Lançado em 21 de setembro de 2010 pela Federation of European Risk Management Association - FERMA, o modelo de Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais (IIA, 2013). Deve-se levar em consideração que a abordagem das três linhas de defesa não é um modelo de gestão de riscos, muito embora seja capaz de melhorar a forma como o sistema possa ser eficaz em termos de comunicação e definição de funções e responsabilidades nas organizações.
De acordo com Brasiliano (2018, p. 60), “o objetivo do documento foi o de auxiliar a gestão sênior na implementação da gestão de riscos, controle interno, compliance e auditoria interna e as relações com a diretoria executiva e conselho”. O modelo transmite de forma clara quais são as responsabilidades de cada área e suas relações, sendo a responsabilidade pela fiscalização de gestão de riscos atribuída ao conselho.
O modelo apresenta um novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de riscos, e é aplicável a qualquer organização - não importando seu tamanho ou complexidade. Dessa forma, sua adoção permite melhorar a comunicação e a conscientização sobre os papéis e as responsabilidades essenciais de gestão de riscos e controles (TCU, 2018).
Nesse contexto, são estabelecidas três linhas de defesa que desempenham funções distintas dentro da estrutura de governança da organização (conforme anteriormente demonstrado na figura 03).
Conforme descrito no normativo, as três linhas estão resumidamente representadas a seguir:
1. Funções que gerenciam e têm propriedade sobre os riscos; 2. Funções que supervisionam os riscos;
3. Funções que fornecem avaliações independentes.
A primeira linha é a responsável pela execução de ações corretivas voltadas para o tratamento de deficiências de processo e controles. Também é responsável por manter controles internos efetivos e executar procedimentos de controle e riscos no dia-a-dia, identificando, avaliando, controlando e mitigando os riscos, garantindo que as atividades sejam consistentes com as metas e objetivos (LUBURIC; SEKULOVIC; PEROVIC, 2015).
Nesse caso os gerentes operacionais gerenciam os riscos e têm propriedade sobre eles, sendo também os responsáveis por implementar as ações corretivas para resolver deficiências em processos e controles (IIA, 2013).
As funções típicas da segunda linha de defesa incluem gerenciamento de riscos e conformidade. A gerência estabelece essas funções para garantir que a primeira linha de defesa seja adequadamente projetada e funcione como pretendido. Cada uma dessas funções tem algum grau de independência em relação à primeira linha de defesa, mas são por natureza funções gerenciais.
Por fim, na terceira linha de defesa, a auditoria interna é caracterizada por um alto nível de independência e objetividade, o que não está disponível na segunda linha de defesa. A auditoria interna fornece garantia da eficácia da governança, gerenciamento de riscos e controles internos, e a maneira pela qual a primeira e segunda linhas de defesa atingem seus objetivos (LUBURIC; SEKULOVIC; PEROVIC, 2015).
A figura 24 demonstra as responsabilidades específicas e a coordenação entre funções de gerenciamento de riscos:
Figura 24 – Processo - Modelo das Três Linhas de Defesa
Fonte: Adaptado de Luburic, Sekulovic e Perovic (2015).
Potter e Toburen (2016) argumentam que as organizações que têm três linhas de defesa fortes são geralmente mais inteligentes em termos de risco. Elas são capazes de identificar e reagir rapidamente ao risco, implantar recursos escassos de forma mais eficiente
para gerenciar riscos de forma prioritária e têm maior transparência interna de riscos, de modo que possam aproveitar as informações entre as linhas sem a necessidade de recriar relatórios ou executar desnecessariamente múltiplas camadas de teste. Esses itens contribuem para menos surpresas e perdas, menores custos de transferência de risco e maior probabilidade de que os objetivos da organização sejam alcançados.
O IIA recomenda que as três linhas estejam presentes em todas as organizações, independentemente de seu tamanho ou complexidade. Também observa que o gerenciamento de riscos é mais eficaz quando existem três linhas de defesa separadas e claramente identificadas, devendo haver uma coordenação adequada entre as linhas separadas de defesa e compartilhamento de conhecimento e informação visando uma gestão de risco eficiente e eficaz em uma organização (LUBURIC; SEKULOVIC; PEROVIC, 2015).
No quadro 16 a seguir são descritas algumas comparações entre os modelos aqui analisados. Todas as características entre os modelos que foram analisados anteriormente são bastante comuns, exceto pelo item relacionado à propriedade do risco, que é o único ponto que ainda consta parcialmente na INTOSAI.
No próximo tópico serão vistos os principais modelos e regulamentos de gestão de riscos do setor público brasileiro. Conforme será discutido, os modelos adotados no Brasil pelo governo utilizaram todos os frameworks analisados neste tópico da pesquisa com maior ou menor intensidade.
Fonte: Adaptado de TCU (2018).
CARACTERÍSTICAS COSO ERM 2004 AS/NZS 4360/2004 ORANGE BOOK INTOSAI GOV 9130 ISO 31000:2009 1 Considera oportunidades além dos riscos. Sim. Sim. Sim. Sim. Sim. 2 Necessidade de instituir política de gestão
de riscos. Sim. Sim. Sim. Sim. Sim.
3 Necessidade de serem definidos “critérios”
de risco. Sim. Sim. Sim. Sim. Sim.
4 Declara que o processo de gestão de riscos
é customizável. Sim. Sim. Sim. Sim. Sim. 5 Encorajar e buscar a melhoria contínua da
gestão de riscos. Sim. Sim. Sim. Sim. Sim. 6
Prega a necessidade de embutir a gestão de riscos na rotina dos processos de trabalho e na cultura.
Sim. Sim. Sim. Sim. Sim. 7 Associação de riscos com objetivos. Sim. Sim. Sim. Sim. Sim. 7.1 Aplicável na seleção de estratégia. Sim. Sim. Sim. Sim. Sim.
8 Recomenda criar e manter um
portfólio/registro corporativo de riscos. Sim. Sim. Sim. Sim. Sim. 9 Orienta para a necessidade de documentar
as atividades de gestão de riscos. Sim. Sim. Sim. Sim. Sim. 10 Orienta para a necessidade de documentar
as atividades de gestão de riscos. Sim. Sim. Sim. Sim. Sim. 11 Declara que os riscos devem ter “proprietários”. Sim. Sim. Sim. Parcialmente. Sim. 12 Implementar a gestão de riscos não é