Artigo
20/09/2023
Atualizado em 21/04/2026

Responsabilidade das Áreas no modelo de 3 Linhas de Defesa: Desafios e Erros Comuns

Análise das responsabilidades, desafios e erros comuns das três linhas de defesa na gestão de riscos: conselho, gestão e auditoria interna, destacando a importância do alinhamento e comunicação.

Imagem de capa do artigo

Ontem comecei a falar sobre o Modelo de Três Linhas de Defesa, um conceito relevante na gestão de riscos, e queria dar continuidade ao tema, deixando claro o papel e responsabilidade de cada área envolvida, falando um pouco sobre alguns dos desafios que vejo, assim como erros comuns que se comete:

1) Conselho de Administração e Comitês de Riscos e/ou Auditoria:

Como os principais órgãos de governança, eles são os responsáveis máximos pela definição da estratégia e pela supervisão da administração e da auditoria interna.

Alguns dos desafios, assim como os erros comuns cometidos por eles, poderia dizer que são:

  • Falta de Alinhamento Estratégico: Um desafio significativo é a falta de alinhamento entre a estratégia da organização e seu apetite ao risco, que deve falar a mesma língua e fazer sentido com o planejamento estratégico e com o orçamento, afinal o risco é proporcional ao retorno. Uma coisa não consegue viver sem a outra. Tudo deve estar alinhado e o papel de fazer isto acontecer são deles.
  • Falta de Supervisão: Dois dos erros comuns que vejo acontecer são a falta de supervisão adequada e abdicação das responsabilidades de governança, deixando em mãos da gestão assuntos críticos, que deveriam ser deles.

2) Gestão:

2.A) Primeira Linha de Defesa:

São os responsáveis por tocar os negócios e que fazem as operações diárias, mas também de rodar seus controles internos para mitigar os seus riscos.

Aqui os desafios que vejo e os erros comuns cometidos já são estes:

  • Operacionalização Deficiente dos Controles: Um desafio comum é a implementação inadequada de controles internos. Lembrando que estes controles mitigadores são rodados na área que corre o risco, que tem esta responsabilidade de mitigá-los.
  • Silo Operacional: Muito comum de ver as áreas trabalhando em silos, dificultando a visão mais ampla e corporativa dos riscos. E para as linhas de defesa funcionar, é fundamental que haja um alinhamento e que trabalhem juntas com mesmo objetivo, cada uma fazendo sua parte.
  • Entendimento do seu Papel: Um problema muito comum é que esta área não ache que tenha responsabilidade sobre a gestão dos riscos, mas que isto deve ser feito não por eles, mas pela área de gestão de riscos, quando na verdade como primeira linha tudo começa com eles.

2.B) Segunda Linha de Defesa:

Seu papel é de suportar, ajudar e monitorar a primeira linha, normalmente composta por funções como gestão de riscos, controles internos, PLD, compliance, etc.

Para estes os desafios e os erros mais comuns são:

  • Falta de Integração: Há muitas vezes falta de coordenação com a primeira linha, o que limita a eficácia da gestão de riscos. O papel deste gestor é exatamente garantir que exista esta boa comunicação e alinhamento.
  • Complacência: Também vejo muitas falhas em atualizar políticas e procedimentos de acordo com mudanças regulatórias ou de mercado, e não atualizar a matriz de riscos.

3) Auditoria Interna

Faz a função independente de oferecer garantia e conselhos objetivos ao conselho e comitês de governança e à gestão, garantindo que os processos estão rodando bem e os riscos mitigados.

Para eles os desafios que vejo e os erros comuns cometidos são:

  • Falta de Independência: A auditoria interna pode enfrentar pressões políticas que comprometem sua independência. Não dá para ter uma auditoria eficiente que agrega valor se ela não tem liberdade de se expressar e de fazer seu trabalho.
  • Escopo Limitado: Um problema comum que vejo acontecer é a não abrangência de áreas críticas na auditoria, resultando em uma visão superficial.

O Modelo de Três Linhas é mais eficaz quando adaptado para se alinhar aos objetivos e circunstâncias de mercado e da empresa. A estrutura organizacional e a atribuição de papéis são determinadas pela administração e pelo conselho e comitês, sendo que normalmente o conselho pode estabelecer comitês técnicos para supervisionar aspectos específicos de sua responsabilidade, como auditoria, riscos, finanças, planejamento e remuneração.

À medida que as empresas crescem em tamanho e complexidade, há uma tendência crescente para a especialização, assim as funções, equipes e até pessoas podem ter responsabilidades que incluem papéis tanto da primeira como da segunda linha de defesa. No entanto, a supervisão da segunda linha deve ser estruturada para assegurar um grau de independência em relação à primeira linha e até mesmo aos níveis mais altos da gestão, estabelecendo linhas primárias de responsabilidade e relatório ao conselho e comitês.

O conselho e seus comitês dependem muito para fazer seu trabalho adequadamente de bons relatórios da administração, assim como da auditoria interna e de outros, para exercer sua supervisão e alcançar seus objetivos. A gestão deve fornecer todas informações e garantias sobre temas como: resultados planejados, reais e previstos, sobre riscos e sobre a gestão de riscos.

Já a segunda linha de defesa, liderada pelas áreas de riscos, deve oferecer garantias adicionais relacionadas aos riscos e afins.

Enquanto que auditoria interna, devido à sua independência da administração, deveria ter sempre o maior grau de objetividade e confiança.

Uma governança eficaz requer a atribuição apropriada de responsabilidades e um forte alinhamento de atividades por meio de cooperação, colaboração e comunicação. O conselho e seus comitês devem sempre buscar a confirmação por meio da auditoria interna de que as estruturas e processos de governança estão adequadamente projetados e operando conforme o planejado.

Neste sentido vejo aqui outros desafios e erros comuns cometidos como:

  • Mistura de Papéis: Um dos desafios é a clara definição e separação das linhas de defesa, principalmente em organizações menores ou menos estruturadas.
  • Transparência nas Atividades de Garantia: A falta de clareza nas garantias fornecidas por cada linha de defesa pode resultar em superposições ou lacunas na gestão de riscos.
  • Inconsistência na Comunicação: Falhas na comunicação entre as linhas de defesa e o órgão de governança podem levar a uma percepção distorcida dos riscos e controles.

Referências Complementares

Queria por fim deixar aqui uma referência importante e leitura obrigatória, de onde este post teve como inspiração, que é o documento das 3 linhas do Instituto de Auditores Internos (IIA) que pode ser acessado em:

https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-00000013-20072020131817.pdf

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante