Artigo
17/01/2024
Atualizado em 17/04/2026

Detalhando mais o importante conceito das 3 linhas de defesa

Modelo de governança corporativa que estrutura a gestão e controle de riscos em três linhas: operacional, supervisão e auditoria interna, garantindo conformidade e mitigação eficaz.

Imagem de capa do artigo

Este é um conceito básico e fundamental na gestão de riscos de qualquer empresa, e todos deveriam conhecer e aplicá-lo na prática. Estou falando do conceito das três linhas de defesa, que é um modelo de governança corporativa utilizado para estruturar a gestão e o controle de riscos dentro das empresas.

Este modelo é especialmente relevante no setor bancário e financeiro, onde é essencial ter práticas robustas de gestão de risco para prevenir perdas financeiras, garantir a conformidade regulatória e manter a confiança dos stakeholders.

Vou detalhar abaixo um pouco mais sobre cada uma delas:

Primeira Linha de Defesa:

A primeira linha de defesa é a frente operacional da empresa, incluindo as funções de negócios que têm a propriedade e a gestão dos riscos. Suas principais responsabilidades são:

  • Avaliar o impacto dos riscos nas mudanças organizacionais;
  • Desenvolver requisitos de negócios e traduzi-los em design funcional;
  • Garantir que os requisitos de negócios estejam alinhados com o apetite de risco da empresa e que os testes de design atendam a esses requisitos;
  • Estabelecer controles para prevenir perdas operacionais;
  • Implementar políticas e procedimentos de segurança da informação e acessibilidade de dados;
  • Estabelecer políticas de controle de acesso e gerenciamento de softwares;
  • Monitorar e gerenciar incidentes e problemas de TI.

Segunda Linha de Defesa:

A segunda linha de defesa fornece a supervisão das atividades de risco e é responsável por desenvolver o quadro de gestão de riscos corporativos, garantindo que os riscos estejam sendo adequadamente identificados, avaliados e mitigados. As funções típicas desta linha incluem:

  • Fornecer orientação especializada sobre as mudanças de produto e revisão dos requisitos para garantir que os riscos sejam endereçados;
  • Monitorar o portfólio de produtos para garantir a conformidade com as regulamentações;
  • Desenvolver e administrar programas de gestão de fornecedores e conformidade;
  • Realizar avaliações de conformidade de TI e avaliar as vulnerabilidades.

Terceira Linha de Defesa:

A terceira linha de defesa é composta principalmente pelas funções de auditoria interna. Ela fornece uma revisão independente e objetiva das duas primeiras linhas, garantindo que os controles de risco estejam funcionando como deveriam e que a organização como um todo está adequadamente gerenciando seus riscos. Suas responsabilidades incluem:

  • Avaliar independentemente a adequação e a eficácia dos controles de risco estabelecidos pelas primeiras duas linhas;
  • Realizar auditorias financeiras, operacionais, de tecnologia, de gestão de riscos e de conformidade;
  • Fornecer avaliações independentes e garantir que as deficiências identificadas sejam devidamente tratadas.

Cada uma destas linhas de defesa desempenha seu papel importante na estrutura de gestão de riscos. A primeira linha de defesa possui a visão operacional do dia a dia dos riscos, e está diretamente envolvida na sua gestão. Já a segunda linha de defesa proporciona supervisão, desenvolve políticas de risco e monitora a conformidade. A terceira linha de defesa oferece uma visão independente para assegurar que as políticas e procedimentos de risco sejam efetivamente aplicados e que os riscos sejam devidamente reportados e mitigados.

As linhas de defesa devem ser baseadas na função desempenhada e não no organograma organizacional, o que implica que diferentes áreas da empresa podem ter responsabilidades que cruzam as tradicionais "fronteiras" organizacionais para garantir uma cobertura de risco mais eficaz e responsiva.

Dois aspectos relevantes em todas as três linhas de defesa são: a governança e a cultura organizacional. A primeira linha deve aderir às declarações de apetite ao risco da empresa, enquanto a segunda linha desenvolve e administra as estruturas de gestão de riscos corporativos. A terceira linha avalia e garante que a gestão de riscos esteja alinhada com o quadro de governança.

As políticas e procedimentos estabelecidos pela primeira linha de defesa devem abordar riscos e mudanças e ser comunicados a todos os associados. A segunda linha interpreta leis aplicáveis, regulamentos e estabelece políticas corporativas. A terceira linha avalia a conformidade com essas políticas e procedimentos.

A capacitação e o desenvolvimento de competências são vitais para ambas as primeiras linhas de defesa. A segunda linha auxilia na criação de conteúdo e na entrega de treinamentos, garantindo que todos os colaboradores tenham as habilidades necessárias para cumprir suas responsabilidades.

A primeira linha monitora a aderência às políticas e procedimentos, enquanto a segunda linha estabelece programas de testes e avaliações de risco mais abrangentes. A terceira linha, por meio de auditorias, garante que todos os testes e monitoramentos sejam apropriados e eficazes.

A primeira linha estabelece rotinas de relatórios e é responsável pela qualidade dos dados e pela recuperação dos sistemas tecnológicos. A segunda linha monitora os perfis de risco agregado e assegura a conformidade regulatória no que diz respeito à retenção de dados e testes de recuperação de desastres.

A implementação bem-sucedida do modelo de três linhas de defesa depende de uma compreensão clara das responsabilidades de cada linha e da eficácia com que elas interagem e se desafiam mutuamente para garantir uma governança de risco forte e eficaz.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante