.
El órgano de gobierno recibe informes de las tres líneas y, especialmente, de la auditoría interna, que debe rendirle cuentas directamente para garantizar su independencia respecto de la dirección.
Un modelo de tres líneas eficaz requiere roles claros, coordinación real entre líneas e independencia efectiva de la auditoría interna.
Las áreas de negocio son las primeras en identificar y gestionar los riesgos. Deben implementar controles internos, ejecutar planes de mitigación y reportar incidencias. Sin una primera línea eficaz, el modelo entero falla.
Compliance, gestión de riesgos y control interno supervisan a la primera línea: definen políticas, monitorizan el cumplimiento, cuestionan las decisiones de riesgo y reportan a la alta dirección. Son el paraguas de la organización.
La auditoría interna proporciona aseguramiento independiente y objetivo sobre la eficacia de las dos primeras líneas. Debe reportar al órgano de gobierno (comité de auditoría) y ser independiente de la dirección operativa.
Si necesitas ayuda con tu modelo de tres líneas de defensa, consulta nuestros servicios de compliance o solicita una consulta gratuita.
Un modelo de tres líneas de defensa eficaz no es un organigrama decorativo: es un sistema vivo de gestión de riesgos con roles definidos, coordinación real y aseguramiento independiente.
1ª LíneaLas áreas de negocio son las propietarias de los riesgos: los identifican, evalúan, controlan y mitigan en su actividad diaria.
2ª LíneaFunciones especializadas que supervisan, asesoran y cuestionan a la primera línea. Definen políticas, monitorizan el cumplimiento y reportan a la dirección.
3ª LíneaProporciona aseguramiento objetivo e independiente sobre la eficacia de la gestión de riesgos y los controles internos de la primera y segunda línea.
GobiernoEl consejo de administración o comité de auditoría establece el apetito de riesgo, supervisa las tres líneas y recibe informes de todas ellas. La coordinación entre líneas evita brechas y duplicidades.
Por sectorExigencia regulatoria. Tres líneas formales con funciones especializadas y reporte al supervisor.
Adaptación al tamaño. 2ª línea puede ser compliance + legal. 3ª línea puede externalizarse.
Roles combinados en 1ª y 2ª línea. 3ª línea externalizada. Escala progresiva con el crecimiento.
Identifica, evalúa y gestiona los riesgos propios de su actividad. Implementa controles y planes de mitigación.
Define marcos de riesgo, políticas y estándares. Supervisa y cuestiona la gestión de riesgos de la 1ª línea.
Ejecuta los controles diseñados para su área. Realiza autoevaluaciones y reporta incidencias.
Diseña el marco de control interno, monitoriza su cumplimiento y propone mejoras a la dirección.
Cumple las políticas y procedimientos internos. Aplica los requisitos regulatorios en su operativa diaria.
Interpreta la normativa, define las obligaciones, forma a la 1ª línea y reporta al regulador cuando es necesario.
Reporta incidencias y KRIs a la 2ª línea y a la dirección de su área funcional.
Reporta la visión global de riesgos a la alta dirección y, en su caso, al órgano de gobierno.
Si detectas alguna de estas señales, el modelo necesita revisión urgente.
Si estás diseñando o revisando un modelo de tres líneas de defensa, estos son los términos que debes dominar.
Marco de gobernanza que estructura la gestión de riesgos en tres niveles: gestión operativa, supervisión de compliance/riesgos y auditoría interna independiente. Estándar del IIA.
Organización internacional que establece estándares y directrices para la auditoría interna. Autor del modelo de las tres líneas de defensa y de sus actualizaciones.
Nivel de riesgo que la organización está dispuesta a asumir para alcanzar sus objetivos. Lo define el órgano de gobierno y lo gestiona la primera línea dentro de los límites establecidos.
Área responsable de supervisar el cumplimiento de la normativa aplicable, las políticas internas y los estándares éticos. Se ubica en la segunda línea de defensa y reporta a la alta dirección.
Función que proporciona aseguramiento objetivo e independiente sobre la eficacia de la gestión de riesgos, el control interno y el gobierno de la organización. Reporta al órgano de gobierno.
Marco de gestión integral de riesgos corporativos. La segunda línea puede incluir una función de ERM que coordine la visión global de los riesgos transversales a la organización.
Norma española de sistemas de gestión de compliance penal. Exige medidas de vigilancia y control (tres líneas de defensa) para prevenir delitos y exonerar a la persona jurídica bajo el art. 31 bis CP.
Indicadores clave de riesgo que permiten monitorizar la exposición de la organización a sus riesgos principales. La primera línea los genera, la segunda los supervisa y la tercera los audita.
Aunque no forma parte del modelo interno, los reguladores, supervisores y auditores externos actúan como una cuarta línea de aseguramiento para los stakeholders y la sociedad en general.
THREE LINES GOVERNANCE CONSOLE
La madurez de las tres líneas de defensa se mide en tres ejes: definición de roles (¿están claros?), coordinación (¿trabajan juntas?) e independencia (¿la 3ª línea es realmente independiente?). Este panel resume el nivel de exigencia según el sector.
La complejidad y formalización de las tres líneas varía según la regulación aplicable al sector.
El modelo de las tres líneas de defensa es un marco de gobernanza y gestión de riesgos reconocido internacionalmente. Su origen se encuentra en una declaración de posición conjunta del ECIIA y FERMA en 2013, y fue formalizado y difundido globalmente por el Instituto de Auditores Internos (IIA). En julio de 2020, el IIA publicó una actualización significativa bajo el nombre de "Modelo de las Tres Líneas", eliminando la referencia a "defensa" para reflejar un enfoque más orientado a la creación y protección del valor.
La primera línea de defensa está formada por las áreas de negocio y las funciones operativas de la organización. Son las propietarias de los riesgos: identifican, evalúan, controlan y mitigan los riesgos asociados a su actividad diaria. Implementan los controles internos y ejecutan los planes de mitigación. Sin una primera línea eficaz, el modelo entero pierde su base.
La segunda línea incluye funciones especializadas como compliance, gestión de riesgos corporativos (ERM), control interno, seguridad de la información, prevención de blanqueo y otras funciones de supervisión. Su misión es supervisar, asesorar y cuestionar a la primera línea, definir políticas y estándares, y reportar a la alta dirección sobre el estado de los riesgos y el cumplimiento normativo.
La tercera línea es la auditoría interna, cuya característica definitoria es la independencia respecto de la dirección operativa. Proporciona aseguramiento objetivo sobre la eficacia de la gestión de riesgos y los controles internos de las dos primeras líneas. Debe reportar directamente al órgano de gobierno (consejo de administración o comité de auditoría) para garantizar su independencia.
En España, el artículo 31 bis del Código Penal exige un modelo de organización y gestión con medidas de vigilancia y control para prevenir delitos. Las tres líneas de defensa son la estructura natural para satisfacer este requisito. La norma UNE 19601 sobre compliance penal se alinea con este enfoque. Para entidades financieras, la implementación de las tres líneas es una exigencia regulatoria derivada de la normativa sectorial (MiFID II, Solvencia II, directrices EBA) y de la supervisión del Banco de España y la CNMV.