En resumen
El modelo de las tres líneas de defensa es el marco más adoptado para estructurar la responsabilidad de control en organizaciones complejas. Entenderlo correctamente cambia cómo se diseña y se evalúa la seguridad.
Por qué importa
La seguridad es responsabilidad de todos. Esa frase es verdadera pero inútil sin una estructura que defina qué significa "responsabilidad" para cada persona en cada nivel. El modelo de las tres líneas da esa estructura.
El modelo de las tres líneas de defensa fue desarrollado originalmente para el sector financiero y adoptado posteriormente por el Institute of Internal Auditors como marco estándar para estructurar la responsabilidad de control en organizaciones complejas. Su lógica es simple y poderosa: la responsabilidad de la seguridad no recae en un solo departamento. Está distribuida en tres niveles con roles distintos.
Las tres líneas
La primera línea son las operaciones: los gerentes y empleados que ejecutan los procesos y que son responsables de gestionar el riesgo en su trabajo diario. No son el departamento de seguridad. Son todos los que toman decisiones operativas. La primera línea es la más importante porque es donde el riesgo se genera y donde los controles se aplican o se omiten.
La segunda línea son las funciones de supervisión: el departamento de seguridad, el área de cumplimiento, la gestión de riesgos. Su rol es diseñar los controles, monitorear su aplicación y apoyar a la primera línea. No ejecutan los controles. Los diseñan y los supervisan.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
La tercera línea es la auditoría interna: la función independiente que evalúa si las dos primeras líneas están funcionando correctamente. Su independencia es su valor: no puede ser juez y parte.
El error más común en la implementación del modelo es que la segunda línea asume la responsabilidad de la primera. El departamento de seguridad hace el trabajo que debería hacer la operación. Y la operación aprende que la seguridad es responsabilidad de otro.
Cómo implementar el modelo correctamente
- ▸Define claramente qué responsabilidades corresponden a cada línea.
- ▸Capacita a la primera línea en su responsabilidad de control — no solo en los procedimientos.
- ▸Diseña la segunda línea para apoyar, no para sustituir a la primera.
- ▸Garantiza la independencia real de la tercera línea — que reporte al nivel correcto.
- ▸Evalúa el modelo periódicamente — ¿las tres líneas están funcionando como se diseñaron?
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.