27 de fevereiro, 2019 Governança

As três linhas de defesa: Responsabilidade, informação,proteção do patrimônio e combate a perdas e corrupção.

2309 851 0

Planejando com alguns colegas profissionais uma apresentação seguida de painel em um grande congresso de 2015, expus a necessidade de falarmos sobre as três linhas de defesa, para meu espanto foi quase unânime o eco em meus ouvidos. “Não, para com isso, as três linhas de defesas todos conhecem, estão cansados de ouvir falar”. Pronto, apesar de ter ficado com certa interrogação em minha mente, isso era justamente o que eu precisava ouvir para gerar uma contra argumentação.

Obvio demais, para os profissionais de compliance, riscos e até mesmo auditoria, se trata de tema conhecido e clarificado, embora, tenha por opinião, que a aplicabilidade correta ou adaptada das três linhas de defesa seja mais complexa que sua pura interpretação. Isso faz com que muitos profissionais busquem apoio para poder introduzir esse conceito nas organizações que atuam. Coloquei esse ponto na discussão, ainda mantive a posição exaltando que a importância de sua aplicabilidade deveria ir além, ou seja, falaríamos para alto executivos, advogados, gerentes de inúmeros segmentos, analistas e consultores, enfim, dezenas de profissionais, que conclusivamente não são conhecedores do tema. Assim sendo, finalizamos o assunto e todos chegaram num acordo para darmos uma boa explanação em relação às três linhas de defesa, conforme Declaração de Posicionamento do The IIA (The Institute of Internal Auditors), as três linhas de defesa no gerenciamento eficaz de riscos e controles, em seu modelo adaptado.



Tenho por objetivo neste artigo, expor de maneira resumida e direta o conceito das três linhas de defesa, não entrar em detalhes de operação, adaptação ou total aplicação, pois, para seu real conhecimento e estudo, podemos observar capítulos de livros ou seminários específicos para cada linha, minha intenção é introduzir o assunto em poucos parágrafos de fácil leitura e entendimento.

Primeira linha de defesa

Na primeira linha, os donos do processo devem fazer o acompanhamento dos riscos e cuidar para que nada provoque impacto negativo na operação, certamente, os gerentes destas áreas e até os outros responsáveis pela operação conhecem os problemas que podem impactar suas atividades, então, a questão é entender como, com quais controles estas pessoas estão se prevenindo, também temos a observar a periodicidade da aplicação dos controles.

Um problema recorrente e que assola muitas organizações é quando a rotina entra no automático, ou seja, as pessoas que estão na linha de frente, primeira linha de defesa se envolvem nas rotinas, com isso, deixam de lado a avaliação dos controles e riscos de sua área. Outro fator importante a observar, quando a primeira linha de defesa não atua preventivamente, desconhece ou ignora qualquer tipo de situação adversa.

A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente. A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos. Por meio de uma estrutura de responsabilidades em cascata, os gerentes do nível médio desenvolvem e implementam procedimentos detalhados que servem como controles e supervisionam a execução, por parte de seus funcionários, desses procedimentos. (The IIA)

Segunda linha de defesa

Aqui, na segunda linha de defesa, estabelece-se de fato a função de gestão de riscos, com a implementação de modelos, métodos e práticas de gerenciamento, inclusive deve ser estendida e abordada fortemente com a primeira linha de defesa, com o intuito de suportar os donos dos riscos, pois, como falado anteriormente, os donos dos processos conhecem seus riscos, mas, precisam de auxílio para mapeá-los, entender os impactos e assim os manter sob controle constante, essa situação necessita uma interação muito forte entre primeira e segunda linhas, no entanto, precisamos ter em mente que são áreas que devem manter a independência.

A segunda linha de defesa pode e deve intervir diretamente na evolução da primeira em relação às análises de riscos, se assim for necessário, de modo a tratar as vulnerabilidades nos processos e mitigar questões que possam impactar negativamente o andamento do trabalho, observar os controles que estão em aplicação e avaliar sua eficácia. Assim sendo, a segunda linha de defesa tem um propósito de severa importância no modelo das três linhas de defesa, onde alguns quesitos importantes devem ser observados, tais como:

  • Implementação do processo de gerenciamento de riscos.
  • Observar questões internas e externas.
  • Construir dicionário de riscos e guardar os históricos das ocorrências.
  • Participar no desenvolvimento da metodologia do apetite ao risco.
  • Treinar e orientar as áreas sobre o gerenciamento de riscos.
  • Alertar a alta administração e gerentes sobre novos pontos de impactos.

Não exaurindo os quesitos especificados acima, podemos ter outros pontos a observar, aqui trago um elenco que considero importante não faltar no curso do processo de análise de riscos, também temos que ter em mente que uma boa analise, deve contar com critérios de identificação financeira, operacional, de imagem e de conformidade.

Terceira linha de defesa

Nesta linha a auditoria interna cumpre sua função, audita os processos, controles e verifica se as medidas de riscos estão sendo aplicadas conforme os planos e politicas estabelecidas, também fornece à área de governança e alta administração relatórios e informações sobre a amplitude do gerenciamento de riscos dos processos críticos, e o nível de segurança que está sendo trabalhado para cada processo.

A auditoria interna deve ser totalmente independente e segregada da primeira e segunda linhas de defesa, pois, é seu papel com clareza e diretividade, sem dar espaços a dualidade de informações ou surgimento de dúvidas, avaliar a eficiência e a eficácia das operações, a integridade com a legislação, a salvaguarda de ativos, a confiabilidade e a integridade dos números, dos processos, procedimentos e políticas.

Observando a representação do modelo das três linhas de defesa, fica claro que são pontos importantes de proteção do negócio, também nos direciona que independente do tamanho da organização e em que ramo de atividade ela atua, o modelo pode ser aplicado, fazendo algumas adaptações ou implementando em fases, contando com times internos ou externos, o mais importante é iniciar o trabalho com muita dedicação, profundidade e contar com todo o apoio da alta administração. Ou seja, a comunicação e a informação devem estar sempre presentes no desenvolvimento da implementação, ao passo que existe uma cultura, um paradigma dentro da organização que sofrerá impacto direto, então, esse trabalho de engajamento e aprendizado deve ser considerado com muito critério no projeto de implementação do modelo das três linhas de defesa numa organização.

Por fim, ainda temos a figura da auditoria externa e do órgão regulador, onde, estes avaliarão a organização em algum momento, seja por questão de obrigatoriedade ou de regulamentação e fiscalização, são entes externos, que não podemos controlar, desta forma merecem a devida atenção em relação aos processos de proteção e gestão de riscos em geral.


Mauricio Roncato Piazza

Contador, Economista e MBA em Gestão de Riscos Corporativos com ênfase em Prevenção e Combate a Fraudes e PLD/FT. 20 anos de experiência em mercados regulados. Professor de MBA e Pós Graduação da FESP e FIA nas áreas de GRC e Ética Corporativa.

MATÉRIAS RELACIONADAS
Relatório acusa GE de fraude para esconder rombo de US$ 40 bi; ação cai 11%
2866 806 0
CEOs infiéis têm dobro da probabilidade de trapacear no trabalho
2786 835 0
Governança da Segurança da Informação
1884 785 0
COMENTÁRIOS

Nenhum comentário

DEIXE UM COMENTÁRIO
Nossas Notícias