Detalhando o modelo de Governança: Como funcionam as 3 linhas de Defesa
Fevereiro | 2019
Com a alta complexidade no ambiente de negócios, as organizações passaram a necessitar cada vez mais de áreas específicas para proteger seu patrimônio e integridade com o objetivo de diminuir a chance de que riscos ocorram. Com isso, contam com diferentes equipes de especialistas em controles internos, executivos de Compliance, especialistas em gerenciamento de riscos, auditores internos, entre outros.
Essa variedade de profissionais é responsável por gerenciar de forma efetiva os riscos críticos nas empresas, entretanto, a divisão das atividades relacionadas ao gerenciamento de riscos entre diversos departamentos pode prejudicar a eficácia de algumas dessas ações. Assim, é imprescindível que os esforços empreendidos por todos sejam devidamente coordenados, de modo a garantir que os processos sejam conduzidos de acordo com o que foi planejado.
As 3 Linhas de Defesa são um modelo de Governança Corporativa de atuação da área de gestão de riscos, compliance, controles internos e auditoria que organizam as funções de cada linha e descentraliza o processo de controle, dando aos usuários dos processos operacionais e estratégicos a responsabilidade primária de realizar o respectivo controle, com supervisão para que haja cobertura em todos os níveis da empresa. O documento estabelece as responsabilidades das áreas que auxiliam a gestão na implementação da gestão de riscos, controles internos, Compliance, auditoria interna e as relações com a diretoria executiva e conselho.
Esse modelo de governança deveria existir em todas as organizações, independentemente do tamanho ou complexidade. Uma vez que o gerenciamento de riscos é mais sólido quando há três linhas de defesa separadas e claramente identificadas, com papéis bem definidos. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.
Alta Administração
O conselho de administração e o diretor executivo são responsáveis pela supervisão e monitoramento dos processos de gestão de riscos e, para assumir de forma efetiva essas atribuições, eles necessitam de resultados provenientes das várias áreas envolvidas com este assunto. Os órgãos de governança e a alta administração são as principais partes interessadas atendidas pelas “linhas” e são as partes em melhor posição para ajudar a garantir que o modelo seja aplicado aos processos de gerenciamento de riscos e controle da organização.
Primeira Linha de Defesa
Todos na empresa desempenham uma função na gestão eficaz de riscos, mas a responsabilidade primária para a gestão e o controle dos riscos é delegada ao nível de gestão adequado dentro da empresa. Ou seja, o processo é descentralizado e o dono do processo é o dono do risco e de seus controles.
Segunda Linha de Defesa
A área de riscos/controle interno tem por missão qualificar a primeira linha e ao mesmo tempo cobrar as informações para que possa integrar e repassar para a Diretoria Executiva e Presidência o contexto de riscos da empresa. A segunda linha é representada pelos Gestores de Riscos, que tem a função de incentivar que a primeira linha a pratique e ao mesmo tempo supervisiona para identificar possíveis falhas.
Terceira Linha de Defesa
A 3ª linha é a Auditoria Interna e deve realizar suas avaliações tanto na 1ª como na 2ª linha de defesa. A premissa da auditoria é relatar para o Conselho de Administração se o Processo de Gestão de Riscos atende as expectativas de suportar os riscos da empresa e se a primeira linha está operacionalizando o respectivo processo.
Apresenta um novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de riscos, e é aplicável a qualquer organização independente do seu tamanho ou complexidade. Mesmo em empresas em que não exista uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de Três Linhas de Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de riscos.
Os riscos corporativos acabam sendo concretizados quando há falhas de cobertura, principalmente entre a primeira e segunda linha de defesa. Os riscos acontecem quando o dono do processo não está praticando o processo de Gestão de Riscos e a segunda linha, a supervisora, falha em não identificar o risco e nem reportar e informar a alta gestão. A
situação piora mais ainda quando a terceira linha, não identifica falha na segunda linha de defesa e por consequência fica míope para realizar uma auditoria baseada em riscos na primeira linha de defesa.